防衛・航空宇宙・ロボティクス領域で注目されるドローン技術は、研究開発データ、制御ソフトウェア、部材の調達情報、運用ノウハウなど多層の機微情報を内包します。近年、これらを狙う攻撃が「脆弱性攻撃」だけでなく、人を起点に侵入するソーシャルエンジニアリングへと明確にシフトしています。報道によれば、北朝鮮系とみられる脅威アクターLazarusが「偽の求人」を用いてターゲット企業に接近し、ドローン関連の技術情報の窃取を狙う事例が確認されています。
偽求人(リクルート偽装)攻撃が増える背景
偽求人を使う攻撃が成立しやすい理由は大きく3つあります。第一に、採用活動は外部との接点が多く、メール・チャット・ファイル共有など経路が多様で、セキュリティ統制が部門横断になりやすいこと。第二に、候補者(または採用担当)という関係性は心理的障壁が低く、履歴書・ポートフォリオ・職務経歴など「ファイルを開く」前提のやり取りが自然に発生すること。第三に、ドローンやAI、組込み開発などの技術職は人材競争が激しく、「急ぎの選考」「好条件」「極秘プロジェクト」などの誘因が通りやすいことです。
攻撃者は採用を“口実”に、標的の従業員へ継続的に接触し、環境情報(利用ツール、使用OS、関係者、社内文化)を学習しながら侵入機会を最適化します。これは単発のフィッシングより成功率が高く、発覚もしにくいのが特徴です。
想定される攻撃シナリオ:求人→面接→侵入の流れ
報道の趣旨を踏まえると、偽求人型の侵入は次のような段階的プロセスで実行される可能性があります。
信頼獲得(リクルーター/企業/候補者の偽装)
LinkedIn等のSNS、技術コミュニティ、学会・イベント参加者リスト、GitHubなどから対象者を選定し、リクルーターや協業先企業を装って接触します。プロフィールを丁寧に作り込み、過去のプロジェクトや実在企業名を織り交ぜることで「もっともらしさ」を積み上げます。
ファイル・リンク誘導(履歴書/課題/ポートフォリオ)
「応募書類」「技術課題」「事前資料」などの名目で、文書・アーカイブ・スクリプト・クラウドリンクのいずれかを送付し、開封や実行を促します。ここでは、マクロ付き文書やショートカット、パスワード付きZip、クラウドストレージ上の不審ファイルなど、検知をすり抜けやすい形式が悪用されがちです。
初期侵入と持続化(端末/アカウントの乗っ取り)
端末上でマルウェアが実行される、あるいは認証情報が窃取されると、攻撃者はメール、チャット、開発環境、ファイル共有、VPNなどへの横展開を狙います。採用関連のやり取りは社外との通信が多いため、不審通信が埋もれやすい点も攻撃者に有利です。
目的達成(技術情報・設計データ・サプライチェーン情報の窃取)
ドローン領域では、飛行制御、航法、姿勢制御、画像処理、無線通信、暗号化、地上局ソフトウェア、部材(モーター、バッテリー、センサー)選定、テストデータ、運用ログなどが価値の高い標的です。さらに、研究開発ネットワークと業務ネットワークの境界が曖昧な組織では、設計情報だけでなく調達・外注・製造委託先の情報までまとめて流出するリスクがあります。
ドローン技術が狙われる理由:軍民両用とサプライチェーン
ドローンは軍民両用(デュアルユース)技術の典型であり、商用の測量・点検・物流の知見が、安全保障分野にも転用可能です。そのため攻撃者の狙いは「完成品の設計図」だけではありません。量産に必要な部材情報、製造プロセス、試験条件、故障モード、コスト構造といった周辺情報は、技術獲得や制裁回避の観点でも価値が高いと考えられます。
また、ドローン開発は多くの場合、ソフトウェア(地上局、クラウド、モバイルアプリ、組込み)とハードウェア、外注先・共同研究先が複雑に絡みます。攻撃者は「最も守りが弱い接点」から侵入するため、スタートアップや大学研究室、外部委託先が踏み台にされることも現実的な脅威です。
企業が取るべき実践的対策
偽求人型攻撃は“人の業務フロー”に溶け込むため、技術的対策と運用対策の両輪が必要です。以下は優先度の高い施策です。
採用プロセスをセキュリティ設計する
採用経路(メール、ATS、チャット、クラウド共有)を棚卸しし、「候補者から受領するファイル形式」「送付先」「社内での閲覧環境」を標準化します。可能であれば、候補者ファイルは専用の受領ポータルに限定し、個人メールや個人クラウドでの受領を禁止します。
添付ファイルとリンクの無害化・隔離
メールセキュリティでのサンドボックス、CDR(Content Disarm & Reconstruction)による文書無害化、URLのリライトと遷移先検査などを組み合わせます。採用担当や技術面接官が受け取る資料は、隔離ブラウザやVDIなど「侵害されても社内に影響を波及させない閲覧環境」を用意すると効果的です。
認証強化と最小権限の徹底
フィッシング耐性の高い多要素認証(可能ならFIDO2等)を採用系アカウント、メール、クラウドストレージ、ソースコード管理に適用します。また、採用担当・面接官の端末が侵害されても被害が限定されるよう、権限の分離(R&D領域へのアクセス制限、条件付きアクセス)を設計します。
研究開発環境の防御:ソース・モデル・設計データを守る
ソースコード管理、設計データ管理、学習データ/モデル保管などは、監査ログの保全と異常検知が重要です。「短時間での大量ダウンロード」「普段使わないIP/国からのアクセス」「退職予定者・委託先アカウントの不審操作」など、データ持ち出しに直結するシグナルを検知できるようにします。
教育は“採用”に特化して実施する
一般的な標的型メール訓練だけでは不十分です。「候補者を名乗る連絡」「課題提出」「面接前資料」など採用シーンに寄せた教材で、具体的に何を疑うべきか(急かす、外部リンク、パス付きZip、連絡手段の変更要求、身元確認の拒否など)を共通言語化します。
インシデント対応:採用経路も監視対象に含める
採用チームの端末、メールルールの改ざん、クラウドストレージの共有設定変更などは、侵害後の典型的な痕跡です。平時からログの取得範囲、初動手順(アカウント停止、セッション無効化、端末隔離、関係者連絡)を整備し、採用関連の取引先・候補者への二次連絡手順も用意しておくと、被害拡大を抑えられます。
経営視点の論点:採用は“攻撃面”であり“競争力”でもある
偽求人攻撃は、従業員の不注意だけに原因を求めると再発します。採用活動は企業成長の源泉である一方、外部接点が集中する重要な攻撃面でもあります。したがって「採用プロセスの設計」「技術・運用・教育の統合」「R&D情報のアクセス統制」をセットで投資判断することが、ドローン技術の競争力維持と安全保障リスク低減の両面で合理的です。
ドローン産業が成熟するほど、狙われるのは“派手なゼロデイ”ではなく“日常業務に紛れた入口”です。採用という当たり前の業務を、当たり前に安全にする——それが現実的で効果の高い対策になります。
参照リンク: