雇用契約の解除は簡単な部分です。残りは複雑です。
企業が誤って北朝鮮のIT労働者を雇用していたことに気付いた場合、制裁法、サイバーセキュリティプロトコル、法執行機関との協力など、重大な法的・財務的リスクを伴う緊急の意思決定を迫られます。
インシデント対応の専門家やサイバーセキュリティの弁護士が、こうしたリスクに企業がどのように対処できるかについて、ワシントンD.C.で開催されたGoogleのCyber Defense Summitで月曜日に説明しました。サイバーセキュリティ企業が、北朝鮮の兵器開発資金を得るために組織的に行われているとされる雇用スキームを追跡する中で、こうした課題はより顕著になっています。
「彼らの主な目的は収益の獲得であり、しばしば複数の雇用主から同時に資金を得て、大量破壊兵器プログラムの資金源としています」と、Mandiantで北朝鮮関連のインシデント対応を担当するマイク・ロンバルディ氏は、この問題に関するパネルディスカッションで述べました。
北朝鮮のIT労働者が最終的に収入を体制に還元している一方で、サイバーセキュリティの専門家は、彼ら自身は主に給与の確保を動機としており、直ちに企業に損害を与えることが目的ではないと強調しています。そのため、専門家らは、採用時に警戒すべき兆候を人事・セキュリティ・法務など全ての部門で監視し、不審な労働者が発覚した場合は部門横断で連携する必要性を強調しました。
人事上の異常からの発見
サイバーセキュリティ弁護士でAkin Gumpのプライバシー・不法行為部門の共同議長を務めるエヴァン・ウルフ氏は、最初の発見は日常的な審査プロセスの中で起こることが多いと強調しました。「多くの場合、最初はサイバーよりも人事の問題に見えるケースが多いです」とウルフ氏は述べました。
主な兆候としては、既知のデータブローカーの資格情報がないメールアドレス、使い回された履歴書のLinkedInプロフィール、面接時にビデオでの登場を拒む応募者などが挙げられます。Crowell & Moringのサイバー部門パートナーであるマシュー・ウェリング氏は、個人情報の不一致が最初の手がかりとなることが多いと指摘しました。
「重要なのは、情報のつじつまが合わない部分を見つけることです。例えば、身分証明書の住所と、送付先として指定された住所が一致しない場合などは、よくある手がかりです」とウェリング氏は述べました。
国際貿易と国家安全保障を専門とするCrowell & Moringのパートナー、キャロライン・ブラウン氏は、調査によってより複雑なパターンが明らかになることもあると述べました。「あるIT労働者が複数の職場で同時に雇用されており、次の仕事を探している様子が見られました。おそらく雇用主のシステムを使っていた可能性もあります」とブラウン氏は述べました。
即時の制裁リスク
北朝鮮人が組織内で雇用されている疑いが生じた時点で、法的影響がすぐに明らかになる場合があります。かつて司法省国家安全保障局や財務省外国資産管理局(OFAC)で勤務したブラウン氏は、米国の制裁違反に伴う厳格責任について説明しました。
「北朝鮮は包括的な禁輸措置下にあり、米国人や米国企業との直接・間接的な取引は一切認められていません」とブラウン氏は述べました。「もし支払いを行ったことが判明すれば、それ自体が追加の違反となり、厳格責任が適用される可能性があります。つまり、違反したことを知らなくても責任を問われます。」
発覚のタイミングは、給与処理などにさらなる複雑さをもたらします。企業が週の途中で不正な従業員を発見し、金曜日に給与支払いが予定されている場合について尋ねられると、ブラウン氏は「非常に事実依存的で、リスク許容度の問題です」と答えました。
「もし支払いを処理し、それが北朝鮮人へのものであった場合、支払い処理業者である米国の金融機関が制裁違反となり、その違反の原因としてあなたも責任を問われる可能性があります」とブラウン氏は述べました。
戦略的な対応判断
通常のサイバーセキュリティインシデントとは異なり、これらのケースでは証拠収集やデバイス回収を容易にするため、疑わしい労働者との連絡を維持することが求められる場合があります。ウェリング氏は、脅威行為者の行動が予想と異なることを指摘しました。
「多くの場合、彼らは非常に協力的で、もう一度だけ給料や退職金をもらおうとしたり、ノートパソコンを返却する代わりに金銭を要求したりします」とウェリング氏は述べました。「重要なのはやり取りを継続することです。技術的な問題があると伝えたり、連絡を絶やさず、接触を保ち続けることです。」
ロンバルディ氏もCyberScoopに対し、このアプローチを認め、「ほとんどの場合、私たちが求めているのはノートパソコンの返却だけです」と述べました。証拠が中央システムではなくデバイスにローカル保存されている場合、偽装を維持することがフォレンジック分析に不可欠だと説明しました。
発覚時にこれらの労働者が協力的であることは、彼らの主な動機を反映しています。「概して、彼らの動機は雇用を維持することです」とロンバルディ氏は述べました。「状況が悪化しても、労働者はたいてい支払いを引き延ばしたり関係を維持しようと従うので、破壊的な行動には出ません。」
法執行機関および規制当局との連携
企業が直面する最大の判断の一つは、いつ、どのように連邦当局を関与させるかです。かつて国土安全保障省で勤務したウェリング氏は、こうしたケースでのFBIの有効性を指摘しました。
「私は国土安全保障省で4年間働いていましたが、FBIが好きなわけではありません。しかしこのケースでは、FBIは非常に効果的で、被害企業と積極的に連携し、採用前にこうした事態を防ぐことができます」とウェリング氏は述べました。
法執行機関への通知は法的義務ではありませんが、ウルフ氏は「FBIと情報を共有することは有益であり、雇用期間が長くなったり支払い額が増えるほどリスクも高まります」と指摘しました。
ブラウン氏はまた、OFACへの自主的な自己開示の利点を強調しました。「自己開示を行う企業が増えており、OFACから制裁を受けた場合でも、罰金が50%軽減される緩和措置が適用されます」と述べました。
FBIから連絡があった場合、開示の判断はさらに複雑になります。「FBIとの協力合意がどうなっているか、すでにOFACに通知されているかによります」とブラウン氏は述べました。
ウルフ氏は、外部関係者を関与させるかどうかにかかわらず、組織はテーブルトップ演習(模擬訓練)でその計画を検証すべきだと強調しました。サイバーセキュリティに特化したテーブルトップ演習を実施している企業でも「この種のケースは想定していない」とし、対応計画には人事部門の参加が重要だと述べました。
「課題の一つは、早い段階で『この人物が確実に北朝鮮人だ』と誰も教えてくれないことです。そのため情報をつなぎ合わせていく必要があり、多くの場合、標準的なサイバーインシデント対応ではなく、人事調査を通じて進められます」とウルフ氏は述べました。
パネルメンバーは、この脅威が進化し続け、拡大していることに同意しました。ウェリング氏は「この脅威がなくなることはありません。むしろ、より多くのグループがこの手口を取り入れています」と述べ、継続的な課題であることを強調しました。
翻訳元: https://cyberscoop.com/north-korean-it-workers-enterprise-risks-sanctions-response/