クラーケンが不審な応募者を北朝鮮ハッカーと特定
米サンフランシスコ拠点の大手暗号資産(仮想通貨)取引所クラーケン(Kraken)が、自社の採用プロセスを通じて北朝鮮のハッカーが潜入を試みていたと公式ブログにて5月1日発表した。
なお今回のクラーケンによる北朝鮮ハッカーを特定した事例について、CBSニュースが報じている。その報道ではスティーブン・スミスを名乗るハッカーとの面接時の動画も一部公開されている。
クラーケンは今回の事例公表について、「継続的な透明性向上の取り組みの一環として暗号資産業界内外の企業の防御強化を支援するため」と伝えている。
クラーケンによると事の発端は、エンジニア職の採用プロセス中、応募者は最初のリモート面接で履歴書の氏名とは別の氏名を名乗った他、声も切り替えられるなど不審点が多数発生したことから始まったとのこと。
またクラーケンが業界パートナーから共有された北朝鮮ハッカー集団のメールリストに含まれていたアドレスが、応募者のものと一致したとのこと。
このことからクラーケンのレッドチームは調査を開始。当該応募者が在宅環境をリモート操作専用サーバーのcolocated Macを操作しつつ、通信経路はVPNで多重偽装していたとのこと。また履歴書に記載されていたGitHubアカウントのメールアドレスも過去に漏えいしたものであることや、応募者が提示したIDが2年前の個人情報窃盗事件で盗まれたデータをもとに改ざんされたものであることが判明したという。
このことからクラーケンは、応募者が同社へ侵入を試みていると確信したとのことだ。
そこでクラーケンは、「意図的に最終面接まで進める作戦」を実施したという。
最終面接では同社の最高セキュリティ責任者ニック・ペルコ(Nick Percoco)氏らチームメンバーがカジュアル面談を実施。その際に応募者に対し、現在地の確認やIDの提示、応募者が所在すると主張するお勧めのレストランを聞き出すなど確認を行ったとのこと。
応募者はこれらの質問に動揺し、回答に詰まる場面も見られたという。これにより応募者の在住地域の矛盾が露呈し、応募者がクラーケンのシステムを侵害しようとした偽物であることが確定したとのことだ。
クラーケンは今回の教訓として、「IT部門だけでなく採用プロセスも含めた全社体制での防御の重要性」、AIやリモート環境で偽装は容易になったが、突発的な本人確認で破綻しやすいという「リアルタイム検証の重要性」、そして「生産的なパラノイア(偏執)文化による常に疑う姿勢が組織のレジリエンスを高めること」を挙げている。
今回の件についてペルコ氏は「Don’t trust, verify(信用ではなく検証せよ)、この暗号資産の基本原則は、デジタル時代においてこれまで以上に重要です。国家主導の攻撃は、暗号資産や米国企業だけの問題ではなく、世界的な脅威です。価値を扱うあらゆる個人や企業が標的となり得ます。レジリエンス(回復力)は、こうした攻撃に耐えるための運用上の準備から始まります」とコメントしている。
4月25日の「ロイター」の報道によると、北朝鮮のサイバースパイが米財務省の制裁に違反し、暗号資産(仮想通貨)業界の開発者に悪意あるソフトウェアを感染させるため、米国内に2つの企業を設立していたとのこと。
また2024年には北朝鮮系ハッカーが暗号資産企業から6億5,000万ドル(約9,342億円)超を窃取したと日本、韓国、米国が共同声明を今年1月に出している。
参考:クラーケン
画像:iStocks/ismagilov