カジノサイト
採用に関する危険信号: 北朝鮮の IT リモート ワーカーを発見
最近の雇用市場は競争が激しいですが、個人のブランディングによってプロフィールを最上位に押し上げることができます。洗練された LinkedIn プロフィールを使用して、次の高収入のポジションを見つけている北朝鮮の攻撃者に尋ねてみてください。
FBIと民間部門のセキュリティパートナーは、今週サンフランシスコで開催された2025 RSAカンファレンス(RSAC)で、朝鮮民主主義人民共和国(DPRK)のリモートITワーカーが民間企業からの給料という形で政権に収入をもたらし制裁を回避しているという根深い問題についてサイバーセキュリティコミュニティに説明した。
「これは非常に洗練された脅威です」と、FBI サイバー部門次長のブライアン・ヴォーンドラン氏は RSAC のセッションで語った。 「この脅威は業界とともに進化し、政府もそれに対抗するために進化してきました。そして、その脅威は非常に蔓延しています。」
米国連邦政府2022年のこの戦術について、北朝鮮は米国と国連の制裁に違反する同国の大量破壊兵器(WMD)と弾道ミサイル計画に貢献するための収入を得るために世界中に何千人もの熟練したIT人材を派遣していると説明している。
3 年後、北朝鮮政権は遠隔雇用計画で引き続き成功を収めており、現在では人工知能 (AI) ツールを活用して、脅威アクターが実際の求人につながる、より説得力のある偽のプロフィールを作成できるよう支援しています。
この戦術は、新型コロナウイルス感染症のパンデミック中に増加しました。リモートワークそれがより一般的になり、北朝鮮政権は個人が民間企業から合法的な仕事を大規模に獲得できることに気づいたと、ヴォーンドラン氏とのセッションに参加したサイバーセキュリティ会社クラウドストライクの脅威インテリジェンス担当上級副社長アダム・マイヤーズ氏は語る。
今年初めに発表された報告書では、この体制が進化しており、脅威アクターとして有名な CHOLLIMA として同社が追跡しているリモート IT ワーカーの問題が広範囲に広がりつつあることが明らかになりました。
「注目すべきことに、有名なチョリマ社は、IT 労働者制度を世界中で大規模に活用することで、2024 年に通貨生成業務を革新しました」とクラウドストライクは書いています。 「2024 年中に、Crowdstrike Falcon Adversary Overwatch の脅威ハンターは 304 件の有名な CHOLLIMA インシデントに対応しました。そのうちの 40% 近くがインサイダーによる脅威活動でした。」
計画の仕組み
脅威アクターは生成人工知能 (genAI) を利用して、空席を確保しようとしている採用担当者の注意を引く LinkedIn プロフィールを作成しています。その後、攻撃者は仮想面接プロセスを経て、多くの場合、盗んだ身分証明書を使用して、自分が本物の人間であることを裏付けます。その後、最終的には、通常は遠隔地の IT 職に雇用されます。会社の観点から見ると、この新入社員はすべてをチェックしているようです。
その後、オンボーディング中に、通常は状況が変わります。新入社員は突然、家族に緊急事態が発生し、旅行する必要が生じ、採用プロセス中に人事部に提供した情報と一致しない新しい目的地に新しい仕事用具 (ラップトップなど) を送ってもらうよう依頼することになります。
この新しい場所は通常、ラップトップ ファームであり、米国外の攻撃者がリモートでアクセスできるようにラップトップの電源を入れてインターネットに接続しておくために誰かが報酬をもらっています。ラップトップを保管している個人の中には、無意識のうちにそうしている人もいる、とFBI特別捜査官エリザベス・ペルカー氏は言う。彼はこの活動の専門家であり、RSACにも勤務していた。
これらの個人のほとんどは、ラップトップをホストするためだけにオンラインで募集されており、中国に拠点を置く一部の人々に便宜を図っていると考えているとペルカー氏は付け加えた。事務局は、1 つの場所に 1 ~ 2 台のラップトップ、極端な場合には 1 つの住居に最大 90 台のラップトップを確認します。
信じられないかもしれませんが、これらの脅威アクターは非常に成功しています。ペルカー氏によると、FBIはこの戦術について少なくとも200件の被害者通知を企業に発行したという。一方、マイクロソフトは、北朝鮮の IT 従業員が使用する何千ものペルソナとアイデンティティを追跡していると、同じくパネルに参加したマイクロソフトの上級脅威インテリジェンス アナリストであるグレッグ シュローマー氏は述べています。
「民間部門による立ち退きや緩和措置の中でも、引き続き大量の活動が見られます」とシュローマー氏は説明する。 「あらゆる組織が標的となります。」
これらの攻撃者は、一旦給与を取得すると、別の連絡先に企業ネットワークへのアクセスを提供してマルウェアをインストールする可能性があり、これは主に暗号通貨やプラットフォーム認証情報の盗難に使用されているとシュローマー氏は付け加えた。これらの攻撃者は、そのアクセスを利用して、専有データを盗んだり、役職を解雇された後にデータを恐喝したりするなど、他の悪意のある活動を実行する可能性もあります。
