ほとんどのビジネスオーナーは、サイバー攻撃、ランサムウェアの要求、偽の求職者による詐欺行為などの増大するリスクから自らを守るために、少なくとも何らかの努力を払っています。現在、セキュリティ専門家は、数千人もの北朝鮮工作員が偽の身元を作成し、米国企業のリモートITワーカーとして就職し、その後、報酬とデータを平壌の政府に送金していることによる脅威の高まりについて警告を発している。
朝鮮民主主義人民共和国(DPRK)の偽者が、一般のリモートITワーカーとして米国企業に潜��入するという脅威は目新しいものではないが、専門家によると、この脅威は驚くべきスピードで増加しているという。サイバーセキュリティ専門家のSentinelOneが先月発表した調査では、数千人の北朝鮮人が大手IT企業や多くのフォーチュン500企業に就職する、広範囲で極めて活発、そしてしばしば効果的な陰謀が詳細に説明されている。SentinelOneの報告書は、「我々が監視している他のどの内部脅威ベクトルよりもはるかに速いペースで、驚異的な数の継続的な侵入試行」について警告している。
最近のPoliticoの報道で引用された専門家によると、北朝鮮の工作員は、実在する米国のIT従業員の個人情報を盗むか捏造し、高給の技術職の求人情報を探して求人サイトをくまなく調べている。そして、それらの求人に殺到して応募することで、一部の工作員が面接に進む確率を高めている。 Politicoによると、詐欺師たちは人工知能を駆使し、「なりすましを狙う人物に似せた見た目と音声のディープフェイクを、多くの場合リアルタイムで作成している」とのことです。
SentinelOneの報道によると、「これらの詐欺師たちはただ闇雲に応募しているのではなく、応募プロセスを洗練させ、盗用または捏造した人物像を活用し、求職活動の手法を巧みに変化させ、正規の求職者を模倣するほどに説得力のある手法を編み出している」とのことです。 「私たちのチームは、SentinelOneへの応募を狙った北朝鮮のITワーカー活動に関連する約360件の偽装人物と1,000件以上の求人応募を追跡しました。中には、SentinelLabsの諜報エンジニアリングチーム自体のポジションを確保しようとする大胆な試みも含まれています。」
一度採用されると、侵入者は本物のリモートIT業務を提供し、雇用主が彼らの欺瞞を見破れるような手がかりをほとんど残しません。専門家によると、彼らの最初の目的は、高額な給与を政府の軍事開発プログラムに渡すことです。しかし、これらの仕事に就いている間、彼らはしばしばマルウェアを仕掛け、ネットワークにアクセスできるように設定し、万が一逮捕・解雇された場合に備え、データ窃盗や身代金攻撃を実行できるようにします。
北朝鮮で行われている業務の場所は、米国にいる共犯者によって隠蔽されており、雇用主は知らず知らずのうちに会社支給のノートパソコンを彼らに送りつけている。これらのパソコンは米国での使用を模倣するために起動したままになっており、北朝鮮の侵入者が業務中にアクセスしている。雇用主は、遠隔地にいるIT技術者から報酬を得ていると考えているかもしれないが、実際には深刻な脅威にさらされている。
「北朝鮮のIT技術者は、貴社のあらゆるウェブ開発ソフトウェアや、貴社が蓄積してきたあらゆる資産にアクセスできる。そして、その労働者は貴社から報酬を受け取り、北朝鮮政府に送り返され、同時にスパイ活動を行っている」と、サイバー企業Recorded Futureの脅威情報アナリスト、アレクサンダー・レスリー氏はPoliticoに語った。「これは重大な財務リスクとコンプライアンスリスクを伴います。」
また、北朝鮮国民を雇用し、給与を支払っているとして、企業は米国当局から法的措置を取られる可能性もある。これは、故意か否かに関わらず、違法行為となる。専門家によると、多くの企業が詐欺行為に気づいても公表しないのは、まさにこのためだ。
