TokyoBlackHatNews

silentpush.com 5分で読了

DPRKリモートワーカー問題の実態を暴く

何十年もの間、「内部脅威」は、不満を抱えた従業員や不注意な請負業者と同義でした。セキュリティチームはデータ損失防止(DLP)と、外向き通信量の急増を監視することを優先してきました。

しかし脅威は変化しました。最も危険な内部者は、もはや暴走する従業員ではありません。資金を吸い上げ、知的財産を流出させ、国家支援アクターのためのバックドアを設置する目的で、偽りの前提で雇われた工作員です。これがDPRKリモートワーカープログラムの作戦上の現実であり、国連の専門家とFBIは、北朝鮮政権に年間最大6億ドルを生み出していると推定しています。

リモートオンボーディングの武器化

司法省とFBIは緊急警告を発出し、北朝鮮のITワーカーについて注意喚起しています。これらの工作員は高度な身元盗用を用いて、西側企業の高給なリモート職を獲得します。

これらの偽ITワーカーは、次の目的に利用される戦略資産です:

  • 禁止されている兵器計画のための追跡困難な収益を生み出す。
  • 機密性の高いコードベースへの管理者アクセスを獲得する。
  • 企業インフラ内に「Living off the land(正規機能の悪用)」による永続性を確立する。
「見えない内部者」スキーム:DPRKの偽ITワーカーが既存のセキュリティ制御を回避する方法

DPRK「見えない内部者」の2つの亜種

最近の調査に基づくと、DPRKは通常、この侵入手法として2つの異なる亜種を利用します:

  • 亜種1:長期潜伏型:給与を得る、または管理者アクセスを獲得するために正規の職を確保するITワーカーです。マルウェアを拡散せずに数か月間業務を遂行することもあり、収益の創出と、インフラ内での長期的な永続性の確立に注力します。
  • 亜種2:フロント企業による誘引:政権は実在のソフトウェア企業を模倣した偽のフロント企業を作り、高価値の標的を面接へ誘い込みます。面接ではスキル評価が行われ、最終的に被害者が悪意あるコードを実行する流れへと導かれます。これにより企業全体が侵害リスクにさらされ、通常の採用プロセスが、計算された欺瞞によって組織的脅威へと変質します。

応募者は、在職中に新たな機会を探すことがよくあります。当社のアナリストチームは、候補者が求職活動に社用デバイスを使用したことで、意図せず現勤務先のセキュリティを損ない、マルウェア感染につながる事例を確認しています。

本人確認の罠

従来のセキュリティスタックは、資格情報に基づいて人の「誰であるか」を検証します。労働者が有効な社会保障番号を提示し、第三者の身元調査を通過し、AI駆動のディープフェイクフィルターを用いたビデオ面接をクリアすれば、その時点であなたのシステムに入り込めます。

偽のペルソナの疑い:Mehmet Demir hxxps://linkedin[.]com/in/mehmet-demir-godev Backend Developer | Golang, Python

いったんオンボーディングされると、ログ上は「ローカル」の従業員として表示されます。彼らは西側の住宅用IPアドレスを使い、郊外の自宅から勤務しているかのように見せかけます。

地理的確実性が薄れている理由

セキュリティチームは、不審なログインを検知するためにIPジオロケーションに頼ることがよくあります。ジオフェンシングは多くの低レベルな試行を捕捉しますが、一般には、DPRKが現在どの特定のIPやプロバイダーを利用しているのかが十分に知られていないことが多いのが実情です。当社の調査では、これらの国家支援アクターが身を隠すために使用する新たなIPや、新たなVPN/プロキシプロバイダーを継続的に発見しています。

高度なジオフェンシングを突破するため、DPRKは多層のプロキシチェーンを利用します。トラフィックを国内の「ホップ」(例:米国内にある物理的なノートPC)経由で中継することで、単純なジオフェンシングを回避します。SIEMから見ると、そのトラフィックは標準的なリモート従業員とまったく同じに見えます。

これにより、次の3つの重大な可視性ギャップが生じます:

  1. 住宅用IPという誤信:データセンターではなくComcastやAT&Tのような一般的なISPから発信されているため、そのトラフィックを信頼してしまいます。
  2. 身元調査のギャップ:プロバイダーが検証するのは盗用された身元であり、キーボードの向こう側にいる人物ではありません。
  3. ハードウェア真正性の罠:仮想マシンを使うボットネットとは異なり、これらの「ラップトップファーム」は実機を使用します。MACアドレスチェックやデバイス姿勢評価を通過します。

「悪い採用」のコスト

給与支払い対象にDPRKの工作員がいることが判明した場合、単なる解雇以上の対応が必要になります:

制裁リスク 制裁対象の政権に意図せず資金提供してしまったことで、貴社がOFAC規制に違反している可能性があります。
知的財産の損失 国家支援アクターが発覚する頃には、独自コードや顧客データがすでに流出している可能性が高いです。
インシデント対応の疲弊 国家支援の工作員が残したバックドアを一掃するには、インフラ全体の監査が必要になります。

採用の境界を防御する

国家支援アクターが盗用された身元と偽装された所在地を用いる場合、身元調査だけでは組織を守るのに不十分です。リモート従業員が主張する場所に物理的に所在していることを検証する必要があります。

Silent Push Traffic Originは、これらの工作員が真の所在地を隠すために用いる欺瞞的なネットワーク経路を暴きます。従来のジオフェンシングを回避するために国家支援グループが使用する住宅用プロキシや不審な接続パターンの検知を支援します。これにより、新規採用者に機密システムへのアクセス権が付与される前に、高リスクなインフラを特定できます。

翻訳元: https://www.silentpush.com/blog/unmasking-the-dprk-remote-worker-problem/

ソース: silentpush.com
#IPジオロケーション回避 #OFAC制裁リスク #インサイダー脅威 #なりすまし(ID盗用) #バックドア/持続的侵入(Persistence) #リモートワーカー詐欺 #レジデンシャルプロキシ #北朝鮮(DPRK) #国家支援型サイバー攻撃 #採用・オンボーディングのセキュリティ

関連記事

DriveSurgeを紹介します:数千の侵害されたサイトでClickFixと偽アップデートによるドライブバイ攻撃を使用する新たな脅威アクター

Silent Push コンテキストグラフが示した5つのこと

完全なインシデント対応とは実際どのようなものか