「この脅威は非常に順応性が高いです。彼らには出口戦略があり、金銭的利益を得る計画があるのです」とペルカー氏は言います。
たとえば、FBI のインターネット犯罪コンプライアンス センター (IC3)2025 年 1 月、北朝鮮の IT 労働者によるデータ恐喝と機密データの盗難について民間企業に警告。この勧告では、資格情報の盗難の脅威についても警告しています。
「北朝鮮の IT 従業員は、会社以外のデバイスから作業セッションを開始したり、さらなる侵害の機会を得るために、機密性の高い会社の資格情報やセッション Cookie を収集しようとする可能性がある」と勧告には記載されています。
攻撃者は主に米国に拠点を置く企業をターゲットにしていました。しかし、マイヤーズ氏は、国内に拠点を置くラップトップファームを混乱させる法執行機関の行動により、攻撃者は海外に目を向けるようになったと述べています。
これらの攻撃者は英国、ルーマニア、ポーランドで確認されており、場合によっては少なくとも 14 か月間民間企業に雇用されている場合もあります。マイヤーズ氏は、この計画は今後も進化し続け、攻撃者は「すぐに儲かる簡単な金を探し、否定可能で追跡が容易ではない方法でそれを実行する」と述べた。
この脅威の発展の可能性に関する 1 つは、このリモート IT ワーカー キャンペーンを実行する攻撃者の集団と、防衛、核、航空宇宙能力に関連する知的財産の潜在的な窃盗との関係の可能性である、とシュローマー氏は言います。
「IT リモート ワーカーが本当に重要な国家安全保障の窃盗を可能にする将来のシナリオに陥らないように、強力な検出と対応に関する推奨事項が必要です。」と Schloemer 氏は付け加えました。
探すべきフラグ
リモートで働くことには、会社で働くために世界中から優秀な人材を採用できるなど、多くの利点があります。しかし、このアプローチには、オンラインで候補者とのみやり取りする場合、特にシステムに打ち勝つように訓練された候補者とのみやり取りする場合には、いくつかのリスクも伴います。
シュローマー氏は、これらの脅威アクターの検出には技術指標と行動指標という 2 つの側面があると述べています。
これらの技術指標には、パブリック VPN サービス、リモート管理ツール、および企業のラップトップでは通常許可されていないその他のプログラムやツールの使用が含まれる場合があります。
行動面では、会議への欠席、直前のキャンセル、場所の変更などの頻繁な言い訳がフラグに含まれる可能性があります。
「遠隔地の従業員が北朝鮮の IT 労働者である可能性を示す行動上の兆候には、仕事や知識の質の顕著なばらつきが含まれます」と Schloemer 氏は説明します。 「たとえば、面接では高いパフォーマンスを発揮するが、仕事ではパフォーマンスが低い。あるいは、高品質のコードを書いているのに、そのコードがどのように機能するかを説明できない様子を見せている。これは、複数の異なるオペレーターが舞台裏で役割を果たしている可能性があることを示している。
「さらに、面接プロセスと仕事中では、カメラに映る見た目の異なる人物を探してください。」と Schloemer 氏は続けます。 「組織は、低い仕事の質にも目を向けるべきです。ただし、注目すべきことに、一部の北朝鮮の IT 労働者は非常に熟練しており、非常に高いパフォーマンスを発揮する可能性があります。」
しかし、シュローマー氏は、脅威アクターが成熟するにつれて、それらを検出することがより困難になってきていると警告しています。
「これらの変化を検出して対応できるよう、防御者としても対応者としても適応力を持たなければなりません。」とシュローマー氏は付け加えます。
このため、この活動の明らかな兆候について最前線のマネージャーを教育することが重要です。これらの個人は、直属の部下が何をしているか、行動の変化、および一般的な仕事のパフォーマンスに最も注意を払う必要があります。
従業員のパフォーマンスを監視し、その従業員と厳しい会話を交わすことが、クラウドストライクが特定した最大の緩和課題であるとマイヤーズ氏は言います。
「多くのマネージャーはパフォーマンスについての難しい会話をしたくないのです」とマイヤーズ氏は説明し、直属の部下は素晴らしい仕事をしているわけではないかもしれないが、ひどい仕事をしているわけでもない、なんとかやり過ごしていると付け加えた。 「これは誰もが考えるべきことであり、私たちが目の当たりにしている脅威に焦点を当てる方法でもあります。私たちは業界として、そして人々の管理者として、このことを真剣に受け止めなければなりません。」
リスクを所有し、軽減する
DPRK のリモート IT ワーカー計画に関連するリスクがあり、セキュリティ チームが評価と軽減に関与することになりますが、コミュニティ内には、これはセキュリティ チームが所有するリスクであってはいけないという感覚があります。
Netskope の CISO である James Robinson 氏は、 のインタビューで次のように述べています。セキュリティ管理この戦術は今週 RSAC で他の CISO と議論した際に浮上したとのこと。多くの人の一致した意見は、これは人的資源の問題であり、セキュリティが協力する必要があるが、責任は負わないということでした。