しかし、SentinelOneのレポートによると、それは間違いだ。調査中、同社は社内外のパートナーと知見を共有すればするほど、詐欺師を見分けるための手がかり、洞察、そして手法がネットワーク全体に急速に広がっていくことを発見した。
「採用担当者は自らパターンに気づき始め、疑わしいプロフィールの早期エスカレーションを促進した」とレポートは述べている。「彼らは積極的なパートナーとなり、最前線から新たな発見を報告し続けている。そこで私たちは、これらの洞察を自動化システムに組み込み、こうしたキャンペーンにフラグ付け、フィルタリング、情報強化を行い、積極的にブロックすることで、採用担当者や採用マネージャーの負担を軽減し、不正侵入のリスクを低減している。」
Googleの脅威インテリジェンス グループは、北朝鮮からの求職者や侵入者の増加、そして国家指導者である金正恩政権への資金集めの手段の拡大を記録しています。同グループが3月に発表した記事によると、こうした状況を受けて、彼らは「雇用主に対する恐喝キャンペーンを激化させ、企業の仮想デスクトップ、ネットワーク、サーバーを標的とした活動に移行している」とのことです。
そのため、Googleの脅威インテリジェンス グループは、より広範なサイバー犯罪の脅威に新たな北朝鮮の手口が加わることへの対策を企業に強く求�めています。具体的には、以下の点が挙げられます。
- 堅牢な内部リスク管理プログラムの構築:戦略の策定、明確なポリシーの策定、経営幹部への指導、組織フレームワークの構築、ガバナンスの確保、従業員研修の実施を通じて、正式な内部リスクプログラムを確立し、セキュリティ意識の高い文化を醸成します。
- セキュリティ重視の採用プロセスと文化の構築:厳格な身元調査、候補者とのより個人的な関わりを求めるカメラの前での慎重な面接プロセス、そして綿密な職歴審査はすべて、北朝鮮のIT労働者がもたらすリスクを軽減するのに役立ちます。
- リモートワークのセキュリティ確保:リモートワーカーの身元と所在地を確認し、従業員が突然別の配送先住所を提示した場合は慎重に対応し、可能な限り対面でのデバイス受け取りを求めます。
- インサイダーリスクの監視:セキュリティチームは、従業員が機密データを盗み出し、ネットワークへのアクセスを許可したかどうかを判断できるよう、適切な可視性とログ記録機能を備える必要があります。これは、重大なインシデントが発生する前に検出・防止することが理想的ですが、組織はインシデント対応計画にインサイダーリスクも考慮する必要があります。
採用担当者、採用担当役員、そして経営者は、リモート採用面接中に北朝鮮からの侵入者とやり取りしている可能性があると疑った場合、他に何ができるでしょうか?
エンジェル投資家��であり、暗号資産スタートアップ企業 G8keep の共同創業者であるハリソン・レッジョ氏は、ローテクな防御ハッキングを考案しました。これは、管理者にさらなる報復の意識をもたらす可能性があります。
「金正恩氏について何かネガティブなことを言う」とレッジョ氏はフォーチュン誌に語った。北朝鮮の個人崇拝国家の中心人物である金正恩氏を指してのことだ。「初めてそうしたとき、相手はパニックになって罵り始めた」
他の企業幹部も同様の方法で、北朝鮮出身の疑いのある応募者を阻止するためにこの戦術を採用している。
サイバーセキュリティ関連ニュースサイト「ザ・レジスター」によると、クラウドストライクの敵対者対策担当上級副社長アダム・マイヤーズ氏は最近のテクノロジーカンファレンスで、「私たちはこれまでかなりの数の北朝鮮出身者を面接してきたので、私のお気に入りの面接質問は『金正恩氏はどれくらい太っているのか?』といった類のものだ」と語った。 「彼らは即座に電話を切ります、それについて何か否定的なことを言う価値がないからです。」
さらに、悪意のある侵入からビジネスを守る可能性があることに加えて、この策略を使うことは、デブを辱めることが社会全体の利益につながる数少ない機会の一つかもしれません。