エンジニアが狙われた国際犯罪 巧妙な手口に注意喚起
国際犯罪と聞くと、旅行でのトラブルやロマンス詐欺など、プライベートでの事例を想像しがちですよね。
実は今、エンジニアを狙った国際犯罪の事案が日本でも報告されています。
一般人にとっては難しいイメージのあるエンジニアという職業ですが、一体どのような手口で巻き込まれてしまうのでしょうか。
エンジニアを狙った国際的な詐欺
Xユーザーの@cookieandbeerさんは普段フリーランスのソフトエンジニアとして活動し、ソフトウェアの開発に携わっています。
専門分野はWebアプリケーション開発やAI関連やブロックチェーン関連で、海外企業の仕事を受けることも多いそうです。
今回、投稿者さんが巻き込まれたのは、海外サイト「WeWorkRemotely」で起きた事件でした。
サイトにて自分の経験分野とマッチする案件を見つけた投稿者さんは、早速クライアントとビデオ通話。
早速プログラムを渡され、すぐに修正の為のチェックをして欲しいと要求されました。
投稿者さんが修正のために開いた「setupTest.js」というツールには、異常が生じていたといいます。
「setupTest.js」とは、ソフトウェアの品質を担保するための自動テストをサポートするツールのひとつです。
「setupTest.js」に書かれたコードは通常、数行で済むようになっていますが、今回投稿者さんが開いたファイルには不正な動作を含む長大なコードが改行なしで書かれていたといいます。
更に悪質なのが、前半部分は通常の 「setupTest.js 」に書かれていても違和感のないものとなっていることです。
投稿者さんは偶然「setupTest.js 」の折り返し機能をオンにしていたため、その全貌を見ることができましたが、折り返し機能をオフにしコードの前半しか見えていない状態だと違和感に気付くのは難しいでしょう。
そしてこれらの膨大なコードには、難読化の加工が施されていたといいます。
投稿者さんは「以前仕事でアンチウィルスソフトの開発手法を研究していた時期があり、ウィルス的な動作をするプログラムがそれを隠すためによく見られる手法の一つとして難読化を知っていたため、通常のコードではないことに気づきました」と語ります。
その後、ファイルのIPアドレスを調査したところ、ホストが北朝鮮のサーバー犯罪グループである「Lazarus Group」だと判明したそうです。
エンジニアを狙ったファイルは何のため?
この手の込んだファイルは一体何のためのものなのでしょうか?
考えられるのは、投稿者さんがPCのデバイス内に持つ何かしらの情報を盗むという目的です。
そしてその情報として、
・有名ウェブブラウザ(Google Chrome, Microsoft Edge, Firefox, Brave)に保存されたプロファイル情報
・「Solana」 という暗号通貨のウォレットの鍵情報
・「C&Cサーバー(遠隔攻撃用のプログラム)」のダウンロードと起動
の3つが考えられると投稿者さんはいいます。
「C&Cサーバー」は起動すると外部からそのPCに接続し、別の犯罪行為への踏み台に使うことが可能になってしまうそうです。
こういったサーバー犯罪を防止するためにはどのような方法が有効なのでしょうか。
投稿者さんは編集部の質問に対し、以下のようにコメントしました。
「WeWorkRemotelyなどのマッチングプラットフォームは、案件情報を掲載するアカウントのKYC(ユーザーの本人確認)を強化することで、悪意のある利用者を排除することができるかもしれません。
実際、今回私が接触したアカウントは通報から1週間が経過した今現在は削除されているようです。
開発者側としては、開発の対象となるコードベースを精査して不審が要素がないかを確認することできますが、コードベースの規模が大きく現実的ではない場合があります。
また、ツイートと重複になりますが、ソースコードに不審な点がなくても、外部ツールに悪意のあるコートが埋め込まれる場合があります。
現代の開発環境では必要なライブラリやツールを数百の単位で自動でインストールすることが通常となっており、それらをすべて検証することもまた現実的ではありません。
こうした経路を取る攻撃はサプライチェーン攻撃として問題視されています。
究極的には、取引の相手方が信頼に足る人物かを慎重に検討することが重要なのですが、双方小規模事業者(場合によっては個人)となるフリーランスとしてのお仕事では必ずしも有名な企業だけを相手にすることもできないのが難しいところだと思います」
在宅ワークの認知向上やIT人材育成支援等の影響を受けて、エンジニアという職業の注目度は上がりつつあります。
これからエンジニアを目指す方や現在エンジニアとして活躍されている方は国内外問わず、くれぐれもサーバー犯罪に気をつけてください。
投稿者さんは技術評論社から『実践 Svelte入門』というエンジニアの専門書を出版しています。ご興味がある方は是非そちらもチェックしてみてください。