北朝鮮の偽装ITワーカーが都内のITシステムコンサルティング会社に潜入し国立研究開発法人物質・材料研究機構(NIMS、茨木県つくば市)の内部ネットワーク設計図などを抜き取っていたとイスラエルのサイバーセキュリティ企業のHudson Rockが最近のレポートで明らかにした。
物質・材料研究機構の内部ネットワーク設計図を窃取
昨年8月、北朝鮮の偽装ITワーカーが使用していたとみられる1.4kのメールアドレスリストが何者かによってネット上に公開された。スイスに本拠を置くサイバーセキュリティ企業のKudelski SecurityがHudson Rockのサイバー犯罪データベースを活用してそのメールダンプに含まれるデータの正当性を検証したところ、北朝鮮の偽装ITワーカーに属すると思われる多くの痕跡が見つかったという。Hudson Rockによるとそれらデータは偽装ITワーカーのマシンが情報窃取マルウェアのLummaC2に感染したことで流出したようだ。
Hudson Rockがそれらデータをフォレンジックレベルで分析したところ、北朝鮮の偽装ITワーカーが東京都内のITシステムのコンサルティング会社に潜入していた実態が明らかになったという。Wenyi Hanなどの偽名でこのコンサルティング会社の内部開発チームに深く関わり、同社のバックログワークスペース、Slackチャンネル、AWS環境に侵入して同社の顧客である日本企業の膨大なポートフォリオへの横方向のアクセス権を獲得していたという。
さらにAutofills.txtのテレメトリーデータには国立研究開発法人物質・材料研究機構(NIMS)の閉鎖型ネットワークアーキテクチャの設計図を複製して抜き取った記録が残されていたという。国立研究開発法人物質・材料研究機構は2001年に設立された日本で唯一の物質・材料科学に特化した研究機関で、環境、エネルギー、医療、インフラ等の分野における物質や材料の基礎研究から開発、社会実装までの研究を行っている。Hudson Rockは「北朝鮮のIT人材プログラムは、一般的に不正な収益創出計画として認識されているが、回収されたテレメトリーデータは、この人物がそのアクセス権を利用して、国家の戦略的なデータ流出を行っていたことを証明している」と指摘している。
【出典】
