インサイダーリスク管理会社DTEXはCyberScoopに対し、北朝鮮国籍の人物が、これまで考えられていたよりも広範囲に及ぶ組織的かつ根深いアクセス手段を用いて、世界中の企業に侵入していると語った。
北朝鮮の技術専門家集団は、単に臨時のフリーランスITワーカーとして企業に侵入しているわけではない。彼らは、企業システムへの最高レベルのアクセス権を持つ、様々なスキルセットを持つエンジニアやスペシャリストとしてフルタイムの雇用を得ているのだ。
「当社はフォーチュン・グローバル2000企業の幅広い層と取引しており、現在、顧客基盤の7%を対象に調査を進めています」と、DTEXの共同創業者兼社長であるモハン・クー氏はインタビューで述べた。DTEXは数百の顧客を抱えており、数千もの重要インフラ組織に�北朝鮮工作員が侵入していると推定している。
「現在調査中の人物、つまり現在調査中の侵入者の中には、実際に王国への鍵を握っている者もいます」とクー氏は述べた。 「彼らは特権アクセス権を持ち、他の従業員のアクセスをオン/オフにする権限を持っています。ソフトウェアのインストールとアンインストールの権限も持ち、コードを書く権限も持っています。」
DTEXの継続的な調査によると、北朝鮮政権による長年にわたる計画は、契約業務の枠をはるかに超え、従来のIT業務の枠を超えた役割にまで及んでいることが示唆されています。司法省と財務省は、数千人の専門技術者を国外に送り出し、偽りの口実でフリーランスの仕事に就かせ、その賃金を平壌に還流させるという北朝鮮の計画に関与したとされる起訴状と制裁対象者を公表しています。
複数の脅威ハンターが、北朝鮮に関連する内部脅威活動の急増を観察している。クラウドストライクの敵対者対策責任者であるアダム・マイヤーズ氏は先月、「膨大な数の企業」が、技術開発部門に北朝鮮人を知らず知らずのうちに雇用していると述べた。
クラウドストライクが昨年対応したインシデント対応案件のうち、Famous Chollimaとして追跡している北朝鮮の国家支援グループに関わる案件の約40%が内部脅威によるものだった。パロアルトネットワークスのUnit 42インシデント対応案件のうち、内部脅威は昨年5%を占め、北朝鮮に関連する案件の数は2024年には3倍に増加した。
組織が知らず知らずのうちに複数の北朝鮮国籍者を雇用するケースは少なくない。「通常は1人だけではない」と、DTEXの内部情報調査ディレクターであるロブ・シュート氏は述べた。
「1件の侵害は始まりに過ぎない」と彼は述べた。 「まるで家の中に虫が大量発生したようなものです。虫を一匹見かけたら、薬剤を散布して駆除したり、外へ追い出したりできるかもしれません。しかし、壁や隙間、裂け目には、もっと大きな問題が潜んでいることが分かっているはずです。」
素早い方向転換、他のネットワークへの移動
北朝鮮国籍の人物が採用され、入社手続きを開始すると、彼らは組織へのさらなる侵入に向けて迅速に動き出します。
彼らは仮想デスクトップインフラ環境に移動し、ある組織から付与されたアクセス権を利用して、第三者(多くの場合、信頼できるパートナー)へと侵入します。
「これにより、サプライチェーンへの侵入という脅威が顕在化し、非常に複雑な問題となります」とKoo氏は述べています。
北朝鮮が支援する内部脅威に関するDTEXの調査は、「憂慮すべき結論」に達したとKoo氏は述べています。これは、既知の侵害の範囲が広範囲に及んでおり、これまで確認されているよりもさらに蔓延している可能性が高いという衝撃的な現実です。
「我々が本当に捕まえているのは、オペレーションセキュリティ上のミスを犯している愚か者だけです。彼らは、我々が侵入されたとは知らなかった場所で活動しています」とシュエット氏は述べた。つまり、北朝鮮の技術者たちは、おそらく数十もの侵入先組織で同時に活動しており、その中には彼らが雇用され��ていない組織も含まれている可能性がある。
北朝鮮国民は、様々なリモートアクセスツールもインストールしている。これらのツールは使用が承認されており、多くの場合、従業員がシステムの設定を行い、最初にアクセスできるようになる際の典型的なオンボーディング手続きに紛れ込んでいる。
