西側企業に偽装ITワーカーを送り込む北朝鮮の工作活動が、内部から暴かれました。その工作員が、皮肉にも詐欺を追跡する当の企業への潜入を試みたのです。
リスクインテリジェンスプロバイダーのNisosは、フロリダ州在住を名乗るAIアーキテクトが2025年6月に同社のリモートポジションへ応募してきた経緯と、その応募が活動中の詐欺セルの内部調査へと発展した顛末を最近詳細に報告しました。
出来すぎた履歴書
その履歴書はNisosの求人票をほぼ一字一句なぞったような内容で、記載された在職期間中には存在しなかったツールも列挙されていました。侵害履歴のない作りたてのメールアドレス、VoIP電話番号、そして互いに矛盾する複数の履歴書が疑惑をさらに深めました。
Nisosによると、面接で確信に変わったといいます。候補者の目が画面上を横断するように動き、AIツールがリアルタイムで回答を供給していると判断したのです。
確証を得るため、チームはハリケーンをでっち上げ、候補者が住むとされるフロリダの自宅への影響を尋ねました。候補者は実在しない嵐による小雨と微風を、落ち着いた様子で報告しました。
関連記事:北朝鮮ハッカー、偽装ITワーカーでKnowBe4を標的に
ラップトップファームの内側
Nisosは調査を打ち切らず、あえて応募を継続しました。カナリアトークンにより、工作員の接続が北朝鮮ワーカーに好んで使われる Astrill VPNを経由していることが判明。業務用ラップトップの送付先住所は、履歴書の記載とも、盗用された実在のフロリダ在住者の住所とも一致しませんでした。
Nisosは細工を施したラップトップをその住所に発送し、内蔵カメラを通じて、マシンが積み重なったクローゼット、まさに文字どおりのラップトップファームを目撃しました。
各端末はPiKVMハードウェアで操作されており、これを使えばリモートオペレーターが起動前の段階からまるで目の前に座っているかのようにコンピューターを制御でき、企業のセキュリティ対策では発見が困難です。
このアクセスによってセルの構成が明らかになりました。
-
ネットワーク上に約40台のデバイス、うち約20台が稼働中
-
複数のペルソナを使い分け、同時に異なる企業に在籍
-
TailscaleのメッシュVPNで機器同士を接続
-
米国内でラップトップファームを提供する協力的なアメリカ人の存在
国家規模の問題
Nisosによると、米国内では数百か所と見られるラップトップファームが稼働しており、報酬は盗んだ身元で開設した米国の銀行口座を経由して北朝鮮へ送金されているといいます。
米当局もかねてより、こうした収益が同国の制裁対象である兵器開発プログラムの資金源となっていると指摘しています。
Nisosは雇用主に対し、リモート採用をセキュリティ問題として捉えるよう呼びかけています。具体的には、バックグラウンドチェックの強化、面接でのAIコーチング検知を目的とした想定外の質問の導入、そして採用後の端末動作監視が求められます。十分に準備した工作員は、従来のスクリーニングでは見破れなくなっているからです。
翻訳元: https://www.infosecurity-magazine.com/news/north-korea-it-worker-fraud-ai/
