北朝鮮の工作員がリンクトインの休眠アカウントを乗っ取り求人に応募し、アマゾンでの採用を狙う
アマゾンの最高セキュリティ責任者(CSO)スティーブ・シュミットは、攻撃しているのはロシアの工作員だけではなく、北朝鮮の工作員についても同様だと確認した。
北朝鮮の工作員と疑われる者の入社を1800人超阻止
北朝鮮の工作員は、アマゾンに対してリモートワーク求人への応募を装うタイプの攻撃を行っているという。世界最大級の雇用主の1社であることを踏まえれば、驚きではない。アマゾンでの採用を足がかりに収入を朝鮮民主主義人民共和国(DPRK)へ送金し、同国の兵器計画に充てるためだとしている。
「アマゾンでは、2024年4月以降、DPRKの工作員と疑われる者が入社するのを1800人超阻止しました。また今年は、四半期ごとでDPRK関連の応募が27%増えたことを検知しています」と、シュミットはリンクトインへの投稿で述べた。
信頼性を高めるため、実在するソフトウェアエンジニアのアカウントを狙う
アマゾンはこれらの作戦を大規模に把握しているため、深く分析でき、シュミットが言うところの「これらの作戦がどのように進化するかについての独自の可視性」を得られたという。
シュミットは、この分析により、身元情報の盗用がより計算されたものになってきたことが分かったと明かした。脅威の工作員は、求人応募の信頼性を高めるため、実在のソフトウェアエンジニアを標的にしている。また、リンクトイン上の戦略として、侵害した認証情報を用いて休眠アカウントを乗っ取り、認証を獲得し、さらに応募の信頼性を高める手口も用いる。
さらに、米国内の「ラップトップ・ファーム」(偽装用PC拠点)が、北朝鮮の「IT求人」脅威キャンペーンで役割を果たしているようだ。これは「機器の配送を受け取り、国内での存在を維持する」場所であり、一方で労働者は国外からリモートで作業すると、シュミットは語った。
DPRKのIT労働者と疑われる者を特定した場合は、FBIまたは地元の法執行機関に通報すべきだと、シュミットは結論づけた。
ロシアのハッカーによるアマゾン関連攻撃への緩和策
モーゼスは、「アマゾンは、巧妙な脅威アクターを積極的に調査し妨害することで、顧客とより広いインターネット・エコシステムの保護を支援するというコミットメントを守ります」と述べ、2026年に向けて組織に対し次の対応を推奨した。
・ネットワーク・エッジ・デバイスの監査
・認証情報リプレイの検知
・アクセス監視
・侵害指標(IoC)の確認
AWSに特化した緩和策としてアマゾンは、IDプロバイダーを用いたIDフェデレーション(連携認証)によりアクセスを管理すること、セキュリティグループに最小限の許容ルールを実装すること、そしてAmazon Inspectorを用いて、Amazon EC2インスタンスのソフトウェア脆弱性と意図しないネットワーク露出について自動的に発見・スキャンすることを推奨した。2026年を攻撃者にとっての「開いた窓」にしてはならない。警告は発せられた。
