盗んだデータで雇用主を恐喝:米企業などに「偽IT技術者」送り込む北朝鮮のスキームに新戦術 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 盗んだデータで雇用主を恐喝:米企業などに「偽IT技術者」送り込む北朝鮮のスキームに新戦術

Threat Report

Anonymous Sudan

DDoS

DDoS攻撃

盗んだデータで雇用主を恐喝:米企業などに「偽IT技術者」送り込む北朝鮮のスキームに新戦術

佐々山 Tacos

佐々山 Tacos

2024.10.17

10月17日:サイバーセキュリティ関連ニュース

盗んだデータで雇用主を恐喝:米企業などに「偽IT技術者」送り込む北朝鮮のスキームに新戦術

The Record – October 17th, 2024

ここ数年間で、米国やヨーロッパなどの企業が誤って北朝鮮政府の送り込む偽「IT技術者」を雇用してしまうケースが度々報じられている。サイバーセキュリティ企業Secureworksの研究者らによれば、最近ではこの「偽IT技術者スキーム」に、盗んだデータと引き換えに身代金を要求するという戦術が取り入れられるようになっているという。

この新たな戦術は、北米やヨーロッパ、オーストラリアの企業を狙ったオペレーションの中で観測されている。北朝鮮の偽技術者らは、盗み取った身元情報や偽造した身柄を利用してターゲット企業での雇用を獲得。社内の関係者しかアクセスできないような情報を利用できるようになると、この情報を恐喝の手段として使い、雇用先企業に金銭の支払いを要求するのだという。

Secureworksは同スキームに関連するインシデントの調査を複数実施。このうち1件では、偽技術者は2024年半ばに雇用が開始されるとほぼまもなく、当該企業の専有データを抽出していたという。その後、パフォーマンスの悪さを理由にこの技術者が解雇されると、直後に同社は一連のEメール数通を社外のOutlookアドレスから受信。うち1通には同社から盗まれたデータが本物であることを示す証拠入りのZIPファイルが添付されており、また別の1通には、盗難データが公開されるのを防ぎたければ身代金(金額は6桁)を暗号資産で支払えと要求する内容が記載されていたという。

北朝鮮の偽IT技術者スキームについては、数年前より米政府などによる注意喚起がなされてきたが、従来のスキームで危惧されていたリスクは不正な雇用により知的財産を窃取したり、給与が北朝鮮の兵器開発プログラムの資金源になったりといったものが主だった。しかし今回新たに「身代金要求(データ恐喝)」戦術の使用が明らかになったことから、誤って北朝鮮IT技術者を雇い入れてしまった企業が負うことになるリスクの種類は大きく変わってくるものとみられている。

Anonymous SudanのDDoSオペレーションを米国が停止、スーダン人兄弟2名を起訴

BleepingComputer – October 16, 2024 

米国司法省(DOJ)は16日、ハクティビストグループ「Anonymous Sudan」のオペレーターとされるスーダン人の兄弟2名に対する起訴状を公開。同グループは2023年の始動以来、世界中の組織を狙って数々のDDoS攻撃を実施し、広範な障害やサービス停止などの事態を生じさせていた。

DOJによると、米検察当局およびFBIは2024年3月、裁判所の許可を得た差し押さえ令状に従ってAnonymous SudanのDDoSツールを差し押さえて無効化。それ以来、今回Anonymous Sudanを運営・管理していたとして起訴されたAhmed Salah Yousif Omer被告(22歳)とAlaa Salah Yusuuf Omer被告(27歳)の両被告は身柄を拘束されているという。どの国が両者を逮捕したかは明かされていないものの、FBIによる事情聴取が行われていることが公表されている。両被告は複数の罪に問われているが、Ahmed Omer被告に関しては、病院を狙った攻撃で患者の生命を脅かしたとして最高で終身刑に処される可能性がある。

なお、Anonymous Sudanは、スーダンの政治に干渉する国や組織を標的にすると主張して多数の攻撃を実施してきたハクティビストグループ。一部の研究者はそれが偽旗であると考え、代わりに同グループがロシアと繋がりを持つとの見解を示していた。しかしマーティン・エストラーダ連邦検事によれば、両被告の動機はスーダンのナショナリストイデオロギーに関するものだったとのこと。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