出典:Tero Vesalanien(Alamy Stock Photo経由)
過去1年間、北朝鮮政府は人工知能ツールを活用し、数千人規模の熟練IT労働者を世界中のフォーチュン500企業に送り込み、アクセス権を利用して資金や機密データを朝鮮民主主義人民共和国(DPRK)に送金してきました。
マイクロソフトは、最新の大規模なDPRKによる偽IT労働者キャンペーンを「Jasper Sleet」(別名「Storm-0287」)と名付け、他の北朝鮮支援の雇用詐欺グループ「Storm-1877」や「Moonstone Sleet」とともに追跡しています。実際、DPRKは2020年から同様の雇用詐欺に関与しているとマイクロソフトは指摘しています。しかし、最近のAIツール導入により、これらのキャンペーンは規模・巧妙さともに拡大していると、マイクロソフト脅威インテリジェンスによるJasper Sleetのレポートは述べています。
この分析は、米国司法省が、北朝鮮の支援を受けた大規模な雇用詐欺組織を摘発したと発表した同日に公表されました。この組織は、北朝鮮の関係者だけでなく、米国、中国、アラブ首長国連邦、台湾の共謀者が100を超える米国企業で雇用されることを可能にしていました。法執行機関によると、摘発には「ラップトップファーム」の解体、16州にわたる逮捕と起訴、29の銀行口座の差し押さえ、21の悪意あるサイトの閉鎖が含まれていました。司法省は、偽IT労働者の給与や盗み出されたデータが北朝鮮に送金され、国際的な制裁を回避する仕組みとなっており、米国企業の損失は約300万ドルに上ると述べています。
マイクロソフトは、これは始まりに過ぎないと予測しています。
「これまで北朝鮮の偽装リモートワーカー計画は、米国のテクノロジー、重要製造、運輸分野の企業を標的としてきました」とマイクロソフトのレポートは述べています。「しかし、北朝鮮のリモートワーカーは進化し、世界中のさまざまな業界でテクノロジー関連職を狙うようになっています。」
同様に、今年1月、FBIは、北朝鮮支援の雇用詐欺組織を摘発しました。この組織は、アメリカ人が運営するノースカロライナ州のラップトップファームを利用し、2018年4月から2024年8月までに少なくとも64の米国企業で雇用されるため、これらの脅威アクターが米国拠点であるかのように見せかけていました。
「雇用主は準備ができていない」
PolyguardのCEOであり、元NASA主任クラウドアーキテクトのジョシュア・マッケンティ氏によると、AIツールが進化するにつれ、これらの雇用詐欺は物理的なラップトップファームに頼る必要すらなくなるだろうといいます。そして、それはさらに実行しやすく、発見しにくくなると述べています。
「DPRKが手法を高度化させるにつれ、『ラップトップファーム』の必要性はおそらくなくなるでしょう」とマッケンティ氏は声明で述べています。「これは始まりに過ぎません。雇用主は準備ができていません。北朝鮮が使っているAIで改ざんされた身分証明書は、簡易なバックグラウンドチェックを通過してしまいます。」
現在、AIツール、音声変換技術、VPN、リモート監視ツールを組み合わせて使用することで、北朝鮮、中国、ロシアにいるDPRK支援の脅威アクターは、自身の所在地や身元を巧妙に隠し、従来の雇用確認手続きを回避しています。実際に雇用されて業務に就いた後でさえ、マイクロソフトの分析によると、彼らを見抜くのは困難です。
「場合によっては、被害組織がリモートIT労働者を最も優秀な従業員の一人と評価していた例も報告されています」とレポートは述べています。「これまでこの作戦は、IT、ソフトウェア開発、管理者などのテクノロジー分野の職種への応募に集中してきました。こうした職種は、北朝鮮の脅威アクターに情報窃取や恐喝などを行うための高度な機密情報へのアクセスを与えます。」
これらの偽装採用者は、完全な身元を作成または盗用し、ターゲットとなる雇用主に合わせて位置情報データを一致させ、LinkedInでの作品集やGitHubなどの開発者プラットフォームでのプロフィールを持つSNSアカウントを丸ごと作り上げることができます。AIは、画像生成やリアルタイムの音声変換ソフトの提供によって、これらの手法をさらに説得力のあるものにしています。
