日本と韓国、北朝鮮IT労働者詐欺に対抗

出典：KMLS（Shutterstock経由）

日本、韓国、アメリカは、アジアおよび世界中の企業や組織に潜入するためにIT労働者を装う北朝鮮工作員による脅威の拡大に対抗するため協力している。

3カ国は8月26日に東京で共同フォーラムを開催し、協力体制の強化を図った。日本と韓国はこの脅威に関する最新の注意喚起を発表し、アメリカはIT労働者詐欺スキームに関与した4つの団体に制裁を科し、これらが朝鮮民主主義人民共和国（DPRK）の収益獲得を支援していると非難した。

「北朝鮮IT労働者の雇用、支援、または業務委託は、知的財産、データ、資金の窃盗から評判の失墜、法的な問題に至るまで、深刻なリスクをもたらす可能性が高まっています」と3カ国は共同声明で述べた。

このフォーラムには、Google CloudのMandiantなどパートナー企業からの民間専門家も含め、政府関係者が集まり、脅威への追加対策を模索した。

アメリカは大きな経済規模と多国籍企業の集中により、サイバー犯罪組織の標的となることが多いが、北朝鮮のグループは急速にヨーロッパにも活動を拡大し、アジア太平洋地域でのネットワークも強化している。日本、マレーシア、シンガポール、ベトナムでの居住を主張しているとGoogleの脅威インテリジェンスグループ（GTIG）は報告している。

この手口は北朝鮮の目的を推進し、制裁下の同国に資金を還流させることに成功していると、GTIGのコリア担当ミッションテックリードであるアシュリー・ザヤ氏は述べている。

「これらの作戦の主な目的は、体制への収益還元です」と彼女は語る。「IT労働者を雇用した組織は、スパイ活動のリスクが高まると考えられます。」

偽IT労働者：収益獲得と侵入経路の両面

この手口には、制裁対象外の国でのラップトップファームの設置・運営、リクルーターへの接触、盗まれた情報の処理など、さまざまな役割を持つ数千人の工作員や協力者が関与していると、サイバー脅威インテリジェンス企業Flashpointのインテリジェンス担当副社長イアン・グレイ氏は述べている。

北朝鮮のリモートワーカーによる詐欺は「収益エンジンであり、侵入経路でもある」と彼は語る。脅威アクターは、ペイロールをフロント企業を通じて資金洗浄したり、複数の偽名を同時に使い分けたり（あるケースでは1人で10の異なる身分を維持）、リモートアクセスツールで雇用主の端末を操作したりしている。グレイ氏は、この手口で6年間に8,800万ドル以上が集められたと推定している。

「APAC地域では、工作員の物理的な近接性、中国、ベトナム、日本など第三国の協力者の利用、そしてDPRKアクターが魅力を感じる産業（特にテクノロジー、暗号資産、フィンテック）の強い存在感により、企業のリスクが高まっています」と彼は述べる。

日本政府は企業に対し、身元確認の徹底を呼びかけ、フリーランスプラットフォーム運営者には詐欺対策の強化を要請した。

「多くは中国、ロシア、東南アジアに居住していると考えられますが、VPNやリモートデスクトップサービスを使って国外からのアクセスを隠すことが多い」と警告文（Dark Readingによる翻訳）は述べている。また「日本人を名乗っていても、プロフィールに誤りや不自然な日本語表現が含まれている」とも付け加えている。

8月27日、米財務省はVitaliy Sergeyevich Andreyev、Kim Ung Sun、Shenyang Geumpungri Network Technology、Korea Sinjin Trading CorpをIT労働者詐欺への関与で制裁対象とした。これら2名と2社は、北朝鮮政府のフロントとして少なくとも160万ドルを体制に送金するのを支援したと米財務省が発表した。

アジア太平洋のサイバー標的企業は対策を見直せる

アジア太平洋地域の企業は、候補者が主張する居住地に実際にいるかを確認し、給与の送付先とパソコンの送付先が異なるなど、移動が多いように見える候補者にも注意すべきである。

面接時には、候補者が主張する居住地や職種に関して知っているべきことについて質問するのが良いと、サイバーセキュリティ企業Apollo Information SystemsのCISO、アンディ・ベネット氏は述べている。

「テストは動的にして、偽応募者が十分な準備時間を持てないようにしましょう」と彼は語る。

BeyondTrust（ID・アクセスセキュリティ企業）のチーフセキュリティアドバイザー、モーリー・ヘイバー氏は、重要な役割や機密システムへのアクセス権を持つ新規従業員には、企業または信頼できる代理人が直接会うべきだと述べている。

「私の意見では、今日ではほぼすべてのデジタル記録や身分証明書はAIやリバースID盗難を使って偽造可能です」と彼は語る。「LinkedInページも偽造でき、履歴も簡単なコピペやアカウント乗っ取りで作成でき、偽パスポートの画像も作れ、電話も転送して身元を隠すことができます。」

一部の企業はリモートワークに慎重になるかもしれないが、技術職の需要は高く、脅威が消える可能性は低い。ID詐欺はAPAC組織にとって深刻かつ継続的な脅威であり、米国や欧州の同様の手口と同等だとFlashpointのグレイ氏は述べている。

「現実として、技術人材への世界的な需要は、北朝鮮工作員が悪用できる機会を生み出し続けています」と彼は語る。「私たちの見解では、これは縮小する問題ではなく、企業がリスクモデルに組み込むべき長期的なキャンペーンです。」