リモートワークは世界中の人材に扉を開きましたが、同時にリスクも生みます。北朝鮮のIT労働者(DPRK=朝鮮民主主義人民共和国に関連)が、LinkedIn上で熟練したプロフェッショナルを装っています。
彼らは実在するプロフィールを盗用して求人に応募し、企業に侵入してデータや資金を盗むことを狙います。MandiantとRecorded Futureのようなサイバーセキュリティ企業は、2023年以降この傾向を追跡しており、2025年に急増しています。
これらの工作員は、ソフトウェア開発、ITサポート、クラウドエンジニアリングといった高給のリモート職を標的にします。米国、欧州、アジアの労働者の盗用された身元を利用します。
プロフィールには、認証済みの勤務先メールアドレス(例:companyname.com)や、スキルや雇用に関するLinkedInバッジが表示されていることがよくあります。これにより応募が本物に見えます。採用されると、労働者は企業ネットワークにアクセスし、マルウェアをインストールしたり、暗号資産を吸い上げたりします。
米国のサイバーセキュリティ機関による公共サービス告知(PSA)は、DPRKのIT労働者が、なりすまされた人物の実在するLinkedInアカウントを使ってリモート職に応募していると警告しています。不正な履歴書は盗用されたプロフィールと完全に一致します。企業はLinkedInだけに頼らず、追加の確認を行う必要があります。
DPRKのハッカーは、まず個人アカウントへの侵入から始めます。フィッシングメールを使ったり、ダークウェブ市場からデータを購入したりします。インフォスティーラーのようなツールがLinkedInの認証情報、写真、職歴を奪取します。その後、工作員は大きく変更を加えずにこれらのアカウントに「便乗」し、検知を回避します。
中国やロシアのような安全な場所から、彼らは英語で履歴書を作成します。GoogleやAWSのような企業での経験を主張しますが、偽のGitHubリポジトリや複製されたポートフォリオで裏付けます。
面接は、北朝鮮からのIPアドレスを隠すためにVPN経由で行われます。通話にはAIのボイスチェンジャーを使い、Zoomにはディープフェイクの動画ツールを用います。
内部に入り込むと、優先事項は変わります。BloodHoundのようなツールでネットワークをマッピングし、遠隔操作のためにCobalt Strikeのビーコンを展開したり、Dropbox経由でデータを持ち出したりします。
2024年には、これにより3社から1億ドル相当の暗号資産が盗まれました。ある事例では、偽の「シニア開発者」がランサムウェアを仕込み、被害者に200万ドルの損害を与えました。
検知の手がかりには、不自然なVPNパターン、コードコミットに残る韓国語の痕跡、追跡不能なウォレットへの支払いなどがあります。LinkedInは一部のアカウントをフラグ付けしますが、多くはすり抜けます。
第二に、ネットワークを分割します。新規のリモート採用者にはゼロトラストモデルで限定的なアクセスを付与します。CrowdStrikeやMicrosoft Defenderのようなツールが、異常なデータ流出などの兆候を監視します。
第三に、スタッフを訓練します。人事は危険信号を見抜く必要があります。完璧な英語の履歴書なのに文化的な不一致がある、またはリアルタイムの画面共有を渋る、といった点です。メールは直接確認し、LinkedInのリンクを信用しないでください。
各国政府も対応しています。米国FBIは警告を発出し、2026年1月に企業へ不審な採用を報告するよう促しました。制裁は「Wonderkid Solutions」のようなDPRKのフロント企業を標的にしています。LinkedInは現在、二要素認証を必須化し、企業と提携してプロフィールをスキャンしています。
この詐欺は、リモートワークにおける信頼を悪用しています。警戒を怠らなければ、企業は安全に採用し、国家主体の脅威を阻止できます。
翻訳元: https://cyberpress.org/dprk-imposters-exploit-linkedin/