マイクロソフト脅威インテリジェンスは、2024年10月、これら北朝鮮のハッカー作戦が使用する宝の山のようなリポジトリを発見しました。そこには、AIで加工された北朝鮮IT労働者と疑われる人物の画像、履歴書、メールアカウント、極めて怪しいVPSやVPNアカウント、特定のVPS IPアドレスなどが大量に保存されていました。また、身元やウォレット、支払い情報の盗み方、SNSアカウント情報、IT労働者の作業実績や給与を記録した追跡シートなどの手順書も見つかりました。
「リポジトリの調査から、北朝鮮IT労働者は身元盗用を行い、FaceswapなどのAIツールを使って自分の写真を盗用した雇用・身分証明書に移し替えているようです」とマイクロソフトのレポートは付け加えています。「攻撃者はまた、これらのAIツールを使って労働者の写真をよりプロフェッショナルな環境に移し替えます。労働者はこうして生成されたAI画像を複数の履歴書やプロフィールで利用し、仕事に応募します。」
マイクロソフトは、AIによる音声と映像の合成を同時に使う脅威アクターは確認できなかったとしつつも、それが実現すれば詐欺の発見はさらに困難になると警告しています。
「現時点では、AIによる音声と映像の合成製品を脅威アクターが戦術として使っているのを直接確認していませんが、これらの技術を組み合わせることで、今後の脅威アクターのキャンペーンが面接官を騙し、北朝鮮IT労働者と認識されずに済む可能性があると認識しています」とマイクロソフトのレポートは付け加えています。「この戦術が成功すれば、北朝鮮IT労働者は面接を直接受けられるようになり、代理人による面接やアカウントアクセスの販売に頼る必要がなくなります。」
こうした拡大する北朝鮮のキャンペーンに対抗するため、採用候補者には高度な身元確認ツールの導入が必要だとPolyguardのマッケンティ氏は助言しています。
「企業は、GPSやGSMデータを使って位置情報の証明を提供し、リモートデスクトップログインの利用を防ぐプレゼンス保証を備えた高度な身元確認ツールを導入する必要があります」と彼は付け加えています。「『資金の流れを追う』ことは依然として犯罪追跡の標準的な手法ですが、いわゆる『共同雇用』や『代理候補者』を含む従業員の身元詐欺にも対応する、より広範な身元確認の取り組みが有効です。次世代の『ハイブリッド』文書詐欺はディープフェイク技術を利用しているため、標準的なバックグラウンドチェックではこれらの犯罪を見抜けません。」
Google脅威インテリジェンスグループの上級アナリスト、テイラー・ロング氏は、この課題には採用、人事、IT、セキュリティの統一的な対応が必要だと述べています。
「経営陣やセキュリティチームは、人事部門が候補者の不一致を見抜けるように訓練し、北朝鮮IT労働者の幅広い戦術・技術・手順(TTPs)を教育するだけでなく、脅威アクターが利用する一般的なTTPsを検知する技術的なコントロールも導入する必要があります」とロング氏は述べています。
ロング氏はまた、応募者ごとに氏名、連絡先、その他の個人情報が一貫しているか確認すること、特に就業開始後48時間以内にVPNやマウスジグラーソフトなどの不審なソフトウェアのインストールを監視すること、物理的な企業デバイスへのアクセスにはハードウェアベースの多要素認証を使用すること、ITオンボーディング時にノートパソコンのシリアル番号の確認を求めることなどを推奨しています。
「この情報は、企業デバイスを実際に所持している人なら誰でも簡単に確認できるはずです」とロング氏は述べています。「また、身元確認と行動観察のためにカメラオンでの面接を義務付けるべきです。場合によっては、北朝鮮IT労働者がビデオ通話への参加を渋ることがあります。」
ロング氏はまた、最新の詐欺手口やその防御策を把握するため、セキュリティベンダー間での情報共有の重要性を強調しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/scope-scale-spurious-north-korean-it-workers