採用テストが罠に？開発者を狙う新手の攻撃手法Microsoftが警告、偽リポジトリで開発環境が乗っ取られる危険

採用テストを装った攻撃、開発者の信頼を悪用する新たな脅威

採用コーディングテストや技術評価課題を装った悪意あるリポジトリが、ソフトウェア開発者を標的にしています。Microsoft Defender Intelligenceは2025年2月27日、この組織的な攻撃キャンペーンについて警告を発しました。開発者が日常的に行う「コードの取得と実行」という行為そのものが、攻撃の入り口として悪用されています。BleepingComputerの報道によると、この脅威は従来の防御策では検知が難しく、企業のセキュリティ体制の見直しが急務となっています。

攻撃の具体的な手口と技術的な特徴

今回確認された攻撃では、脅威アクターが正規のNext.jsプロジェクトに見せかけた偽のリポジトリを作成しています。これらのリポジトリは一見すると通常の開発プロジェクトと区別がつかず、採用プロセスにおける技術評価資料として開発者に送られるケースが報告されています。

攻撃の技術的な流れとしては、まずPowerShellスクリプトがポータブルJavaランタイムをダウンロードしてステージングを行います。次に「jd-gui.jar」という名前の悪意あるJARファイルが実行され、最終的にマルウェアがシステムに侵入します。この手法が巧妙なのは、Java開発ツールとして広く知られた名前を使用している点です。開発者は正規のツールだと思い込み、警戒心なく実行してしまう可能性が高くなっています。

さらに、ブラウザやチャットプラットフォームを通じて、トロイの木馬化されたゲーミングユーティリティも配布されていることが判明しています。攻撃者は複数の経路を使い分けることで、より多くの開発者を標的にしようとしています。

北朝鮮関連グループとの関連性と攻撃の背景

この攻撃キャンペーンは、北朝鮮のLazarusグループが過去に実施してきた「Operation Dream Job」などの偽求人攻撃と類似した特徴を持っています。同グループは以前から、LinkedIn等のプラットフォームで魅力的な求人を装い、開発者に接触する手法を使ってきました。

注目すべきは、最近相次いで報告されている開発者向けツールの脆弱性や攻撃との同時性です。Claude Codeの脆弱性、GitHub Copilotの脆弱性、OpenClawサプライチェーン攻撃など、開発者が信頼を置いている環境やツールが次々と標的になっています。これは単発の攻撃ではなく、開発者エコシステム全体を狙った組織的な動きと見るべきでしょう。

攻撃者にとって開発者は価値の高いターゲットです。開発環境には企業の機密情報やソースコード、本番環境へのアクセス権限が集約されていることが多く、一度侵入に成功すれば大きな被害をもたらすことができます。

企業が今すぐ実施すべき対策

この脅威から組織を守るために、以下の対策を早急に検討してください。

不明なリポジトリのcloneや実行前には、必ずセキュリティ確認プロセスを設けることが重要です。出所が確認できないコードは、本番環境と隔離されたサンドボックス環境で検証する体制を整えましょう。特に採用プロセスで候補者から提出されるコードや、外部から送付される技術評価課題については、専用の隔離環境での実行を徹底すべきです。

また、開発者向けのセキュリティ啓発を強化することも欠かせません。「信頼できそうに見えるリポジトリ」が必ずしも安全ではないという認識を組織全体で共有する必要があります。定期的な研修やセキュリティアラートの共有体制を構築し、最新の攻撃手法について情報を更新し続けることが求められます。

加えて、エンドポイント保護とネットワーク監視の強化も有効です。PowerShellの不審な実行やJARファイルのダウンロードを検知できる体制があれば、攻撃の早期発見につながります。

まとめ

採用コーディングテストや偽リポジトリを悪用した開発者標的型攻撃が確認されており、Microsoftが警告を発しています。開発者の日常業務そのものが攻撃経路となるため、組織全体でのセキュリティ意識向上と技術的対策の両面からの対応が求められます。

自社のセキュリティ体制に不安がある場合や、開発環境の保護強化についてお悩みの方は、ぜひGXOにご相談ください。180社以上の支援実績をもとに、御社に最適なセキュリティ対策をご提案いたします。

お問い合わせはこちら