攻撃者が採用されるとき:現代の新たなアイデンティティ危機#
もし、あなたが採用したばかりのスターエンジニアが、実は従業員ではなく、変装した攻撃者だったらどうしますか?これはフィッシングではありません。オンボーディングによる侵入です。
「コロラド出身のジョーダン」をご紹介しましょう。彼は優れた履歴書を持ち、説得力のある推薦状、クリーンな身元調査、さらには信頼できるデジタルフットプリントまで備えています。
初日、ジョーダンはメールにログインし、週次スタンドアップに参加し、チームから温かく迎えられます。数時間以内に、リポジトリやプロジェクトフォルダー、さらにはパイプラインで使うためのコピー&ペーストされた開発用キーへのアクセス権まで手に入れます。
1週間後には、チケットのクローズが早くなり、皆が感心します。ジョーダンは環境や技術スタック、誤設定されたツール、形だけの承認などについて鋭い指摘をします。
しかし、ジョーダンはジョーダンではありませんでした。そして、チームが用意したレッドカーペットの歓迎は、敵に直接ゴールデンキーを渡したのと同じことでした。
フィッシングから偽採用へ#
現代の詐欺は、受信箱の悪意あるリンクではなく、組織内部の正規のログインです。
フィッシングは依然として深刻な脅威であり(特にAI駆動の攻撃が増加する中で)、よく知られた攻撃経路です。組織は何年もかけてメールゲートウェイを強化し、従業員に悪意あるコンテンツの認識と報告を教育し、社内フィッシングテストを実施してきました。
私たちは毎日大量のフィッシングメールに対抗しています。2021年以降、フィッシングは49%増加し、大規模言語モデル(LLM)を使った説得力のあるメール生成も6.7倍に増えています。攻撃者がフィッシング攻撃を行うのはますます簡単になっています。
しかし、ジョーダンが侵入したのはその方法ではありません。数々の防御策がメールに向けられているにもかかわらず、ジョーダンは人事書類で侵入しました。
なぜ今、採用詐欺が問題なのか?#
ここ数年でリモート採用は急速に拡大しました。業界は100%リモートワークが可能であることを発見し、従業員はもはや物理的(かつ防御しやすい)境界を持つオフィスを必要としなくなりました。さらに、優秀な人材は地球上のどこにでも存在します。リモート採用により、組織はより多くの資格やスキルを持つ人材プールを活用できるようになりました。しかし、リモート採用は対面面接の直感的かつ自然な防御をなくし、脅威アクターに新たな隙を与えています。
今日では、アイデンティティが新たな境界です。そして、その境界は偽装されたり、なりすまされたり、AIで生成されたりする可能性があります。推薦状は偽造できます。面接はコーチングや代理が可能です。顔や声もAIによって生成(あるいはディープフェイク)できます。匿名の敵対者が「コロラド出身のジョーダン」として巧妙に現れ、組織から王国の鍵を手に入れることができるのです。
実際の採用詐欺:北朝鮮のリモート「採用」工作員#
リモート採用詐欺の脅威は、遠い将来の話やキャンプファイヤーで語られる怖い話ではありません。
今年8月に発表されたレポートによると、北朝鮮の工作員が偽の身元と洗練された履歴書を使い、リモートITワーカーとして企業に潜入した事例が320件以上明らかになりました。この事例は前年比220%増加しており、この脅威が急速に拡大していることを示しています。
これらの北朝鮮工作員の多くは、AI生成のプロフィールやディープフェイク、リアルタイムAI操作を使って面接や審査プロトコルを通過していました。中には、アメリカ人の共犯者が「ラップトップファーム」を運営し、工作員に米国内の物理的なセットアップ、会社支給のマシン、国内住所や身元を提供していたケースもありました。この仕組みにより、彼らはデータを盗み、給与を北朝鮮政権に送金しながら、発見を逃れていました。
これらは単なるハクティビストの単発的な行為ではありません。調査によって、これは組織的なキャンペーンであり、しばしばフォーチュン500企業を標的にしていることが判明しています。
城と堀の問題#
多くの組織は過剰に反応します:「会社全体を最も機密性の高いリソースと同じくらい厳重にしたい。」
