就職面接のリモート課題にマルウェアが含まれておりハッキングされそうになった話

セキュリティ

近年、リモートワークの増加に伴って、就職活動でも直接会社を訪問しない「オンライン面接」がより一般的な手段になっています。同時に、オンライン面接を装ったサイバー攻撃も増加しており、実際にワナにハマりかけたデビッド・ドッダ氏が、自身の体験談もとに警告を発しています。

How I Almost Got Hacked By A 'Job Interview'

https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview

ドッダ氏はフリーランスのウェブ開発者として8年間働いており、さまざまなプロジェクトへの参加経験があります。そんなドッダ氏はある日、「Symfa」という会社の最高ブロックチェーン責任者を名乗るミコラ・ヤンチー氏からLinkedInのメッセージを受け取りました。メッセージには「不動産ワークフローの変革を目指すプラットフォーム『BestCity』を開発中です。パートタイムの募集もございます。柔軟な体制です」と仕事の紹介が書かれていました。 ドッダ氏はフリーランスとしての長い経験や自身も開発者であることから、セキュリティ意識は高く、自分でも警戒心が強い方だと感じていたそうです。実際に、ヤンチー氏の連絡も無条件に信じたわけではありませんでしたが、Symfaは実在する会社で、ヤンチー氏のLinkedInプロフィールも本物、Xでいう「フォロー/フォロワー」に相当する「connections」が1000人以上いたなど本物のリクエストに見えたため、ドッダ氏はヤンチー氏の連絡に応じることに決めました。

後日、オンライン面接を実施することが決定し、ドッダ氏は事前課題で定番のコードベーステスト、資料の準備などを求められました。事前課題の中には、BestCityのリポジトリを受け取り、コードを実行した上でレビュー、修正するというものが含まれています。しかし、ドッダ氏は面接までに時間がなかったため、コードを実行せずに直接ソースを編集し始めました。 ドッダ氏はタスクを完了させる前に、AIエージェントに「このアプリケーションを実行する前に、このコードベースに疑わしいコードがあるかどうか確認して」と命令しました。すると、正当な管理機能のコードの間に埋め込まれ、管理ルートにアクセスした瞬間にサーバー権限で実行される、「暗号通貨ウォレットやパスワード、ファイルなどを盗み出すマルウェア」が潜んでいたことが判明しました。ドッダ氏は「難読化され、悪質な、洗練された詐欺です。プロフィールは本物に見え、直接やりとりする中にもおかしな対応はありませんでした」とその巧妙さを語っています。

その後、ドッダ氏はコメントを求めてヤンチー氏にメッセージを送りましたが、そこから連絡はありませんでした。 ドッダ氏は開発者をターゲットにした今回の詐欺のポイントについて、「面接時間までにテストを完了してください」という時間的プレッシャーを挙げています。コードを手元でレビューするというのは標準的なテストですが、時間的制約から、通常は行うようなセキュリティ確認や安全な環境での実行などを怠る可能性があります。手順を省略して手元環境でコードを実行した時点で、PCがマルウェア感染していた危険性があります。

この詐欺に遭わない方法として、不明なコードは必ず隔離環境でサンドボックス化し、メインのマシンでは絶対に実行しないよう注意が必要です。また、簡単なAIプロンプトでもコードはチェックできるため、常に実行前にチェックする意識が重要だとドッダ氏は述べています。そのほか、SNSのプロフィールが本物らしかったり、実在の企業が確認できたからといって、警戒を緩めてはならないということをドッダ氏は警告しています。

Hacker Newsでドッダ氏のブログが話題になった際には、「LinkedInのプロフィールはまったく本物に見えないため、事前に気付くことはできたはず」と指摘するコメントが複数寄せられました。一方で問題視されているのは、Personaの確認バッジがLinkedInプロフィールについている点です。Personaのバッジがあるということは、身分証明書を用いた身元確認が行われていることを意味します。そのプロフィールが詐欺に使われているということは、Personaのチェックシステムにセキュリティ上の問題があり、Personaの確認バッジを用いて詐欺が行われている可能性があります。なお、ドッダ氏のブログはAIで生成された文章にありがちな特徴が多く、Hacker Newsでは実際に起きた出来事か疑う声も数多くありましたが、ドッダ氏本人がHacker Newsで直接返信し、「Claudeでブログを記述する前に用意していたGoogleドキュメント」を示したことで、実際の興味深い事例だと評価されていました。

・関連記事 リモートワークの求人募集にディープフェイクで作った動画や音声が用いられているとFBIが警告、機密情報にアクセスできるポジションを狙っている模様 - GIGAZINE

IT部門の職を求めてシステムをハッキングした男が逮捕される - GIGAZINE

北朝鮮ハッカーがOpenAIのAIを使って「攻撃用コードの作成」や「詐欺メールの作成」を試みていたことが判明 - GIGAZINE

AppleやGoogleのサポートに偽装してターゲットと通話し仮想通貨やアカウント情報を盗み出すフィッシング攻撃の手口とは? - GIGAZINE

公式サイトに偽の電話番号を表示する詐欺がMicrosoft・Apple・Netflixなどで確認される - GIGAZINE

関連記事: