IBM X‑ForceとFlare Researchの研究者たちは、北朝鮮の偽造IT労働者スキームがどのように機能し、企業に浸透して体制にお金を流し込み、機密情報を盗むかについて、光を当てるデータを発見しました。
公開されたレポート「北朝鮮の浸透者脅威の内部」では、この二者が運営を管理するために使用されるトップレベルのインフラストラクチャの証拠、労働者がどのようにIT職を申し込み確保するか、および企業が被害を回避するために使用できる軽減戦略の詳細を述べています。
北朝鮮国民がリモートIT契約者または常勤技術スタッフとして企業内で活動するという脅威は過去数年間に明らかになってきましたが、レポートは、セキュリティ専門家がこの作戦の規模と洗練さを認識し始めたばかりだと述べています。
米国政府からの情報によると、これらのIT労働者は年間30万ドル以上を稼ぐことができ、10万人以上の北朝鮮人が40カ国に分散して平壌のために年間約5億ドルを生成しています。
研究者たちは、採用者、仲介者、IT労働者、協力者・ブローカーで構成される偽造IT労働者エコシステム内の役割を明かす文書とスプレッドシートを発見しました。
採用者は、正規の採用スタッフのように、潜在的なIT職員のスクリーニングとインタビュー記録を担当しています。これらは、採用マネージャーのように、雇用を受け入れるか拒否するかを決定する仲介者に送られます。
しかし、多くの候補者が北朝鮮のために働くために採用されていることに気づいているかどうかは不明です。採用者は、彼らが申請している企業が「初期段階のステルススタートアップ」であり、公開されている企業情報がなく、しばしば「C Digital LLC」という名前を使用していることを伝える場合があります。
候補者は西側を拠点とする企業での就職申請についてメンター指導を受け、使用するための米国ベースのアイデンティティが与えられます。
仲介者とIT労働者はシステム内で最も重要な役割です。これらはフルスタックウェブアプリ開発、.NET、Wordpressの経験を持つことが期待されています。協力者はIT労働者詐欺スキームで使用するためのアイデンティティを提供する西洋人であり、他の方法で支援する場合があります。
研究者が発見したタイムシートは、偽造労働者による「入札」および「メッセージ」での作業時間を詳しく説明しています。「入札」はUpworkなどのフリーランスサイトで1日に行った入札の数であり、「メッセージ」はおそらく労働者がUpWork、LinkedIn、またはFreelancerで行ったメッセージまたは接続の数を指しています。
労働者は、偽造されたアイデンティティを使用して仕事の機会を追求します。偽造アカウント、または労働者にアクセスを不本意に与えた可能性のある実在の個人にリンクされた認証済みアカウントです。
フルタイムの職務に雇用されると、偽造労働者はしばしば非常に成功しています。彼らの仕事を作成するのを複数の人が支援し、昇進を獲得し、ITシステムへのより特権的なアクセスを獲得することを望んでいるからです。
北朝鮮のIT労働者にとって最も重要なツールの1つはGoogle翻訳だとレポートは述べています。これは職務記述書の翻訳、アプリケーションの作成、仕事の一部としての他者との通信を含む、オンライン活動のほぼすべての部分で使用されています。
レポートは、企業が注意すべき偽造労働者に関連する一部のツールを特定しています。1つはOConnectおよび/またはNetKeyとして知られており、北朝鮮の既知のVPNであり、平壌の内部ネットワークに接続するために使用される可能性があります。
また一般的なのはIPメッセンジャー、またはIPMsgで、中央サーバーを必要としないオープンソースのメッセージングアプリケーションです。つまり、DiscordやGoogleなどの米国企業が運営する集中型プラットフォームに依存していません。
レポートは、オンラインインタビュー中の偽造背景、AI顔変更ツール、またはAI音声変更ツールなどの警告信号を含む、いくつかの軽減戦略の概要を示しています。雇用主はまた、候補者の履歴書とインタビューで言及していることの矛盾を監視する必要があります。たとえば、彼らが話すと主張する言語や、彼らが住むと主張する場所です。
別の方法として、The Registerで以前に報告された究極のインタビュー質問があります。「金正恩はどれくらい太っていますか?」のようなことを彼らに尋ねます。彼らが北朝鮮人である場合、彼らは即座に通話を終了します。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/18/researchers_lift_the_lid_on/
