Googleの脅威インテリジェンスグループ(Google Threat Intelligence Group(以下、GTIG))は、北朝鮮のIT労働者の活動範囲と規模が拡大していることを発表した。
北朝鮮のIT労働者は、合法的なリモートワーカーを装って企業に侵入し、政権のために収益を生み出しているという。彼らを雇用する組織は、スパイ活動、データ盗難、混乱のリスクにさらされるとしている。
GTIGはパートナーと連携し、ヨーロッパでの活発な活動の増加を特定。脅威が米国外に拡大していることを確認したという。この増加は、恐喝キャンペーンの激化や企業の仮想化インフラストラクチャ内での活動への移行など、戦術の進化と結びついているとのことだ。
IT労働者はヨーロッパを中心に世界的に拡大
米国は依然として主要なターゲットだが、過去数ヵ月間は米国内で職を探し、維持するのが困難だったという。これは、公的報告、米国司法省の起訴、および就労資格の検証の課題を通じて、脅威に対する認識が高まったことによるものと考えられるという。これらの要因により、IT労働者の活動は世界的に拡大しており、特にヨーロッパが注目されているとのことだ。
ヨーロッパにおけるIT労働者の活動
2024年後半、北朝鮮のITワーカー1人がヨーロッパと米国で少なくとも12のペルソナを操作していたという。このITワーカーは、ヨーロッパ内の複数の組織、特に防衛産業基盤と政府部門の組織で積極的に就職活動をしていたとのこと。この人物は、偽造された推薦状を提供したり、求人担当者と信頼関係を築いたり、自分が管理する追加のペルソナを使用して信頼性を保証したりといったパターンを示したとしている。
また、追加の調査により、ドイツとポルトガルで就職活動を行っている他のIT労働者のペルソナや、欧州の求人サイト、人材管理プラットフォームのユーザーアカウントのログイン認証情報が発見されたという。
加えてGTIGは、英国で北朝鮮のIT労働者が行っているプロジェクトポートフォリオも観察。これらのプロジェクトには、Web開発、ボット開発、コンテンツ管理システム(CMS)開発、ブロックチェーン技術が含まれており、従来のWeb開発から高度なブロックチェーンやAIアプリケーションに至るまでの技術的専門知識を示しているとのことだ。
特定された具体的なプロジェクトは次のとおり。
- Next.js、React、CosmosSDK、Golang を使用した Nodexaトークンホスティングプラン・プラットフォームの開発、および Next.js、Tailwind CSS、MongoDB、Node.jsを使用した求人マーケットプレイスの作成
- ブロックチェーン関連のプロジェクトには、SolanaとAnchor/Rustスマートコントラクトの開発、およびMERNスタックとSolanaを使用して構築されたブロックチェーン求人マーケットプレイスが含まれる
- Next.jsとTailwind CSSを使用してページを追加することで既存のウェブサイトに貢献
- Electron、Next.js、AI、ブロックチェーン技術を活用したAI Webアプリケーションの開発
こうした地位を確保するために、北朝鮮のIT労働者はイタリア、日本、マレーシア、シンガポール、ウクライナ、米国、ベトナムなど、様々な国の国籍を偽って主張する欺瞞的な戦術を採用したという。使用された身元は、実在の人物と捏造された人物の組み合わせだったとしている。
ヨーロッパのIT労働者は、Upwork、Telegram、Freelancerなどのオンラインプラットフォームを通じて採用されたとのことだ。彼らのサービスに対する支払いは、暗号通貨、TransferWiseサービス、Payoneerを通じて行われ、資金の出所と行き先を不明瞭にする手法が使用されていることが浮き彫りになったという。
ファシリテーターがヨーロッパでの事業をサポート
IT労働者が仕事を見つけたり、身元確認を回避したり、不正に資金を受け取ったりするために利用する仲介者も、ヨーロッパで発見されているとのことだ。ある事件では、北朝鮮のIT労働者が米国と英国の両方にいる仲介者を利用していたという。特に注目すべきは、表面上はニューヨークで使用することを意図していた企業用ラップトップが、ロンドンで動作していることが判明した点とのことだ。これは、複雑な物流チェーンを示唆しているという。
仲介者とみられる人物が利用していたインフラの調査でも、ヨーロッパへの関心が高まっていることが浮き彫りに。発見された情報源には、セルビアのベオグラード大学の学位やスロバキアの住居が記載された履歴書など、偽造された人物名や、ヨーロッパの求人サイトを閲覧するための指示が含まれていたという。
また、偽造パスポートを専門とするブローカーの連絡先も発見され、偽造身分証明書を入手するための組織的な取り組みが示唆されたとしている。ある文書には、通信中にセルビアの時間帯を使用することなど、セルビアでの就職活動に関する具体的な指示が記載されていたとのことだ。
恐喝が激化
GTIGは、2024年10月下旬以降、IT労働者が恐喝行為を増やし、より大規模な組織を狙うようになったと評価している。
これらの事件では、最近解雇されたIT労働者が、以前の雇用主の機密データを公開するか、競合他社に提供すると脅迫した。このデータには、社内プロジェクトの専有データとソースコードが含まれていたという。
恐喝キャンペーンの増加は、妨害や起訴を含む、北朝鮮のIT労働者に対する米国の法執行措置の強化と同時期に起こっているという。これは、IT労働者に対する圧力が、収入源を維持するためにより積極的な手段を採用するよう彼らを駆り立てている可能性があるという、潜在的な関連性を示唆しているとのことだ。
以前は、職場から解雇された労働者は、会社に再雇用されるために別の人格の推薦状を提出しようとしたかもしれないという。労働者は、正体がばれて再雇用の試みができなくなるため、解雇されたのではないかと疑っていた可能性があるという。仮想ワークスペース:BYODはIT ワーカーにリスクをもたらす
企業所有のノートPCの配布を避けるために、一部の企業ではBYOD(個人所有デバイスの持ち込み)ポリシーを採用し、従業員が仮想マシンを通じて企業システムにアクセスできるようにしているという。監視可能な企業所有のノートPCとは異なり、BYODポリシーで運用されている個人所有のデバイスには従来のセキュリティおよびログ ツールがないため、アクティビティを追跡して潜在的な脅威を特定することが困難だとしている。従来のセキュリティ対策がないため、企業所有のノート PCの発送先住所やエンドポイントソフトウェア・インベントリから得られるような、IT従業員にリンクされた典型的な証拠の痕跡は利用できないとのことだ。このため、悪意のあるアクティビティが検出されないリスクが高まるとしている。
GTIGは、ITワーカーがBYOD環境を潜在的に攻撃の標的として認識しており、2025年1月には、これらのシナリオで雇用主に対する攻撃を実行していると考えているとのことだ。
結論
世界的な拡大、恐喝戦術、仮想化インフラストラクチャの使用はすべて、北朝鮮の IT 担当者が採用している適応性の高い戦略を浮き彫りにしているという。米国内で脅威に対する意識が高まったことを受けて、彼らは不正行為者のグローバルエコシステムを構築し、運用の俊敏性を高めているとのことだ。英国で仲介者が発見されたことと合わせて、これは彼らの継続的な運用を可能にするグローバルインフラストラクチャとサポートネットワークが急速に形成されたことを示唆しているという。
【関連記事】
・北朝鮮による「世界規模のデータ窃取攻撃」を調査──SecurityScorecard
・日米韓、ブロックチェーン技術産業に対し共同で注意喚起 北朝鮮IT労働者の雇用リスクや標的型攻撃に注意
・DMMビットコインが約482億円の暗号資産を流出 「北朝鮮系攻撃グループ」が関与、警察庁らが注意喚起
