大手ブロックチェーン企業であるConsensysが、第三者プロバイダーの紹介を通じて、北朝鮮と結びつきのある開発者に業務を誤って外部委託していたことが明らかになりました。同社は調査後に該当する開発者へのアクセス権を即座に遮断し、契約を終了したとしています。この出来事は、Web3業界におけるリモートワークの採用プロセスやサプライチェーンのセキュリティ管理に警鐘を鳴らす事例として注目されています。
第三者プロバイダー経由での採用と発覚の経緯
Consensysは、信頼できるとされる第三者のサービスプロバイダーからの紹介を受け、ある開発者をコンサルタントとして起用しました。しかしその後の調査により、この開発者が北朝鮮と結びついていることが判明しました。
報道によると、この開発者はTyler Knappという偽名を使用しており、約1ヶ月間にわたり同社の一部のシステムにアクセスできる状態だったとされています。北朝鮮とのつながりが発覚した直後、Consensysはセキュリティプロトコルに従ってアクセス権をただちに遮断し、契約を解除したと報じられています。
影響範囲とConsensysの対応
Consensysが行った包括的な調査の結果、資産やデータの不正流出、悪意のあるコードの展開などは確認されず、ユーザーの安全性やセキュリティへの影響はなかったとされています。
同社は、イーサリアム(Ethereum)向けのソフトウェアや、広く利用されている暗号資産ウォレットであるMetaMask(メタマスク)などの開発を手がけることで知られています。今回の事態を受けて、同社は一時的に製品のリリースを停止し、外部委託におけるエンジニアリングや開発業務のプロセスを再評価する方針を示しているとされています。
Web3業界に広がるなりすまし開発者の脅威
北朝鮮に関連するIT労働者が偽の身分や履歴書を用いて、欧米の暗号資産企業やIT企業にリモートワーカーとして潜入する手法は、近年業界全体の深刻なサイバーセキュリティ上の脅威になっているとされています。
彼らは偽のポートフォリオや他人の身元を悪用して採用面接を突破し、得た報酬を自国へ送金したり、企業の内部コードにアクセスして脆弱性を探ったりするリスクが指摘されています。今回、実績のある大手企業であるConsensysが、信頼性の高いプロバイダーを経由したにもかかわらずこのような事態に直面したことは、Web3ビジネスにおける人材採用や外部委託のデューデリジェンス(事前の適性・身元調査)の重要性を改めて浮き彫りにしています。
ポイント
- Consensysが、信頼できる第三者プロバイダーの紹介を通じて、北朝鮮と結びつきのある開発者に業務を誤って外部委託していたことが判明しました。
- 同社は発覚後、ただちに該当開発者のアクセス権を遮断し、契約を終了したため、資産やデータの流出、悪意のあるコードの埋め込みなどの被害は確認されなかったと報告されています。
- 一時的に製品のリリースを停止するなどの対応が取られ、今後は外部委託業務の採用プロセスの見直しが行われるとされています。
- 北朝鮮のIT労働者が偽の身分でWeb3企業に潜入する手法は業界全体の脅威となっており、採用時の身元確認体制の強化が急務であるという点で注目されます。