開発者雇用に潜むリスク ～北朝鮮によるソフトウェアサプライチェーンへの攻撃～

国内では、昨日の2024年10月1日に
新しい総理大臣が選出され
新たな内閣が組織され、
その直前には月内の
衆議院解散総選挙も発表されました。

サイバーセキュリティを
生業にしている者の端くれとしては、
サイバーセキュリティ政策の推進と拡充を
新政権にも新しい衆議院議員の皆様にも
願いたいところです。

さて、先月の９月２４日、
Google傘下のMandiant社が自社のブログにて、
「北朝鮮のITワーカーの脅威を軽減する」
という記事を出しています。

北朝鮮と言えば、一国の中央銀行を攻撃して
多額の金銭を盗み出したり、
韓国の金融と放送のインフラを決められた日時に
一斉にダウンさせたり、という映画のように
派手なサイバー攻撃を実施した
実績が目立ちますが、
ここで取り上げられていたのは
地味ながら大きなリスクをはらむ事例です。

この記事によると、北朝鮮のITワーカーは、
他国の協力者やフロント企業を通じて身分を偽り、
ソフトウェア開発者として発注元の企業への侵入や
同社のソフトウェア製品への
バックドア埋め込みなどの攻撃を
行っているとのことです。

そして、その特徴として、米国内の住所、
北米以外の国での学歴、捏造された推薦の言葉、
などを使っているとのことです。

また、貸与物の発送先が
住所以外の場所を希望してきたり、
リモートアクセスの接続IPアドレスが
異なる国であったりモバイルキャリアであった
という特徴が見られるとも記載されています。

新型コロナウイルスの流行を経て、
我が国でもリモートワークが増えています。

そして、ソフトウェア技術者は
リモートワークの比率が
最も高い職種の１つです。

優秀な開発者と契約することは
DX推進のカギとなる事も
少なくないですが、同時に、
それに潜むリスクにも注意が必要です。

※こちらは、執筆時点2024年10月2日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない
解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として
多数の実績を誇る株式会社アイロバと
密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の
露出状況を把握できる
SecurityScorecardの国内代理店でもあります。

サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）

******************************
サイバーレジリエンス株式会社　
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
******************************