国内のトップテクノロジー企業が、リモートワークを行うIT従業員を雇用するケースが増えている。しかし、その従業員が実は北朝鮮のサイバー工作員だったことが判明した。
彼らの目的は? 優秀なIT技術者の給与を現金化し、北朝鮮の兵器開発プログラムに数百万ドルを流用することだ。
国内のトップサイバー専門家によると、この詐欺はこれまで考えられていた以上に蔓延しており、最近ではフォーチュン500企業の多くを襲っている。この問題は、米国における情報セキュリティ人材の不足と、パンデミック以降のリモートワークの増加に起因している。
これらの工作員が高度なAIツールと米国の共犯者を駆使して手口を進化させている中、米国各�地で新たな詐欺拠点が次々と出現し、企業の最高情報セキュリティ責任者(CISO)やIT幹部を苛立たせている。
この大規模詐欺の標的となった企業の数を数値化することは困難ですが、法執行機関が引き続き取り締まりを強化し、専門家によるこの不正行為がどのように秘密裏に行われているのかを明らかにするにつれ、ますます多くのテクノロジーリーダーが自らの体験を公にしています。
Google CloudのMandiant最高技術責任者(CTO)であるチャールズ・カーマカル氏は、最近の記者会見で次のように述べています。「私はフォーチュン500企業の多くのCISOと話をしてきましたが、北朝鮮のIT労働者問題について話を聞いたほぼ全員が、少なくとも1人、場合によっては10人、あるいは数十人の北朝鮮のIT労働者を雇用したことを認めています。」
サイバー分野のトップセキュリティ専門家への10件近くのインタビューで、この蔓延する詐欺行為は大きな脅威として挙げられ、多くの専門家が自社が被害に遭い、その拡散を阻止するのに苦労していることを認めています。 Google CloudのクラウドCISOであるイアン・マルホランド氏は、同じ記者会見で、Googleは北朝鮮のIT労働者を「パイプライン」に確保していると述べたが、応募者が選考プロセスで見つかったのか、実際に採用されたのかについては明言を避けた。
サイバーセキュリティ企業SentinelOneは、この計画の標的となっていることを公表した企業の一つだ。同社は先月、北朝鮮のIT労働者プログラムに関連する約1,000件の応募を受けたと明らかにした�報告書を発表した。サイバーセキュリティ・インフラセキュリティ庁(CISA)の元事務局長で、現在はSentinelOneのサイバーセキュリティ戦略担当副社長を務めるブランドン・ウェールズ氏は、北朝鮮政府がこの戦略を用いて兵器プログラムの資金を調達する「規模とスピード」は、かつて見られなかったものだと述べた。
専門家によると、この手口は似たような手順を踏む傾向があるという。北朝鮮工作員がアメリカ人の求職者を装い、偽のLinkedInプロフィールを作成する。その際、実在の人物から盗み出した住所や社会保障番号などの情報を利用することが多い。彼らは高給の仕事に一斉に応募したり、偽の身元を使ってリクルーターに連絡を取ったりする。面接に進んだ後は、AIが生成したディープフェイクを使い、なりすましたい人物の姿や声を真似る。多くの場合、これはリアルタイムで行われる。
「ソフトウェア開発に従事する個人が全国に存在し、彼らのペルソナが悪用されている」と、サイバー企業Recorded Futureの脅威情報アナリスト、アレクサンダー・レスリー氏は述べた。「彼らの個人識別情報、つまり社会保障番号、パスポート情報、身分証明書などが盗まれている。」
北朝鮮工作員は、採用されると盗んだ認証情報を使って入社手続きをスムーズに進め、雇用主に仕事用のノートパソコンを米国内のフロントアドレスに送るよう依頼します。これらのフロントアドレスは、多くの場合、数人のアメリカ人が雇われて数十台のノートパソコンを運用している「ノートパソコンファーム」です。
サイバーセキュリティ企業CrowdStrikeの対敵対者対策担当シニアバイスプレジデント、アダム・マイヤーズ氏は、「場合によっては90台ものノートパソコンをセットアップし、ただ接続して電源を入れっぱなしにしている」と述べています。
マイヤーズ氏は、彼のチームが2022年以降、米国企業に侵入する北朝鮮工作員の増加を追跡していると述べました。CrowdStrikeは、様々な組織における潜在的な内部脅威を追跡するプログラムを導入し、最初の1週間で、この計画の被害に遭った企業を30社発見しました。AI技術の進歩と北朝鮮スパイの手口の巧妙化に伴い、これらの取り組みは2024年初頭から活発化しています。