一見理にかなっているように思えますが、仕事が遅くなってしまいます。セキュリティポリシーが正当なワークフローと不要な露出を区別できるような微妙な制御がなければ、組織全体に厳格な制御を適用するだけでは生産性が停止してしまいます。従業員は仕事をするためにアクセスが必要です。セキュリティポリシーが厳しすぎると、従業員は回避策を見つけるか、例外を求め続けることになります。
やがて、例外が常態化することでリスクが忍び寄ります。
このような内部例外の積み重ねが、徐々に「城と堀」型のアプローチに逆戻りさせます。外部からは壁が強化されていますが、内部は開放的です。従業員が仕事をするためにすべてを解錠できる鍵を与えることは、ジョーダンにも同じ鍵を渡すことになります。
つまり、間違った方法で全てをロックダウンすることは、開放しておくのと同じくらい危険です。強固なセキュリティは、現実の業務に対応し適応しなければ、崩壊してしまいます。
ゼロ常設権限状態を実現し、偽採用をトレードオフなしで防ぐには#
ゼロトラストという言葉は誰もが聞いたことがあるでしょう。「決して信頼せず、常に検証する」。これは、誰かがすでに「内部」にいる場合でも、すべてのリクエスト、すべてのタイミングに適用されます。
今や新しい境界を持つ私たちは、このセキュリティフレームワークをアイデンティティの観点から捉える必要があり、ここでゼロ常設権限(ZSP)という概念が登場します。
城モデルのように無差別にすべてをロックダウンするのではなく、ZSP状態はガードレール付きの柔軟性を中心に構築されるべきです:
- 常時アクセスはデフォルトでなし – すべてのアイデンティティの基準は、機能に必要な最小限のアクセスです。
- JIT(必要な時だけ)+JEP(必要最小限の権限) – 追加アクセスは、必要な時にだけ、必要な範囲・期間だけ付与され、タスク完了後に取り消されます。
- 監査と説明責任 – すべての付与と取り消しは記録され、透明な履歴が残ります。
このアプローチは、城モデルが残す隙間を埋めます。攻撃者が恒常的なアクセスに依存できなくなる一方で、従業員は迅速に業務を進めることができます。正しく実施すれば、ZSPアプローチは生産性と保護を両立させ、どちらかを選ぶ必要がなくなります。組織全体で常設アクセスを排除するためにチームが取れる戦術的なステップをいくつかご紹介します:
ゼロ常設権限チェックリスト#
インベントリとベースライン:#
リクエスト ― 承認 ― 削除:#
- 設計段階からのガードレール:
完全な監査と証跡#
行動を起こす:小さく始めて早く成果を出す#
実践的な始め方としては、最も機密性の高いシステムで2週間ZSPを試験運用することです。アクセス申請、承認、監査が実際にどう流れるかを測定しましょう。ここで早期の成果を出せば、より広範な導入への勢いが生まれ、セキュリティと生産性が対立しないことを証明できます。
BeyondTrust Entitle(クラウドアクセス管理ソリューション)はZSPアプローチを実現し、すべてのアイデンティティを常に最小限の権限に保つ自動制御を提供します。業務で追加が必要な場合も、従業員は申請により時間制限付き・監査可能なワークフローでアクセスを受け取れます。必要なアクセスが必要な時だけ付与され、その後削除されます。
ゼロ常設権限を運用化することで、正当なユーザーが迅速に動ける一方、ジョーダンのような人物が恒常的な権限を見つける余地を残しません。
始める準備はできましたか?こちらをクリックして、アイデンティティインフラの無料レッドチーム評価を受けましょう。
注:本記事は、シニアプロダクトマーケティングマネージャーのDavid van Heerdenによって執筆・寄稿されました。David van Heerdenは自称オタク、メタルヘッド、映画マニア志望で、10年以上IT業界で技術スキルを磨き、複雑なITやセキュリティの概念を分かりやすく価値あるトピックに変換する能力を培ってきました。BeyondTrustでは、シニアプロダクトマーケティングマネージャーとして、エンタイトルメントのマーケティング戦略をリードしています。
翻訳元: https://thehackernews.com/2025/09/you-didnt-get-phished-you-onboarded.html