北朝鮮のIT労働者が企業に侵入し身代金を要求

Secureworksの研究によると北朝鮮のIT労働者が偽造された身分証明や盗まれた個人情報を使用し、米国、英国、オーストラリアなどの企業にリモートで雇用されて指摘しています。この活動は北朝鮮の「NICKEL TAPESTRY(ニッケル・タペストリー)」と呼ばれる脅威グループに関連し、稼いだ収益が兵器開発に使われていると報告されています。

欧米の企業へ潜入する偽の北朝鮮IT労働者

偽の北朝鮮IT労働者はリンクドインやその他フリーランスのプラットフォームを利用し、欧米の企業を騙して自身を雇用させ

その組織のネットワークからデータを盗み、漏洩しない代わりに身代金を要求しています。

より裕福な国の企業に就職するためにIT労働者を派遣することは、北朝鮮がサイバー攻撃のための特権アクセスを獲得したり、国の兵器計画のための収益を生み出す手段として長年使用してきた戦術で、実際に

標的型攻撃メール訓練ツールを提供するKnowBe4もこの戦術の被害に遭いました。

なお同社は偽のIT労働者の潜入を検知し適切な対応を行ったため機密情報の漏洩などは発生していません。

その他、イーサリアムのレイヤー2ネットワークである「Blast」上で、プレイされるNFTゲームの「Munchables 」で6250万ドル以上のイーサリアムが不正流出した事を発表しました。この流出にはMunchables の元開発チームの１名が関与しており、調査の結果その人物が北朝鮮のIT労働者である事が指摘されています。

サイバーセキュリティ企業セキュアワークスの研究者らは、こうした詐欺行為を何度も調査する中で、恐喝の手段を発見しました。

企業へ潜入する為に特定の拠点でアクセスポイントを偽装

彼らは企業のラップトップの配送先住所の変更を要求し、多くの場合ラップトップファーム(図参照)に転送し、米国を拠点を経由して実際の場所と会社間のトラフィックをルーティングしていました。

場合によっては、請負業者が会社支給のデバイスではなく個人のラップトップを使用する許可を求め、仮想デスクトップ インフラストラクチャ (VDI) セットアップを強く希望していることを示しました。

少なくとも 1 つの事例では、企業ラップトップはすでに発送されていましたが、デバイスの輸送中に請負業者から配送先住所の変更を要求されたため、組織は出荷をキャンセルしました。

この動作は、企業ラップトップを避けようとする NICKEL TAPESTRY の手法と一致しており、これにより痕跡を残さずに企業ネットワークにリモート アクセスできます。

画像引用：Secureworks

ビデオ通話を避ける

彼らは可能な限り通話中にビデオを有効にすることを避けており、会社支給のラップトップのウェブカメラで問題が発生したと主張していました。ビデオ通話中に「Splitcam」ソフトウェアを使用してビデオ通話をシミュレートし、偽の AI クローンを作成することでウェブカメラを有効にする必要性を回避しています。 

データを漏洩させる

ラップトップファーム戦術により、請負業者は個人のラップトップを使用して組織のネットワークにリモートでアクセスできます。あるケースでは、請負業者は企業の 仮想デスクトップを介して個人の Google Drive の場所に独自のデータを流出させました。

組織がパフォーマンスの低さを理由に雇用を終了した直後、会社は外部の Outlook メール アドレスから一連のメールを受け取りました。

メールの 1 つには、盗まれたデータの証拠を含む ZIP アーカイブの添付ファイルが含まれており、

もう 1 つは、盗まれたドキュメントの公開を回避するために 6 桁の身代金を暗号通貨で要求していました。

その日遅く、Gmail アドレスからのメールで、盗まれたデータの追加の証拠を含む Google Drive フォルダーが共有されました。 FBI にも記載されている行動は、これらのスキームが計算されている事を示しています。

北朝鮮の偽装IT労働者が協力関係にある

おそらく最も気がかりなのは、こうした偽装労働者が協力関係にある事です。

偽装労働者は、お互いに偽の推薦状を提出したり、お互いに代わって職務を遂行したり、さらには別の人物になりすまして電子メールで連絡を取り合ったりすることもあります。

ある事例では、詐欺を進めるために 1 人の人物が複数のペルソナを採用した可能性があると研究者は考えています。

これらの個人は、配達経路の変更や給与支払いなど、ペルソナに同様の特徴と行動を採用することが多かったです。

ある活動では、会社に雇われた複数の北朝鮮の労働者に複数のつながりが表面化し、

候補者 A が将来の雇用者 (候補者 B) の推薦人を提供し、別の不正業者である可能性のある候補者 (候補者 C) が、その請負業者の解雇後に候補者 B と交代しました

またある事件では、電子メールのやり取りで 2 つの異なる書き方が見られたことから、複数の個人が同じメール アドレスでやり取りしていることが示唆されました。この観察結果は、北朝鮮の IT 労働者が同じ場所にいることが多く、仕事を共有している可能性があることを示しています。

北朝鮮の偽装IT労働者の傾向

以下全てに当てはまるわけではないですが、組み合わせると不正の兆候があるので追加の身元や雇用資格の確認が必要になります。

• フルスタック開発者の求人に応募する
• 8～10年の経験を主張
• 以前の雇用主を3～4社挙げる
• 初級から中級レベルの英語のライティングとスピーキングのスキルを示す
• 複数の応募者によって複製されたと思われる要素を含む履歴書を提出する
• 主張する場所とは異なる時間帯に連絡を取り、多様なコミュニケーションスタイルを使用する
• インタビュー中にカメラを有効にしない言い訳をしたり、仮想背景を無効にすることを拒否したりする
• コールセンターの環境から話しているように聞こえる

防止策

• 応募者の身分を厳密に確認し、ビデオ面接を実施。
• 個人のラップトップ使用の要求や給与の送金方法の変更には注意。
• 遠隔操作ツールの使用を制限し、疑わしい行動の監視を強化。

日本でも指摘される北朝鮮の労働者の活動

2024年3月26日　警察庁は北朝鮮のIT労働者が日本人になりすまして国内で業務を不正受注している疑いがあるとして、注意喚起を行いました。

フリーランスの技術者などが企業から仕事を受注するためのオンラインのプラットフォームに、中国などを拠点とする北朝鮮のIT労働者が身分を偽って登録し、日本企業の仕事を受注して収入を得ていると見られるケースが相次いでいるということです。

北朝鮮が日本のアニメ「導具師ダリヤはうつむかない」の制作に関与

2024年4月22日 米国の北朝鮮シンクタンク「38north」が北朝鮮が日本のアニメ「導具師ダリヤはうつむかない」や、Amazonオリジナルのアニメシリーズ「インビンシブル ～無敵のヒーロー～」のシーズン3などに関与していると指摘されました。

この事件は日本の企業が直接的に北朝鮮の企業と取引したわけではなく

日本のアニメ制作会社から中国の企業へ一部業務を委託し、中国の企業から北朝鮮の企業へ再委託した事が原因でした。

一部参照

Fraudulent North Korean IT Worker Schemes: From Insider Threats to Extortion