コーディング面接の課題で情報窃取されるところだった、という記事。生成AIで助かっている。
・課題は、ごく一般的な技術(React/Node.js)を使った30分程度のテストだった
・提供されたソースコードのリポジトリは、資料も整っており、本物らしく見えた
・記事の筆者は面接に遅れそうで急いでおり、普段のセキュリティ対策を怠りそうになった
・いつもはDockerなどの隔離された環境でコードを試すが、今回は自分のPCで直接実行しかけた
・コードを実行する寸前に、一抹の不安を覚えてAIアシスタントにコードのチェックを依頼した
・AIアシスタントは、サーバー側のプログラムの中に隠された悪意のあるコードを発見
・そのコードは、数字の羅列に偽装されており、一見しただけでは何をするか分からなかった
・実際には、外部のURLにアクセスし、別のプログラムをダウンロードして実行する仕組みだった
・ダウンロードされるプログラムは、PC内の情報を根こそぎ盗み出す強力なマルウェアだった
・特に、暗号資産のウォレット、ファイル、保存されたパスワードなどが狙われていた
・その攻撃者は証拠隠滅のため、マルウェアを置いていたURLを24時間後に消去していた
教訓:
・LinkedInのプロフィールが本物に見えても、その裏にいる人物が本人とは限らないと疑うべき
・また誰かにコードの実行を急かされたら、それは危険な兆候だと考える必要がある
・必ずDockerコンテナや仮想マシンといった、隔離された安全な環境で動かすべき
・コードを実行する前に、AIツールなどで不審な点がないかスキャンすることが有効な対策