FBI、国務省、財務省が発表した勧告によると、職員1人当たりの平均年収は最大30万ドルに上る。
「この資金は兵器開発プログラムに直接流れており、時にはキム一族に流れているのを目にすることもある」とマイヤーズ氏は付け加えた。「数千万ドル、いや数百万ドルの話だ」
法執行機関は確かに注視しているが、こうしたサイバー攻撃は拡大し、検知が困難になっている。 2月、アメリカ市民のクリスティーナ・チャップマンは、3年間にわたり北朝鮮工作員と協力し、アメリカ人の個人情報を盗み、その活動を維持するためにラップトップファームを運営していたとして逮捕され、有罪を認めた。
この計画だけでも1,700万ドル以上が生み出され、北朝鮮政府に送金されたとされ、300社以上のアメリカ企業に雇用された北朝鮮人が関与していた。これらの工作員は、収益を最大化し、ITペルソナをさらに発展させるために、複数の企業で同時に複数の仕事を掛け持ちしていることが多い。
「これらのペルソナを��実際に操作している人間が何人いるかを特定することは困難ですが、数千種類に及ぶペルソナが存在します」と、マイクロソフトのシニア脅威アナリスト、グレッグ・シュローマー氏は述べた。「つまり、規模は大きく、あらゆる場所に蔓延しているのです。」
司法省は、北朝鮮のIT工作員が60社以上の米国企業に勤務し、80万ドル以上の収益を上げることを可能にした別の詐欺作戦を6年間にわたって支援したとして、2人の米国人を1月に起訴状を発表しました。
FBIの特別捜査官エリザベス・ペルカー氏は、サンフランシスコで最近開催されたRSAカンファレンスのパネルディスカッションで、詐欺師を1人雇えば、他の工作員の推薦状も提供できると述べました。一部の企業は、IT従業員を装った詐欺師が最大10人雇用されていると報告しています。
これらの詐欺師たちは、発覚して解雇された後も、テクノロジー企業から長期間にわたり恐喝を続ける方法を見つけています。企業ネットワークに侵入すると、ハッカーたちはしばしば悪意のあるソフトウェアを仕掛け、機密データや機密情報にアクセスし、企業に巨額の身代金を支払わせます。
「これは非常に適応的な行為です」とペルカー氏は言います。「たとえハッカーたちがいつか解雇されることを承知していたとしても、何らかの金銭的利益を得るための出口戦略を持っているのです。」
連邦政府によるこうした大規模な詐欺行為の阻止に向けた取り組みはある程度成功していますが、専門家は、ラップトップファーム運営者を起訴す�ることが詐欺師の中枢を壊滅させる鍵だと指摘しています。
「FBIが訪問し、その人物に手錠をかけ、すべてのラップトップを没収すれば、彼らは10人から15人の職を失い、既に関係を築いてきた人物を失うことになります」とシュローマー氏は言います。「ですから、確かにある意味では大した損失ではありませんが、実際には、ハッカーにとってはかなりの損失となります。」
北朝鮮工作員は今や米国以外にも活動を広げている。マイヤーズ氏によると、クラウドストライクは英国、ポーランド、ルーマニア、その他のヨーロッパ諸国で同様のIT労働者スキームを追跡しており、レスリー氏によると、レコーデッド・フューチャーは南アジア諸国の組織でこの詐欺が横行しているのを確認しているという。
しかしながら、一部の企業は、厳しい経済制裁下にある政府の代理人に金銭を支払うことによる潜在的な法的影響を懸念し、北朝鮮労働者を雇用したことを公表することに躊躇している。レスリー氏は、たとえ無意識であっても北朝鮮出身の労働者を雇用することは、企業にとって重大なコンプライアンスリスクにつながると指摘する。
「その北朝鮮のIT労働者は、企業が保有するあらゆるウェブ開発ソフトウェアや資産にアクセスできます。そして、その労働者は企業から報酬を受け取り、北朝鮮政府に送り返され、同時にスパイ活動を行っているのです」とレスリー氏は述べた。「これは重大な財務リスクとコンプライアンスリスクをもたらします。」
このスキームの標的となった企業は、羞恥心から沈黙を守ることが多い。ウェールズ氏は、センチネルワンが自社の経験をオー��プンにしてきた理由の一つとして、「この件について話すことで汚名を着せたくない」と述べた。
ウェールズ氏は、「誰もがオープンで正直であることが本当に重要です。私たちが直面している事態の規模を考えると、それが私たちの対処方法だからです」と述べた。
訂正:この記事の以前のバージョンでは、北朝鮮IT労働者計画がセンチネルワンに与えた影響について誤った記述がありました。センチネルワンは北朝鮮IT労働者計画に関連する求人応募を多数受けていますが、実際にこれらの労働者を採用したことはありません。