「彼らは特定のIDと特定の個人を利用して就職活動を行っており、その個人のスキルセットは組織での就職活動に特化している」とクー氏は述べた。「しかし、就職活動が成功すれば、それは単なるアクセス権であり、他の従業員が業務を遂行できるようにするためにこれらのリモートツールを使用するのです。」
北朝鮮の技術者たちは、ほとんどの人よりも優れた仕事をしている
北朝鮮の技術者たちがもたらす脅威は、他の国家支援活動と比べて際立っている。なぜなら、彼らは企業から報酬を得ている仕事をしているからだ。「場合によっては、ほとんどの人よりも優れた仕事をしている」とクー氏は述べた。
複数の人間が1人の担当者に割り当てられたタスクを実行し、特定の分野の何千人もの専門家の支援を受けているため、彼らは雇用主の目にはロックスターのように映るかもしれない。組織にとっては、最も優秀な従業員が過剰な量の仕事をしているように見えるのだ。
しかし、DTEXは、北朝鮮の技術者と疑われる人々の業務マシン上での活動を追跡し始めたところ、複数の危険信号を発見した。
「北朝鮮の技術者の行動は、他の誰と比べても完全に異常だ。つまり、ログインに非常に長い時間がかかり、その後ログアウトが全く行われないのだ」とシュエット氏は述べた。
「彼らは人間が耐えられるはずのないほどの回数をこなすので、ログアウトするまでに4~5日もかかるのです。ログアウトする人さえいないでしょう」と彼は述べた。
この想像を絶するほどの生産性の高さは、北朝鮮の労働者がリモートセッションを開き、同様の専門スキルを持つ共謀者とされる他のメンバーとデスクトップを共有することで実現する。活動の急増は、シフト交代時や複数の人が隣り合って作業し、互いに影を落としている時に起きる。
北朝鮮の労働者のログインとログオフ、あるいはマシンのロック解除と施錠の間には平均6~7日かかるが、DTEXは3週間もの間、休むことなく活動が続いた事例を1件確認した。
今は給料に動機づけられているが、次は何だろうか?
今のところ、北朝鮮の技術労働者は就職し、仕事をこなし、稼いだお金を平壌に送金することに集中している。
Unit 42によると、北朝鮮の技術者は北朝鮮政権に数億ドルの利益をもたらしている。
スパイ活動、恐喝、重要インフラへの破壊的な攻撃など、後続の活動の可能性は高い。
「彼らが今後もそうするだろうと考えるほどナイーブな考えは馬鹿げている」とクー氏は述べた。「彼らが別の方法で武器化しようと決めた時点で、彼らはそれを実行する権限を持っているため、我々は警戒を怠ってはならない」
クー氏は、これはあくまで仮説ではあるものの、世界中の数え切れないほど多くの企業で働く北朝鮮の技術者が、バックドアを仕掛けたり、重要インフラの電源を切ったり、その他の破壊工作を行なわないと考えるのは「考えられない」と述べた。
「彼らにそう��する動機が生まれる適切な時期が来ればそれでいい」と彼は述べた。
セキュリティ専門家は、組織が求職者から潜在的な内部脅威を特定することは難しいが、不可能ではないことを認めている。
リモートワークの応募者にカメラの前での立ち振る舞いと政府発行の身分証明書の提示を求めるのは良い方法ですが、万全ではありません。カメラの前での応募者の行動、例えば目をそらしたり、面接を手伝ってくれる他の人の指示に従ったりするなど、注意深い観察をすることで、有益な洞察が得られる可能性があるとシュエット氏は述べています。
「面接を受けている応募者と同じ部屋には、他の人がいます」とシュエット氏は言います。「皆さんはどうか分かりませんが、私が求職活動をする時は、スターバックスのような公共の場所で応募することはないでしょう。」
その他の兆候としては、応募者の履歴書に長い空白や、開発され広く普及する前の技術に関する専門知識を主張しているなど、一貫性のなさなどが挙げられます。
人事担当者や採用担当者は、北朝鮮の内部脅威に対する第一線で防御しています。しかし、彼らがその段階を通過して就職したとしても、企業は会議、メール、コラボレーションプラットフォームにおけるコミュニケーション不足などの特異な行動に注目し、潜在的な問題を発見することができます。
北朝鮮の技術者たちは「昨晩のサッカーの出来を聞かない」とシュエット氏は言う。「彼らは新しく見つけた素敵なレストランの話もしない。話せないからだ」