米国市民、北朝鮮IT労働者キャンペーン支援で有罪を認める

出典：3D generator（Alamyストックフォト経由）

北朝鮮による偽IT労働者キャンペーンへの最新の対応として、米国司法省（DoJ）は、これらのスキームを支援した5人が有罪を認めたと発表しました。

司法省は金曜日、国家支援の脅威グループAPT38（別名ラザルス・グループ）によるハッキング活動に関連する暗号通貨15ドル以上の押収とともに、有罪答弁を発表しました。5人のうち4人は米国市民であり、これらの偽IT労働者詐欺が朝鮮民主主義人民共和国（DPRK）だけでなく、第三者による大きな支援を伴っていることを示しています。

容疑者の一人であるエリック・ンテケレゼ・プリンス（30歳）は、自身の会社Taggcar Inc.を通じてこれらのキャンペーンを支援していたと司法省は述べています。2020年6月から2024年8月まで、Taggcarは米国外に拠点を置き、虚偽や盗用された身元を使って雇用を得ていた「認定」IT労働者を米国内企業に意図的に提供していました。さらに、司法省によると、プリンスはフロリダの拠点で被害企業の雇用主所有のノートパソコンを保管し、IT労働者が米国内にいるように見せかけるために、システムに無許可のリモートアクセスソフトウェアをインストールしていました。

このようなキャンペーンは、DPRKが軍事および大量破壊兵器（WMD）プログラムの資金調達を目的とした継続的な取り組みの一部であると当局は述べています。偽IT労働者はまた、知的財産などの機密データを被害企業から盗み、同国の経済を支援しています。

「FBIの捜査は、北朝鮮政府が米国の制裁を回避し、独裁政権と兵器プログラムの資金を得るために数百万ドルを生み出す執拗なキャンペーンを明らかにし続けています」とFBI防諜部門の副部長ローマン・ロザフスキーは司法省の発表で述べています。

北朝鮮の脅威アクター支援

プリンスとともに、他の3人の米国市民が電信詐欺共謀の罪で有罪を認めました：オードリカス・ファグナサイ（24歳）、ジェイソン・サラザール（30歳）、アレクサンダー・ポール・トラビス（34歳）。司法省によると、3人は2019年から2022年にかけて、自身の身元情報を米国外のIT労働者に提供し、米国企業での雇用を不正に得られるようにしていました。

彼らはまた、雇用主所有のノートパソコンを自宅で保管し、偽IT労働者が雇用主の審査や確認プロセスを通過できるよう支援していました。場合によっては、サラザールとトラビス（当時は米陸軍の現役隊員）は、IT労働者になりすまして雇用主の薬物検査に出席していました。

5人目のウクライナ国籍のオレクサンドル・ディデンコも、北朝鮮のIT労働者スキームに関連して電信詐欺共謀罪と加重身分盗用罪で有罪を認めました。司法省によると、ディデンコは米国市民の身元を盗み、北朝鮮のIT労働者を含む海外の人物に販売するスキームの一部でした。これらの労働者は40社の米国企業で雇用され、数十万ドルの報酬を受け取っていました。

ESETの上級マルウェア研究者ピーター・カルナイは、DPRKの脅威アクターに現地支援を提供する第三者の存在がこれらのキャンペーンにとって重要だと述べています。

「現地ファシリテーター、すなわち第三者の役割は不可欠です。彼らはノートパソコンファームのホスティング、盗用または偽造された身元の提供、対面チェックの回避支援、犯罪歴のクリーン化や薬物検査など必要な手続きの完了を可能にします」とカルナイ氏はDark Readingに語っています。「ファシリテーターは多くの場合、経済的に困窮し、困難な生活状況にあり、全体の資金のごく一部しか受け取っていません。」

有罪答弁に加え、司法省は合計1,500万ドル以上のUSDT（米ドル連動のステーブルコイン）に関する2件の民事没収訴訟を提起しました。司法省によると、これらの資金はAPT38による複数のサイバー攻撃に関連しており、エストニア、パナマ、セーシェルに拠点を置く企業から数億ドル相当の暗号通貨が盗まれていました。

偽IT労働者への警戒

今回の有罪答弁は、米当局による偽IT労働者キャンペーンへの取り締まりの最新の取り組みです。7月には、アリゾナ州の女性が「ノートパソコンファーマー」として北朝鮮のIT労働者が米国企業に侵入するのを支援した罪で8年半の懲役刑を言い渡されました。

今年の研究者は、このようなキャンペーンの規模と影響がより深刻になっていると述べており、MicrosoftはDPRK系の脅威アクターがAIツールを利用して雇用主を欺いていると指摘しています。FBI、米財務省、米国務省は、近年この脅威活動に関する複数の勧告を発出し、組織に対して審査プロセスの厳格化や、潜在的な従業員の不審な行動の兆候に注意を払うよう呼びかけています。

そのため、サイバーセキュリティ企業は、ビデオ会議でカメラをオフにしている、VPNやVoIPサービスを使って所在地を隠しているなど、偽IT労働者の可能性を示すいくつかの特徴的な兆候を指摘しています。偽IT労働者の雇用リスクを軽減するために、専門家は、新規従業員に「最低限」のデバイスを支給し、権限を制限し、企業データを保存しないこと、ノートパソコンや機器の受け渡しを有効な身分証明書が必要な場所に限定することなど、いくつかの対策を推奨しています。