暗号資産大手Consensys、北朝鮮関係者への開発業務の誤委託が判明

大手ブロックチェーン企業であるConsensysが、第三者プロバイダーの紹介を通じて、北朝鮮と結びつきのある開発者に業務を誤って外部委託していたことが明らかになりました。同社は調査後に該当する開発者へのアクセス権を即座に遮断し、契約を終了したとしています。この出来事は、Web3業界におけるリモートワークの採用プロセスやサプライチェーンのセキュリティ管理に警鐘を鳴らす事例として注目されています。

第三者プロバイダー経由での採用と発覚の経緯

Consensysは、信頼できるとされる第三者のサービスプロバイダーからの紹介を受け、ある開発者をコンサルタントとして起用しました。しかしその後の調査により、この開発者が北朝鮮と結びついていることが判明しました。

報道によると、この開発者はTyler Knappという偽名を使用しており、約1ヶ月間にわたり同社の一部のシステムにアクセスできる状態だったとされています。北朝鮮とのつながりが発覚した直後、Consensysはセキュリティプロトコルに従ってアクセス権をただちに遮断し、契約を解除したと報じられています。

影響範囲とConsensysの対応

Consensysが行った包括的な調査の結果、資産やデータの不正流出、悪意のあるコードの展開などは確認されず、ユーザーの安全性やセキュリティへの影響はなかったとされています。

同社は、イーサリアム(Ethereum)向けのソフトウェアや、広く利用されている暗号資産ウォレットであるMetaMask(メタマスク)などの開発を手がけることで知られています。今回の事態を受けて、同社は一時的に製品のリリースを停止し、外部委託におけるエンジニアリングや開発業務のプロセスを再評価する方針を示しているとされています。

Web3業界に広がるなりすまし開発者の脅威

北朝鮮に関連するIT労働者が偽の身分や履歴書を用いて、欧米の暗号資産企業やIT企業にリモートワーカーとして潜入する手法は、近年業界全体の深刻なサイバーセキュリティ上の脅威になっているとされています。

彼らは偽のポートフォリオや他人の身元を悪用して採用面接を突破し、得た報酬を自国へ送金したり、企業の内部コードにアクセスして脆弱性を探ったりするリスクが指摘されています。今回、実績のある大手企業であるConsensysが、信頼性の高いプロバイダーを経由したにもかかわらずこのような事態に直面したことは、Web3ビジネスにおける人材採用や外部委託のデューデリジェンス(事前の適性・身元調査)の重要性を改めて浮き彫りにしています。

ポイント

  • Consensysが、信頼できる第三者プロバイダーの紹介を通じて、北朝鮮と結びつきのある開発者に業務を誤って外部委託していたことが判明しました。
  • 同社は発覚後、ただちに該当開発者のアクセス権を遮断し、契約を終了したため、資産やデータの流出、悪意のあるコードの埋め込みなどの被害は確認されなかったと報告されています。
  • 一時的に製品のリリースを停止するなどの対応が取られ、今後は外部委託業務の採用プロセスの見直しが行われるとされています。
  • 北朝鮮のIT労働者が偽の身分でWeb3企業に潜入する手法は業界全体の脅威となっており、採用時の身元確認体制の強化が急務であるという点で注目されます。

監修者:Pacific Metaマガジン編集部

Pacific Metaマガジン編集部は、ブロックチェーン領域を中心に、RWA(リアルワールドアセット)、セキュリティトークン(ST)、ステーブルコイン、NFTなどのトークン活用や、AI×ブロックチェーン領域における事業開発・実装に関する情報を発信する編集チームです。株式会社Pacific Metaが、グループ累計260社以上・41カ国以上のプロジェクトを支援してきた知見をもとに、記事の企画・監修を行っています。

ビジネスでの活用から個人の学びまで、ブロックチェーンやトークンに関する情報を、最新動向と実務でのナレッジを踏まえてわかりやすくお届けします。編集部や事業内容の詳細は、公式サイトをご覧ください。

ニュース
ブロックチェーンマガジン by Pacific Meta