米司法省とマイクロソフト、北朝鮮IT労働者を標的に

米国司法省は、北朝鮮によるIT労働者の米国内就労を図る継続的な試みに対し、協調的な対応を発表しました。

昨日発表されたこの作戦には、以下が含まれます：

• 複数の中国人および台湾人、そして米国ニュージャージー州在住の米国市民Zhenxing “Danny” Wang（逮捕済み）に対する起訴。彼らは2021年から2024年にかけて、米国内の100社以上（多くのフォーチュン500企業を含む）でリモートIT業務を支援したとされています。米国人の身元情報を不正利用し、IT労働者が米国内のノートパソコンにログインできるようにしたほか、ペーパーカンパニーを使って労働者が正規の米国組織に所属しているように見せかけていました。支援者らはその見返りとして約70万ドルを受け取り、この手口によって少なくとも300万ドルの法的費用、コンピュータネットワークの修復費用、その他の損害が発生しました。あるケースでは、IT労働者が防衛請負業者が使用するAI技術に関連する機密データやソースコードにアクセスしていました。
• 2件目の起訴では、4人の北朝鮮国籍者が2社から90万ドル相当の仮想通貨を盗み、その収益を洗浄したとして起訴されています。彼らはUAEから、アトランタ拠点のブロックチェーン研究会社とセルビアの仮想トークン企業のために共同作業を行っていました。4人は現在も逃亡中で、雇用主に本当の身元を隠していました。
• 16州にまたがる29か所の既知または疑わしい「ラップトップファーム」の捜索。これらは北朝鮮のIT労働者が実際の所在地を隠すために使われていると疑われています。
• 最初の手口で不正資金洗浄に使われた29の金融口座と、21の詐欺ウェブサイトの差し押さえ。

「北朝鮮（DPRK）工作員による脅威は現実的かつ差し迫っています。数千人の北朝鮮サイバー工作員が体制によって訓練・派遣され、グローバルなデジタル労働力に紛れ込み、米国企業を組織的に標的にしています」と、マサチューセッツ州連邦検事のリア・フォーリー氏は述べています。

「米国企業を守り、北朝鮮の違法かつ危険な野望に知らず知らずのうちに加担しないよう、今後も全力で取り組みます。」

また、マイクロソフトは昨日、北朝鮮IT労働者のスキームに関連すると疑われる3,000件の一般向けOutlookおよびHotmailアカウントを停止したこと、さらにMicrosoft Entra ID ProtectionおよびMicrosoft Defender XDRを通じて顧客にインシデントを通知したことを明らかにしました。

マイクロソフトはこの活動を主にJasper Sleet（旧称Storm-0287）、Storm-1877、Moonstone Sleetとして追跡しています。

北朝鮮IT労働者についてさらに読む：北朝鮮、偽IT労働者スキームを強化し雇用主を恐喝

支援者の役割が前面に

これらの手口は通常、盗用またはレンタルしたIT労働者の身元情報を調達することから始まり、その後メールアカウントやSNS（特にLinkedIn）を開設して求人に応募します。時には人材派遣会社や契約会社を通じて間接的に応募することもあります。

また、同じ名前や人物設定を使い回してフリーランスの仕事に応募することもあり、履歴書は常に求人要件に合わせて偽造されます。

GitHubなどのコミュニケーション、ネットワーキング、開発者向けプラットフォームが、過去の「ポートフォリオ」を見せるために利用されます。

マイクロソフトは、上記のような支援者がこの種の詐欺を可能にする重要な役割を果たしていると主張しています。

「支援者は、不正な身元の認証や、企業ハードウェアの転送、フリーランス求人サイトでのアカウント作成など、物流管理において重要な役割を担っています」とマイクロソフトは説明しています。

「発覚を逃れるため、これらの労働者はVPN、仮想プライベートサーバー（VPS）、プロキシサービス、さらにはRMMツールを使い、求人先の国にある支援者のラップトップファームに設置されたデバイスに接続しています。」

マイクロソフトによれば、Jasper Sleetがリモート求人候補者と提携するふりをして、支援者向けの求人を出しているのが確認されています。上記の業務に加え、労働者のために新しい銀行口座を作成したり、SIMカードを購入したりすることも依頼される場合があります。

AIも、これら国家支援型詐欺師にとって人気のツールだとマイクロソフトは述べています。この技術は、偽の履歴書を洗練させたり、労働者の画像を加工したり、さらには音声変換ソフトの実験を支援したりするために使われています。

マイクロソフトは、企業向けに調査・監視・対策のための詳細なリストを公開しています。