期待の若手エンジニアを入社初日に解雇 どのように”ある国の脅威アクター”を見抜いた？：せっかく採用プロセスを突破できたのに

セキュリティベンダーExabeamは、採用したエンジニアを入社当日に解雇した。ある国にひも付く脅威アクターだったことを同社が迅速に見極めたからだ。発見の経緯は。

[Alissa Irei，TechTarget]

　2025年夏、若手エンジニアトレバー・ロス氏は、セキュリティベンダーExabeamに採用された。テレワークのポジションだった。

　実は、「トレバー・ロス」は架空の人物だった。北朝鮮の脅威アクターが、盗み出したある人物の個人情報と偽造した書類を使って採用に臨んでいた。努力のかいあって、同アクターはExabeamに採用され、社内ネットワークに侵入できることになった。

　ロス氏は技術面接とコーディング試験で高い評価を得た。無事Web面接を通過したロス氏だったが、採用チーム側は試験中に生成AI（AI：人工知能）を使った可能性を疑っていた。それでもExabeamは内定を提示した。バックグラウンドチェックやフォームI-9（米国の企業に米国内で雇用された従業員や雇用主が、従業員の身元と就労許可の有無を証明するための書類）の確認など、通常の事前審査を経て、同氏はIT部門からノートPCを受け取り、すぐに業務を開始した。

編集部のお薦め記事

　北朝鮮の脅威アクターは、経済誌Fortuneが発表する企業の売上高ランキング「Fortune 500」に名を連ねる企業にとって深刻な脅威だ。米財務省は、北朝鮮出身の脅威アクター数千人が米企業から給与を受け取り、社内システムにアクセスしていると推定している。彼らの目的は2つだ。1つは自国政権の資金確保。もう1つは、不正侵入の足掛かりを得ることだ。近年では、暗号資産の窃取や機密データの盗難、データ恐喝などの被害が発生している。

　こうした攻撃の検知を難しくしている要因もある。北朝鮮の脅威アクターのような存在は数カ月から数年にわたり潜伏する。ExabeamのAIおよびセキュリティ研究担当バイスプレジデントであるスティーブ・ポボルニー氏は、セキュリティカンファレンスRSA Conference（RSAC）2026の講演で次のように述べる。「一般的に、こうした攻撃はゆっくりとした速度で進行する。既存の環境を悪用し、目立たない。気付かないうちは検知されないが、ある時点で露見する」

　だが、ロス氏の勤務1日目は勤務最終日になった。ExabeamのSOC（Security Operations Center）が、ロス氏の初回ログイン時に脅威インテリジェンスを検出したのだ。その結果、北朝鮮の脅威アクターとの関連が指摘されたロス氏のユーザー名は、高リスクとしてフラグ付けされた。この情報を受け、インシデント対応チームはひそかにロス氏の端末へアクセスし、ネットワークから隔離した。

　検出当初、チームは誤検知の可能性も考慮した。ExabeamのCISO、ケビン・カークウッド氏は「新規ユーザーだったため、誤認の可能性もあると考えた」と述べた。

　一方で、SIEM（Security Information and Event Management）は、同ユーザーの行動に関する断片的なアラートを生成していた。具体的には、Web会議ツールZoom関連のWebサイトに見せかけた偽のWebサイトの利用やファイルダウンロード、サードパーティーVPNへの接続試行、リモートデスクトップアプリケーションJump Desktopのインストール、ストリーミングサービスの利用が検出されたのだ。

　これらのアラートは、単独では誤検知にすぎない可能性がある。だが、ここでAIが活用された。

　Exabeamの「Exabeam Nova」はSOCに搭載されている調査用AIエージェントだ。エンドユーザーの行動を分析、評価することで、攻撃者の不審な行動を特定し、認証といったセキュリティ対策を回避するのを阻止するツールであるUEBA（ユーザーとエンティティ行動分析）のデータを自動収集し、新入社員というコンテキストでロス氏の挙動を評価した。その結果、詳細な調査が必要と判断した。さらに行動と意図を分析し、次の結論を提示した。

　「この一連の行動は『悪意あるソフトウェア』の脅威ベクトルと一致する。これは内部不正の前兆である」加えて、SOCアナリストに以下の対応を提案した。

• 端末を隔離し、さらなる侵害や横展開を防ぐ。
• 端末のフォレンジック分析を実施し、感染経路と影響範囲を特定する。
• メールやブラウザ履歴を確認し、フィッシングや不正ダウンロードの有無を調査する。
• スケジュールタスクやレジストリ変更など、永続化の仕組みを確認する。
• 不審な外部IPやドメインへの通信を分析する。