1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 北朝鮮 偽装 IT労働者によるAI技術の悪用 事例

北朝鮮 偽装 IT労働者によるAI技術の悪用 事例

セキュリティニュース

投稿日時: 更新日時:

北朝鮮偽装 IT労働者によるAI技術の悪用 事例

2024年以降、Microsoftの脅威インテリジェンスチームは、北朝鮮が展開するリモートIT労働者の活動に大きな進化が見られると警告しています。これらのIT労働者は、AI技術を駆使して企業の採用プロセスを欺き、世界中の組織に潜入することで、北朝鮮の政権に収益をもたらしています。

AI技術の悪用と新たな偽装手口

北朝鮮のIT労働者は、採用文書の改ざんにAIを利用することで、よりリアルな偽造身分証明書や履歴書を作成しています。

例えば、AIを用いて顔写真を合成・加工し、職務経歴書やLinkedInプロフィールに使用しています。

画像:Microsoft

更に、ボイスチェンジャーを使用して面接に臨むなど、実在の人物を装うためのテクノロジーも巧妙に活用されています。

これにより、北朝鮮のIT労働者は中国、ロシア、北朝鮮国内からでも、アメリカやその他の国に拠点を置くフリーランスや正社員として働くことが可能となっています。Microsoftはこの活動を「Jasper Sleet(旧称Storm-0287)」と命名し、複数の類似クラスター(Storm-1877、Moonstone Sleetなど)も追跡しています。

また、北朝鮮のハッカーはこういった採用面談を装ったソーシャルエンジニアリング攻撃も積極的に活用しています。

実際、DMMビットコイン482億円流出事案では、このシステムを管理しているGincoのエンジニアへ北朝鮮のハッカーが、LinkedInでGincoのエンジニアへコンタクトを取りその後「採用試験」を装い、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトへのURLを送付し最終的にシステムへ侵入しました。

偽装と潜入のプロセス

このリモート労働詐欺は、複数のステップで構成されています。

まず、盗用またはレンタルされた身元情報をもとに、実在性を担保するため電子メール、SNS、開発者向けプラットフォーム(GitHubなど)でデジタル・フットプリント(身元が特定できるオンライン上の加章夫)を構築します。

採用担当者や企業と接触する際には、AIをあ供養し精巧に作られた履歴書、偽のポートフォリオ、信頼性のあるLinkedInアカウントなどが利用されます。

 

画像:Microsoft

採用後、企業が送付するノートPCなどの機器は、北朝鮮の協力者が管理する”ラップトップファーム”に送られ、そこからVPNやRMMツール(RustDesk、TinyPilot、TeamViewerなど)を使って北朝鮮のIT労働者が接続するという手法が取られています。

組織への具体的な脅威と被害事例

2020年から2022年にかけて、300社以上の米国企業が北朝鮮のIT労働者を雇用していたとされており、その中にはフォーチュン500企業も含まれています。これらの労働者は、組織のソースコードや知的財産へのアクセスを通じて情報を盗み出し、時には企業を脅迫して金銭を要求する事例も報告されています。

セキュリティ系の企業も例外ではなく、標的型攻撃メール訓練ツールを提供しているKnowBe4(ノービフォー)は新入社員として雇用したITエンジニアが身分を偽装した北朝鮮籍の人間で、勤務開始25分で同社の環境へマルウェアをダウンロードしようとしたと発表しました。

なお、KnowBe4 のシステムでは不正アクセスは発生しておらず、データの損失や侵害も発生していません。

日本でも北朝鮮の偽装IT労働者が潜入

このような巧妙な詐欺は、アメリカだけでなく、世界中のテクノロジー企業やアウトソーシング市場にも影響を与えています。

特に日本では、リモートワークの普及により、海外人材の採用が一般化していることから、こうした偽装労働者が日本企業にも入り込む可能性があり、実際に日本企業へ偽装就労している北朝鮮のIT労働者が特定されました。

 

参照

Jasper Sleet: North Korean remote IT workers’ evolving tactics to infiltrate organizations

関連記事

北朝鮮IT労働者の“なりすまし就労”が現実に 日本人2名が支援容疑で書類送検、日本企業への就労実態も解説北朝鮮 IT労働者の“なりすまし就労”が現実に 日本人2名が支援容疑で書類送検、日本企業への就労実態も解説 ランサムウェア 攻撃 グループ Playが伊藤園への不正アクセスと情報窃取を主張ランサムウェア 攻撃 グループ Playが伊藤園へ不正アクセスと情報窃取を主張 KnowBe4 が身分偽装した北朝鮮エンジニアを雇用 マルウェアを仕掛けるのを発見KnowBe4 が身分偽装した北朝鮮エンジニアを雇用 マルウェアを仕掛けるのを発見 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 山形大学、サポート詐欺による不正アクセスで学生の個人情報漏洩の可能性 山形大学、サポート詐欺による不正アクセスで学生の個人情報漏洩の可能性  山形大学、付属中学でサポート詐欺による不正アクセスで個人情報漏洩の可能性-2025年2回目のインシデント山形大学、付属中学でサポート詐欺による不正アクセスで個人情報漏洩の可能性-2025年2回目のインシデント 偽のMac版 Microsoft Teamsがマルウェアを配信偽のMac版 Microsoft Teamsがマルウェアを配信 アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起 VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)