ベンチャーキャピタリスト、大企業のリクルーター、新しく雇用されたリモートITワーカーには共通点があまりないように思えるかもしれないが、セキュリティ研究者によると、全員が北朝鮮政権のために秘密裏に働く偽者であることが発覚したという。
ワシントンD.C.で開催されたサイバー空間における破壊的脅威に焦点を当てた年次会議「サイバーウォーコン」で、セキュリティ研究者らは金曜日、北朝鮮の脅威に関する最新の評価を発表しました。研究者らは、北朝鮮のハッカーが多国籍企業への就職希望者を装い、北朝鮮政権のために資金を稼ぎ、兵器開発に役立つ企業秘密を盗もうとする継続的な試みについて警告しました。これらのハッカーらは、過去10年間で数十億ドル規模の仮想通貨を盗み出し、北朝鮮の核兵器開発資金として活用することで、数々の国際制裁を回避してきました。
マイクロソフトのセキュリティ研究者、ジェームズ・エリオット氏はサイバーウォーコンでの講演で、北朝鮮のIT労働者は既に偽の身元を作り、世界中の「何百」もの組織に潜入していると述べた。また、北朝鮮人に適用される金融制裁を回避するため、米国に拠点を置く仲介業者に会社支給のワークステーションや収入の管理を依頼しているという。
同国のサイバー能力を調査している研究者たちは、現在、北朝鮮からの脅威の高まりを、戦術や手法はそれぞれ異なるものの、共通の目標は暗号通貨の窃盗にあるという漠然とした複数のハッカー集団の集合体と捉えている。北朝鮮は既に制裁を受けているため、ハッキングによるリスクは極めて低い。
マイクロソフトが「ルビー・スリート」と呼ぶ北朝鮮のハッカー集団は、兵器やナビゲーションシステムのさらなる開発に役立つ可能性のある業界秘密を盗むことを目的として、航空宇宙および防衛関連企業に侵入した。
マイクロソフトはブログ記事で、「サファイア・スリート」と呼ばれる北朝鮮のハッカー集団について詳細を説明した。この集団は、リクルーターやベンチャーキャピタリストを装い、個人や企業から仮想通貨を盗むキャンペーンを展開していた。標的にルアーや最初のアウトリーチで接触した後、北朝鮮のハッカー集団は仮想会議を設定するが、実際にはその会議は不正に読み込まれるように設計されていた。
偽VCのシナリオでは、なりすまし犯は被害者に、中断されたバーチャルミーティングを修復するためのツールを装ったマルウェアをダウンロードするよう圧力をかけます。偽リクルーターキャンペーンでは、なりすまし犯は候補者にスキルアセスメントをダウンロードして完了するよう求めますが、実際にはマルウェアが含まれていました。インストールされると、マルウェアはコンピューター上の他のデータ、例えば仮想通貨ウォレットなどにもアクセスできるようになります。マイクロソフトによると、ハッカーたちは6ヶ月間で少なくとも1,000万ドル相当の仮想通貨を盗んだとのことです。
しかし、これまでのところ最も根強く、対抗するのが困難な活動は、北朝鮮のハッカーたちが、COVID-19パンデミック中に始まったリモートワークのブームに便乗して、大企業にリモートワーカーとして雇われようとする活動だ。
マイクロソフトは、北朝鮮のIT労働者を「三重の脅威」と呼び、彼らが大企業に騙して就職し、北朝鮮政権のために金を稼ぐ一方で、企業の秘密や知的財産を盗み、情報を暴露すると脅して企業をゆすっていると非難した。
北朝鮮のスパイを意図せず雇用してしまった企業は数百社あるが、被害者として名乗り出たのはほんの一握りだ。セキュリティ企業KnowBe4は今年初め、北朝鮮のスパイを雇用するよう仕向けられたものの、騙されたことに気付くとすぐにリモートアクセスを遮断し、社内データの持ち出しはなかったと発表した。
北朝鮮のIT労働者が企業を騙して雇用する方法
北朝鮮のIT労働者による典型的な攻撃活動は、LinkedInのプロフィールやGitHubページといったオンラインアカウントを複数作成し、職業上の信頼性を確立することです。IT労働者は、顔認識や音声変換技術など、AI技術を用いて偽の身元を生成することができます。
採用されると、会社は従業員の新しいノートパソコンを米国内の自宅住所に発送する。しかし、その住所は会社に知られていないが、ファシリテーターが管理しており、会社支給のノートパソコンのファームを構築する任務を負っている。ファシリテーターはまた、ノートパソコンにリモートアクセスソフトウェアをインストールし、地球の反対側にいる北朝鮮のスパイが本当の居場所を明かすことなくリモートログインできるようにしている。
マイクロソフト社は、北朝鮮だけでなく、同国と緊密な同盟国であるロシアと中国からも同国のスパイ活動が確認されており、企業が自社のネットワーク内で北朝鮮のスパイと疑われる人物を特定することがより困難になっていると述べた。
マイクロソフトのエリオット氏は、北朝鮮のIT労働者の所有する、偶然公開されていたリポジトリを入手できたのは幸運だったと述べた。このリポジトリには、北朝鮮のIT労働者が採用活動に使用した偽の身元や履歴書の記録、そして作戦中に稼いだ金額など、作戦の詳細を記したスプレッドシートや文書が含まれていた。エリオット氏は、これらのリポジトリにはハッカーが個人情報窃盗を実行するための「完全なプレイブック」が揃っていると述べた。
北朝鮮は、偽アカウントが企業のメールアドレスを取得するとすぐに、その偽アカウントのLinkedInアカウントを認証し、そのアカウントの正当性を高めるなど、偽者だと見破られるような手口も使うだろう。
これは、ハッカーたちのずさんさについて研究者が挙げた、彼らの活動の本質を明らかにするのに役立った唯一の例ではない。
ホイ・ミョン氏と「SttyK」というハンドルネームで知られる研究者は、北朝鮮のIT労働者と疑われる人物を特定するために、彼らに連絡を取り、彼らの偽の身元の穴を突き止めたと語った。偽の身元は必ずしも慎重に作られているわけではない。
サイバーウォーコンでの講演で、ミョン氏とSttyK氏は、北朝鮮出身のIT職員とみられる人物と会話したと述べた。この人物は日本人を名乗っていたが、メッセージの中では日本語には本来存在しない単語やフレーズを使うなど、言語的な誤りを犯していた。このIT職員の身元には他にも欠陥があり、例えば中国の銀行口座を所有していると主張しながら、IPアドレスからはロシアに所在する人物だと特定されていた。
米国政府は近年、IT労働者誘致計画への対応として、北朝鮮関連組織への制裁を既に発動している。FBIも、悪意のある人物がAI生成画像、いわゆる「ディープフェイク」を頻繁に利用し、IT関連の仕事を獲得していると警告している。ディープフェイクは、多くの場合、盗まれた個人情報から作られる。2024年には、米国検察当局が制裁回避を可能にするラップトップファームの運営で複数の個人を訴追した。
しかし、企業も採用候補者の審査を強化する必要があると研究者らは訴えている。
「彼らは消え去らない」とエリオットは言った。「彼らは長い間ここにいるだろう」
