Amazonは、米国拠点のシステム管理者になりすました北朝鮮の偽装者を検知し、遠隔操作されたノートPCと欺瞞的なネットワーク経路制御に依存する高度な侵入スキームを暴露しました。
この発見は、高度なセキュリティ監視が、従来の身元調査では見逃されがちな国家支援の脅威を捕捉できることを示しています。
突破口となったのは異例の手法でした。キーストローク入力の遅延を分析したのです。米国内から業務を行う正規のリモートワーカーであれば、キーボード入力のデータは通常、数十ミリ秒以内に企業ネットワークへ到達します。
しかし、この従業員の接続レイテンシは110ミリ秒を超えており、Amazonによる即時のセキュリティ調査を引き起こしました。
さらなる調査で明らかになったのは、容疑者のノートPCは物理的にはアリゾナ州にあったものの、海外から遠隔操作されていたということです。
犯人は数千マイル離れた場所からその端末を操作し、正当な米国拠点の従業員であるかのような錯覚を作り出していました。この事例は、はるかに大規模な侵入キャンペーンの一例にすぎません。
Amazonの最高セキュリティ責任者(CSO)であるスティーブン・シュミット氏は、脅威の規模を明らかにしました。2024年4月以降、同社は北朝鮮のIT労働者による侵入の試みを1,800件以上阻止しています。
その頻度は増加しており、Amazonは自社の企業インフラを標的とした攻撃の試行が四半期比で27%増加したと記録しています。
「もしDPRKの労働者を探していなければ、見つけられなかったでしょう」とシュミット氏は強調し、こうした高度な偽装者を特定するには、能動的な脅威ハンティングが不可欠であると訴えました。
これらの侵入キャンペーンは、米国内に設置された「ラップトップ・ファーム」を通じて運用されています。
このケースでは、アリゾナ州の女性が、北朝鮮の関係者が米国のIPアドレス経由でトラフィックを迂回させ、活動を国内のものに見せかけられるようにするハードウェア基盤を提供し、詐欺に加担しました。彼女は今年初めに禁錮刑の判決を受けています。
これらの侵入の試みの動機は二つあります。北朝鮮は、体制のための直接的な収益を得ることと、大手テクノロジー企業に対する潜在的なスパイ活動や破壊工作を行うことの両方を狙っています。
正規の雇用ポジションを確保することで、これらの関係者は機密性の高いシステムや専有情報にアクセスできるようになります。
本件ではキーストローク遅延の分析が決定的な役割を果たしましたが、シュミット氏は、セキュリティチームが監視すべき追加の危険信号も指摘しました。
微妙な言語上の不整合が手がかりになることが多く、米国の慣用句の不自然な使用、英語の冠詞に関する文法ミス、文書での不自然な言い回しなどが含まれます。
この事例が示すように、組織が国家支援の企業侵入に効果的に対抗するには、高度なテレメトリシステムに能動的な監視と人による警戒を組み合わせた多層的なセキュリティアプローチが必要です。
翻訳元: https://cyberpress.org/amazon-identifies-north-korean-it-worker-by-tracking-keystroke-activity/