企業スパイ活動の状況は、根本的な変化を遂げている。何十年もの間、セキュリティチームは不満を抱えた従業員や不注意な請負業者、いわゆる従来型の「内部脅威」を特定することに注力してきた。
今日、最も危険な侵入者は暴走した社員ではなく、偽りの前提で雇用され、組織化された国家支援の採用プログラムの一部として活動する高度な工作員である。
これは北朝鮮のリモートワーカー計画の作戦上の現実を示しており、国連の専門家とFBIは、同計画が体制に年間最大6億ドルをもたらす一方で、西側企業のインフラ内部に足場を築いていると推定している。
司法省とFBIは、先進的ななりすまし手法を用いて西側の大手企業で高給のリモート職を獲得する北朝鮮のIT労働者に関する警告を強めている。
これらの工作員は、複数の目的を同時に達成するために設計された戦略的資産として機能する。すなわち、兵器計画のための追跡不能な収益の創出、機密コードベースへの管理者アクセスの獲得、そして従来の検知メカニズムを回避する「Living off the land」手法による企業ネットワーク内の永続的なバックドアの確立である。
この作戦の高度さは、現代のリモート採用慣行に内在する根本的な弱点を突く、計算された戦略を反映している。
利益動機の従来型サイバー犯罪者とは異なり、DPRK address は国家の指示の下で、目先の金銭的利益をはるかに超える長期的な戦略目標をもって活動している。
2つの明確に異なる作戦バリアント
最近の分析では、DPRKの侵入戦術に2つの主要なバリアントがあることが示されている。第1のバリアントでは、長期潜伏型の侵入者が正規の雇用を獲得し、マルウェアを展開せずに長期間にわたり業務を遂行する場合がある。
これらの工作員は給与の獲得と強固な永続性の確立を優先し、標的インフラ内で管理者権限を積み上げながら、数か月から数年にわたり検知されないことも多い。
第2のバリアントでは、正規のソフトウェア企業になりすます偽装フロント企業が用いられる。これらの作戦は、説得力のある求人掲載や面接を通じて候補者を誘い込み、悪意あるコードの実行を要求するスキル評価を組み込む。
この手法は、日常的な採用プロセスを組織的な侵害ベクトルへと変え、被害者だけでなく、その候補者の現職の雇用主まで侵害する可能性がある。
セキュリティアナリストは、求職活動に社用デバイスを使用した候補者が、意図せず現職の雇用主のネットワークにマルウェアを持ち込む事例を記録しており、採用プロセスそのものが攻撃対象領域になることを示している。
従来のセキュリティ枠組みは、資格情報によって本人確認を行う。すなわち、有効な社会保障番号、第三者による身元調査の通過、そして高度なAI駆動のディープフェイク検知を伴うビデオ面接である。
応募者がこれらの基準をクリアすると、システムへのアクセス権を得る。セキュリティチームから見ると、これらの人物は西側の住宅用IPアドレスを通じてシステムにアクセスする正当なリモート従業員に見え、通常の地理的分布であるかのような印象を与える。
地理的確実性が崩壊する
セキュリティチームは、不審なログイン試行を検知するためにIPジオロケーションやジオフェンシングに頼ることが多い。しかし、DPRKの工作員は多層のプロキシ基盤によってこれらの制御を打ち破る。
米国内に物理的に置かれた「ホップ」(実体のあるノートPC)を経由してトラフィックを中継することで、これらの行為者はジオフェンシングを回避しつつ、通常のリモート従業員と同一のトラフィックパターンを維持する。
これにより、3つの重大な可視性ギャップが生じる。すなわち、一般的なISPトラフィックが信頼できるように見えてしまう「住宅用IPの誤謬」、検証が操作者の真正性を確認できない「身元調査のギャップ」、そして実在するラップトップ・ファームがMACアドレスチェックや、仮想基盤では再現できないデバイス姿勢評価を通過してしまう「ハードウェア真正性の罠」である。
組織は、制裁対象の体制に意図せず資金提供してしまうことによるOFAC制裁違反の可能性に直面し、流出データは通常発覚に先行するため知的財産の損失を被り、さらにバックドアを特定して除去するために包括的なインフラ監査を要する大規模なインシデント対応を強いられる。
この脅威から守るには、従来の身元調査を超えて進化する必要がある。
組織は、リモート従業員が申告どおりの場所に物理的に所在していることを確認する検証システムを導入し、なりすましや地理的欺瞞の手法を打ち破る認証レイヤーを確立しなければならない。
翻訳元: https://gbhackers.com/dprk-hackers/
