北朝鮮の工作員と専門的なマネーロンダラーは、本人確認の根本的な欠陥を悪用して、フォーチュン・グローバル500企業から6桁の給与を得ています。
Silent Pushの先制的サイバー防御チームは、米国内のIPアドレスが北朝鮮人によって使用されていることを発見しました。これは、米国の大手企業での職務に適した候補者として見える努力の一環である可能性があります。
従来のKYC(知った上で取引)およびAML(マネーロンダリング対策)プロトコルは、静的なドキュメント検証に依存しています。これらのプロセスは、敵対者がクリーンな居住用IPアドレスで支えられた合法的で盗まれた身元を提示する場合に失敗します。
組織がローカルユーザーとキーボード・ビデオ・マウス(KVM)オーバーIPリレーを区別できない場合、給与計算システムは制裁対象企業への資金提供に対して脆弱になります。
従来のツールは、接続を隠すために使用されたローカルアドレスのみを表示します。 Traffic Origin は、位置を偽装するために使用される隠された上流インフラストラクチャをマスク解除し、接続が終了する国内IPだけでなく、実際に高リスクまたは制裁対象国で始まるかどうかを識別します。
従来のセキュリティツールは、既知の悪意のある行為者にフラグを立てるために履歴データベースに依存することが多すぎます。このリアクティブなアプローチは、インフラストラクチャを常に回転させる現代の敵対者に対して失敗します。
最近の司法省(DOJ)の強制措置によると、数千人の高度な技能を持つサイバー工作員が詐欺的な身元を使用してグローバルなデジタル労働力に配置されています。標準的なセキュリティスタックは、彼らが使用する戦術、以下を含めて特に脆弱です:
- Residential Proxy-as-a-Service(RPaaS): 詐欺師と制裁対象行為者は、合法的な国内顧客として見えるために居住用プロキシを使用しています。これにより、地理的フェンスをバイパスし、検出されずに初期KYCチェックに合格できます。
- ラップトップファームとKVMスイッチ: 敵対者は、国内の住居に物理的なハードウェアをホストし、KVM経由IPハードウェアを介してリモートでアクセスします。
FBIは、これらのスキームが標準的な検出を回避するために国内ハードウェアをどのように使用するかについて特定のガイダンスを発行しました。ソフトウェアは合法的なローカルマシン上で実行されるため、セキュリティツールは国内ISPとローカルMACアドレスを表示します。
「ラストマイル」ジオロケーションを超えて
従来の身元確認システムは、終了ノードまたは「最後のホップ」のみを表示するため、簡単にだまされます。IPアドレスが「ロンドン」を示していても、アラートは却下されます。これは、トランザクションの真の地理的起源を見ることができない銀行を通じて、違法資金が洗浄されるのを許すような、壊滅的な盲点を生み出す可能性があります。
その結果は、巨大なマネーロンダリングエンジンです。違法な収益は、国際制裁を回避するか、高リスクの暗号ミキサーから現金化するために、シェル企業と電子マネー機関(EMI)を通じて体系的に移動されます。
英国の金融制裁実施局(OFSI)は、国内IPが高リスク管轄区域への活発なリンクを示す上流接続の不一致を含め、このアクティビティのいくつかの指標を強調しました。
KYC&AMLチェックリスト:デジタル見えない内部者を発見する
身元盗難犯や国家行為者が溶け込むために一生懸命働いている間、彼らの技術インフラストラクチャは明確な足跡を残します。以下の「高リスク」指標を監視することは、防御者がこれらの脅威行為者を破壊する機会を生み出します:
| 危険信号 | 技術指標 | リスク評価 |
| 地理的不一致 | 制裁対象または高リスクゾーンへの活発な上流接続を持つ国内IP。 | 高(制裁回避) |
| インフラストラクチャ密度 | 多数の無関係なデバイス(高いホスト多様性)が単一の居住用IPから発生しているように見えます。 | 中/高(プロキシ使用) |
| インタビューおよび会議の摩擦 | カメラに映ることの継続的な拒否、異常なオーディオ遅延、または主張された場所と一致しない背景環境。 | 高(身元詐称) |
| 雇用異常 | 基本的なタスクを完了できない「高度に熟練した」従業員、1対1のビデオ同期を拒否するか、「パートナー」に作業を委任する。 | 高(仕事の外注化、潜在的にDPRK) |
| 財務リダイレクション | オンボーディング直後に給与支払いをEMIまたは第三者アカウントにピボットするための緊急リクエスト。 | 高(マネーロンダリング) |
Traffic Origin:真の起源決定
このジレンマを解決するために、組織はドキュメントチェックを超えて、接続の技術的起源を検証する必要があります。Silent Push Traffic Originは、今日利用可能な最も信頼度の高い属性インジケータを提供することにより、この可視性ギャップに対応します。
私たちは真の起源決定を通じてこの可視性を拡張します。この機能は、VPNまたは居住用プロキシによってマスクされている場合でも、識別された高リスクインフラストラクチャの真の地理的起源を明らかにして、ターゲット化された高信頼度の属性を提供します。従来のツールが最終的な居住用ホップのみを表示する一方で、Traffic Originは真の上流ソースを識別します。
深く多次元的な分析を通じて、Traffic Originプラットフォームはホスト多様性、サブネット評判、および行動密度を評価して技術的な明確さを提供します。
見えない内部者の時代における検証
敵対者がわずか数ドルで国内の身元とクリーンな居住用IPを借りることができる時代では、信頼は負債です。正確なコンプライアンスには、パスポートをチェックするだけでなく、以上が必要です。接続の物理的および技術的現実を検証する必要があります。
Traffic Originは、KYC、AML、および詐欺ワークフローがデジタル詐欺ではなく技術的真実に基づいていることを保証するために必要な可視性を提供することにより、組織を保護できます。
上流のインセプションポイントをマスク解除する能力がなければ、セキュリティ態勢はリアクティブで不完全なままです。既存のゲートキーパーをバイパスする前に、プロの詐欺師と「見えない内部者」をブロックするための重要なウィンドウを失います。
Traffic OriginおよびIP Contextを使用して、今日のネットワーク可視性を評価して、技術的真実に基づいた先制的な態勢に向かって移動します。
当社のチームに連絡して、Silent Pushの先制的サイバー防御がどのように組織を保護できるかを確認してください。
