北朝鮮の工作員やプロのマネーロンダラーは、本人確認における根本的な欠陥を突くことで、Fortune Global 500企業から年収6桁の給与を得てきました。
Silent Pushの先制的サイバー防御チームは、北朝鮮関係者によって米国内のIPアドレスが使用されていることを確認しました。これは、大手米国企業の求人において適格な候補者に見せかける取り組みの一環である可能性が高いです。
従来のKYC(Know Your Company)およびAML(Anti Money Laundering)プロトコルは、静的な書類検証に依存しています。攻撃者が、クリーンな住宅用IPアドレスに裏付けられた正当な盗用身元を提示した場合、これらのプロセスは破綻します。
組織がローカルユーザーとKeyboard-Video-Mouse(KVM)-over-IPリレーを区別できないと、給与支払いシステムが制裁対象エンティティへの資金供与に対して脆弱になります。
従来のツールは、接続を隠すために使われるローカルアドレスしか見えません。 Traffic Origin は、位置情報を偽装するために使われる隠れた上流インフラを暴き、接続が終端する国内IPだけでなく、実際には高リスク国や制裁対象国から開始されているかどうかを特定します。
従来のセキュリティツールは、既知の悪性アクターを検知するために過去のデータベースに頼りすぎることが少なくありません。この受動的なアプローチは、絶えずインフラをローテーションする現代の攻撃者には通用しません。
最近の司法省(DOJ)の執行措置によれば、高度な技能を持つサイバー工作員が、詐欺的な身元を用いて世界のデジタル労働市場に数千人規模で投入されています。標準的なセキュリティスタックは、彼らが用いる次のような手口に対して特に脆弱です。
- Residential Proxy-as-a-Service(RPaaS):詐欺師や制裁対象アクターは、住宅用プロキシを使って正当な国内顧客に見せかけます。これにより、ジオフェンシングを回避し、初期のKYCチェックを検知されずに通過できます。
- ラップトップファームとKVMスイッチ:攻撃者は国内の住宅に物理ハードウェアを設置し、KVM-over-IPハードウェア経由で遠隔アクセスします。
FBIは、これらのスキームが国内ハードウェアを用いて標準的な検知を回避する方法について、具体的なガイダンスを発出しました。ソフトウェアが正当なローカルマシン上で動作するため、セキュリティツールには国内ISPとローカルMACアドレスが見えてしまいます。
「ラストマイル」ジオロケーションの先へ
従来の本人確認システムは、出口ノード、つまり「最後のホップ」しか見ないため、容易に欺かれます。IPアドレスが「ロンドン」と示せば、アラートは却下されます。これは致命的な盲点を生み、取引の真の地理的起点を把握できない銀行を通じて不正資金が洗浄されることを許してしまいます。
結果として、巨大なマネーロンダリングのエンジンが成立します。不正収益は、ペーパーカンパニーや電子マネー機関(EMI)を通じて組織的に移転され、国際制裁の回避や高リスクの暗号資産ミキサーからの換金に利用されます。
英国の金融制裁実施局(OFSI)は、この活動の複数の指標を強調しており、その中には国内IPが高リスク管轄区域へのアクティブな上流リンクを示すといった、上流接続の不一致も含まれます。
KYC & AMLチェックリスト:デジタルの「見えない内部者」を見抜く
身元窃盗犯や国家アクターは周囲に溶け込もうとしますが、彼らの技術インフラには明確な指紋が残ります。以下の「高リスク」指標を監視することで、防御側がこれらの脅威アクターを妨害できる機会が生まれます。
| 危険信号 | 技術的指標 | リスクプロファイル |
| 地理的な不一致 | 国内IPが、制裁対象または高リスク地域へのアクティブな上流接続を伴っている。 | 高(制裁回避) |
| インフラ密度 | 無関係な多数のデバイス(高いホスト多様性)が、単一の住宅用IPから発信しているように見える。 | 中〜高(プロキシ利用) |
| 面接・会議での摩擦 | カメラ出演の継続的な拒否、不自然な音声遅延、申告した所在地と整合しない背景環境。 | 高(身元偽装) |
| 雇用上の異常 | 「高度技能」をうたう従業員が基本タスクを完了できない、1対1のビデオ同期を拒否する、または作業を「パートナー」に委任する。 | 高(業務外注、DPRKの可能性) |
| 資金の付け替え | オンボーディング直後に、給与支払い先をEMIまたは第三者口座へ切り替えるよう急かす依頼。 | 高(マネーロンダリング) |
Traffic Origin:真の起点判定
このジレンマを解決するには、組織は書類チェックを超えて、接続の技術的な起点を検証しなければなりません。Silent Push Traffic Originは、今日利用可能な中で最も信頼度の高いアトリビューション指標を提供することで、この可視性ギャップに対処します。
私たちはこの可視性を、真の起点判定によって拡張します。この機能は、狙いを定めた高信頼のアトリビューションを提供し、VPNや住宅用プロキシで隠蔽されていても、特定された高リスクインフラの真の地理的起点を明らかにします。従来のツールが最終的な住宅回線のホップしか見ないのに対し、Traffic Originは真の上流ソースを特定します。
深く多次元な分析を通じて、Traffic Originプラットフォームはホスト多様性、サブネットの評判、行動密度を評価し、技術的な明確性を提供します。
「見えない内部者」の時代における検証
数ドルで国内の身元とクリーンな住宅用IPを借りられる時代において、信頼は負債になり得ます。正確なコンプライアンスには、パスポートを確認するだけでは不十分です。接続の物理的・技術的な実態を検証する必要があります。
Traffic Originは、KYC、AML、不正対策のワークフローがデジタル欺瞞ではなく技術的真実に基づくようにするために必要な可視性を提供し、組織を保護できます。
上流の発生起点を暴けなければ、セキュリティ態勢は受動的で不完全なままです。既存のゲートキーパーをすり抜ける前に、プロの詐欺師や「見えない内部者」を遮断するための重要な時間的猶予を失います。
Traffic OriginとIP Contextで、今すぐネットワーク可視性を評価し、技術的真実に根差した先制的な態勢へ移行してください。
Silent Pushの先制的サイバー防御がどのように貴組織を保護できるか、当社チームにご相談ください。
翻訳元: https://www.silentpush.com/blog/the-invisible-insider/