人材管理協会 (SHRM) は、180 か国に 340,000 人の会員を擁する人事リーダーのための主要な専門職団体です。同協会の広報担当者は、北朝鮮のリモートワーカー計画と、この戦術に関して協会が会員に提供したガイダンスについてコメントすることを拒否した。
最終的に誰がリスクを負うかに関係なく、セキュリティ チームがビジネスを保護し、これらの脅威アクターを特定するために実行できる手順があります。
ロビンソン氏は、数か月前にこの手法を初めて知ったとき、地元の FBI 現地事務所に、自分自身、人事部長、会社の法務チームにこの手法についての説明を依頼したと述べています。これをロビンソン氏は「良いプロセス」と呼び、他のセキュリティ リーダーに推奨しています。 Netskope はその後、脅威のリスクを軽減するための行動計画をまとめ始めました。
IC3 は、データ監視の実施を推奨しました。これには、ネットワーク上で、リモート デスクトップ アプリケーションをインストールするための権限を制限します。
政府機関はまた、共有ドライブ、クラウド アカウント、プライベート コード リポジトリを介したデータ漏洩を特定するために、異常なネットワーク トラフィックの監視と調査、ネットワーク ログとブラウザ セッション アクティビティの監視を行うことを提案しました。さらに、セキュリティ チームは、複数の音声通話やビデオ通話の同時実行を可能にするソフトウェアの使用をエンドポイントで監視することもできます。
IC3 はまた、遠隔地からの雇用プロセスを強化するための勧告も提供しました。最大の推奨事項の 1 つは、採用と新人研修のプロセスをできるだけ直接対面で完了することです。 Schloemer 氏は、これは、摩擦点がほとんどなく簡単に実現できる成果を求めているこの攻撃者に対する効果的な戦略になる可能性があると述べています。
「しかし、パネルディスカッション中に議論したように、これは特に機敏で順応性の高い俳優です」とシュローマー氏は付け加えました。 「組織がそのような対面要件を実装した場合、攻撃者はイネーブラーのエコシステムを確実に適応させて、誰かが直接出向いてデバイスを回収したり、身元調査の段階を完了したりできるようにすることができます。」
この戦術のリスクを軽減するために組織が講じることができる手段は他にもあります。これには、面接、新人研修中、およびリモートワーカーの雇用期間全体を通じて身元確認プロセスを導入することや、同じ履歴書や連絡先情報を持つ他の応募者の人事システムを照合することが含まれます。
「北朝鮮の IT 労働者がビデオ就職面接中に、本当の身元を曖昧にするために人工知能と顔交換技術を使用しているのが観察されている」と IC3 は述べた。
さらに、北朝鮮の IT 職員が別の人向けであるはずのアプリケーションで電話番号や電子メール アドレスを再利用しているため、組織は応募者の通信アカウントの確認を検討する必要があります。
北朝鮮のIT職員の多くは米国以外の教育機関に通っていると主張しているため、面接プロセス中、面接対象者は所在地や学歴に関する情報につながる「ソフトな」面接質問をすることを検討すべきである。
IC3 は、組織が提携しているサードパーティの人材派遣会社がこれらの推奨事項に従っていることを確認することも提案しました。
サードパーティの人材派遣会社は、これらの攻撃者が組織にアクセスする最大の媒介の 1 つである、とシュローマー氏は言います。
「その採用プロセスはブラックボックスです。その人物がどのように精査されたかについてはあまり把握できません」とシュローマー氏は説明します。 「この脅威について彼らと話し合い、そのプロセスを可視化するためにできる限りのことを行うことは価値があります。」
ロビンソン氏は、FBI でこの脅威について説明を受けた後、これが Netskope がこの問題に対処するために取った最初のステップの 1 つであり、人材派遣会社と FBI を接続して説明会を行うことと併せて、他の組織にも推奨するステップであると述べています。
これは、脅威アクターが次に向かう可能性のある米国外で役割を果たそうとしている企業にとって、特に重要になる可能性があるとペルカー氏は言います。
「米国以外に従業員がいる場合は、パートナー チームが採用、採用、およびマネージャーとしてこの状況を追跡していることを確認してください。」とペルカー氏は付け加えます。 「これらの危険信号ボックスにチェックを入れている人を特定した場合は、 までご連絡ください。。また、世界中に FBI 捜査官のチームがいます。」
各組織が従業員の見直しをどのように実施し、この脅威に対処するかは、その独自のポリシーや規制により異なるように見えるかもしれませんが、従業員の中に北朝鮮のリモート IT ワーカーを特定した場合、対応は同じになるはずだとシュローマー氏は言います。
「従業員の中の個人が北朝鮮の IT 労働者の活動に関連しているという高い確信度に組織が達したら、最も重要なステップは、データの盗難や恐喝など、さらなる侵害や破壊的行為を防ぐために、すべてのシステムとデータへのユーザーのアクセスをできるだけ早く停止することです。」とシュローマー氏は説明します。
