TokyoBlackHatNews

esecurityplanet.com 5分で読了

Amazon、レイテンシの手がかりで北朝鮮のIT潜入者を特定

キーストロークのほとんど気づかないほどの遅延だけで、Amazonは目立たず紛れ込んでいた国家レベルの潜入者を突き止めた。 

米国拠点のリモート・システム管理者に見えた人物は、実際には北朝鮮のIT労働者で、地球の反対側からAmazonのネットワークにアクセスしていた――わずか110ミリ秒のレイテンシ差によって露見した。

「DPRKの労働者を探していなければ、見つけられなかったでしょう」と、Amazonの最高セキュリティ責任者(CSO)スティーブン・シュミット氏は述べた

国家支援型IT詐欺の拡大する脅威

この事案は、リモートワークを取り入れる組織にとって増大するリスクを浮き彫りにしている。国家主体がグローバルな採用パイプラインを悪用し、企業環境への正規のアクセスを得ているのだ。 

厳しい制裁下で孤立する北朝鮮は、リモートIT詐欺を収益源へと転換してきた――その収益は兵器計画に直接資金提供される一方で、大小さまざまな企業に内部脅威を生み出している。

キーストロークのレイテンシが遠隔なりすましを露呈

このケースは今年初め、システム管理者に割り当てられた新規発行の社用ノートPC上で、Amazonのセキュリティ監視が異常な挙動を検知したことから明らかになった。 

端末は物理的にはアリゾナ州にあったが、調査担当者はコマンド入力がAmazonのシアトルのインフラに到達する速度が想定より遅いことに気づいた。 

米国内の作業者であれば、キーストロークは100ミリ秒を大きく下回って記録されるはずだ。ところが、これらは一貫して110ミリ秒を超えており、わずかだが海外からのアクセスを示す決定的な兆候だった。

Bloombergによると、AmazonはノートPCが遠隔操作されていると判断し、ネットワークトラフィックが中国に遡ることを突き止めた。中国は北朝鮮のオペレーターがよく利用する中継地点だ。

Amazonは迅速に、この人物がより広範なDPRKのIT労働者スキームの一部であることを確認し、数日以内にアクセスを停止した。

Amazonによれば、2024年4月以降、北朝鮮による採用試行を1,800件以上ブロックしており、試行は前四半期比で27%増加している。

リモートIT労働者詐欺で用いられる手口

IT労働者は通常、多層的な欺瞞を通じて活動する。 

彼らは捏造した身元でリモート職に応募し、検証が難しい無名の海外コンサルティング会社との関係を主張することが多い。 

採用されると――しばしばサードパーティの請負業者経由で――米国内の「ノートPCプロキシ」に依存し、プロキシが会社支給のハードウェアを受け取り、遠隔アクセスを提供する。

このケースでは、Amazonのエンドポイントセキュリティツールが遠隔操作の挙動を検知し、アナリストが当該作業者の履歴書を既知のDPRKパターンと照合した。 

また、不自然な英語表現や、「a」「the」といった冠詞の誤用など、言語面の危険信号も浮上した。これらは類似事例で指標として認識されている。

重要な点として、侵害されたノートPCは機微なシステムへのアクセス権を持っていなかった。 

これにより、Amazonのセキュリティチームは直ちにアクセスを遮断するのではなく攻撃者の挙動を観察でき、帰属の確認と、将来のケースに向けた検知手法の改善に役立った。

内部不正およびなりすましリスクの低減

国家主体や組織化された詐欺グループは、リモート採用モデルを悪用して企業環境への正規アクセスを得る動きを強めている。 

従来のスクリーニングやセキュリティ統制だけでは、高度ななりすましやプロキシ作業者スキームを検出するのに不十分になっている。 

これらの脅威に対抗するには、本人性の担保、技術的検知、部門横断の認識を組み合わせた協調的アプローチが必要だ。

  • ライブでの本人確認、ジオロケーション検証、定期的な再検証を用いて、リモート採用者の本人確認と身元調査を強化する。
  • キーストロークのレイテンシ、遠隔操作ツール、ユーザー行動の急変といった異常を検知するため、高度なエンドポイントおよび行動監視を導入する。
  • 社用ノートPCを検証済みの身元に紐づけ、地理やASNでアクセスを制限し、恒常的なリモートデスクトップ利用をブロックすることで、厳格なデバイスおよびアクセス制御を徹底する。
  • 従業員および契約者に対して最小権限アクセスとセグメンテーションを適用し、ジャストインタイム権限やサードパーティ人材ベンダーに対するより厳格な統制を含める。
  • HR、アイデンティティ、エンドポイント、ネットワークのテレメトリを相関させ、内部脅威や組織的ななりすましパターンを能動的に探索する。
  • 履歴書の使い回し、言語の不整合、異常な勤務パターンなど、技術的・非技術的双方の詐欺指標を認識できるよう、HR、IT、セキュリティの各チームを合同で訓練する。

これらの手順を組み合わせることで、信頼を継続的に検証し、露出を最小化し、内部不正およびなりすましリスクに対する検知と対応を改善することで、サイバー・レジリエンスを強化できる。

リモートワークと国境を越えるサイバー悪用

Amazonの発見は、リモートワークモデルに結びついた、より広範な悪用パターンを反映している。米当局は北朝鮮に関連する複数の「ラップトップ・ファーミング」作戦を摘発してきた。 

大規模な詐欺スキームの一つでは、米国内の協力者に実刑判決が下された。

同様の手法は、ロシア、イラン、中国に関連する活動でも観測されており、遠隔アクセスとプロキシ基盤が、所在地を隠蔽し標準的なセキュリティ統制を回避するために用いられている。

遠隔なりすましが進化するにつれ、組織は合成IDや、詐欺と正規ユーザーの境界を曖昧にするディープフェイクの検知という課題にも直面している。

翻訳元: https://www.esecurityplanet.com/threats/amazon-detects-north-korean-it-infiltrator-via-latency-clues/

ソース: esecurityplanet.com
#Amazon #IT人材詐欺 #エンドポイントセキュリティ #キーストローク遅延 #サイバーセキュリティ #なりすまし #リモートワーク #内部脅威 #北朝鮮 #国家支援型攻撃

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布