長年、「内部脅威」という概念は、不満を抱えた従業員や不注意な請負業者と同義でした。セキュリティ体制はデータ損失防止(DLP)フレームワークを中心に構築され、外向きデータの不審な急増を綿密に精査してきました。しかし、この従来のパラダイムは急速に時代遅れになりつつあります。
今日、最も手強い内部者は、突然心変わりした労働者ではなく、偽名の下に密かに埋め込まれ、別の目的を持つ工作員です。彼らの目的は対人関係の衝突ではなく、資金の組織的な流出、知的財産の窃取、そして国家の利益に資するバックドアの設置です。国連およびFBIの評価によれば、これは北朝鮮の「リモートワーカー」の作戦設計図であり、年間最大6億ドルをDPRK体制に流し込むプログラムです。
テレワークの普及により、採用プロセスは重大な脆弱性へと変貌しました。米国司法省とFBIは、高度な身元盗用スキームを用いて西側企業の高給なリモート職を獲得する、北朝鮮発の不正なIT専門家に関する緊急勧告を発出しています。表向きはあらゆる身元調査を通過しているように見えても、彼らは禁じられた兵器計画の資金源となり、企業インフラ内に秘密裏の永続性を確立するための道具として機能します。
Silent Pushの専門家は、主に2つの潜入シナリオを示しています。1つ目では、「従業員」は悪性ソフトウェアを展開することなく数か月にわたり真面目に業務をこなし、社内システムに静かに慣れ、アクセス権を深く根付かせます。2つ目では、体制が正当な事業を装うフロントIT企業を設立します。
面接プロセスの最中に、候補者が悪意あるコードの実行へと誘導され、採用サイクルそのものが組織全体への包括的な攻撃へと武器化される可能性があります。さらにリスクを増幅させる要因として、応募者が現在勤務する会社の支給ハードウェアから新たな職を探すケースがあり、その結果、現職の雇用主のネットワークが侵害される恐れがあります。
この問題は、従来型の本人確認メカニズムが機能しなくなることで一層深刻化します。候補者が有効な社会保障番号を提示し、身元調査とビデオ面接を通過し(ディープフェイク対策フィルターさえ回避して)しまえば、妨げられることなくアクセスを得られます。システムログ上では、その活動は現地スタッフのものと区別がつかず、接続元は家庭用IPアドレスであるため、国内の郊外で働く労働者という錯覚を生みます。
IPジオロケーションへの依存はもはや安全地帯を提供しません。北朝鮮の工作員はVPNやプロキシを頻繁に切り替え、多層のルーティングチェーンを利用します。トラフィックは米国内に置かれた物理的なノートPCを経由して中継されることさえあり、単純なジオフェンシングを回避します。セキュリティ情報・イベント管理(SIEM)システムにとって、その接続は通常のリモート従業員のものと同一に見えます。
その結果、危険な盲点が生まれます。トラフィックはデータセンターではなく一般的なISPから発生するため無害に見え、検証はキーボードの背後にいる人物ではなく盗用された身元を正当化してしまいます。本物のハードウェアの使用は、デバイスポスチャ評価やMACアドレスフィルタリングもさらに回避します。
このような「毒のある採用」を特定するコストは法外で、単なる解雇にとどまりません。企業はOFAC制裁に違反し、意図せず北朝鮮体制に資金提供してしまうリスクを負います。敵対者の正体が暴かれる頃には、独自のソースコードや機微な顧客データがすでに流出していることが少なくありません。さらに、潜伏したバックドアを根絶するにはインフラ全体の監査が必要となり、インシデント対応チームに甚大な負担を強いることになります。
最近の事例は、内部脅威の定義が根本的に変化したことを示しています。リモート労働の時代において、信頼できる同僚と国家の敵対者を隔てる境界は、最初の面接で見えるよりもはるかに薄いのかもしれません。
