内部脅威は引き続き持続的な問題であり、オンボーディングプロセス、技術的保護、および承認された地域からのログインを制限する対策における厳重な警戒が必要とされている
北朝鮮の偽ITワーカースキームは、複数の業界にわたって悪質な脅威となっています。採用段階を通じた予防措置を強調するベストプラクティスがありますが、オンボーディング後、そのような工作員は検出が難しいことがあります。行動分析、脅威インテリジェンス、および他の情報ポイントの組み合わせが重要な防御として機能しており、最近のケースがそれを証明しています。
LevelBlue SpiderLabsの最近のレポートによると、北朝鮮と関連がある疑いのある工作員が雇用され、セキュリティチェックに合格し、Salesforceデータに対する作業を割り当てられましたが、10日後に特定され解雇されました。脅威を特定するには、地理情報異常、管理されていないデバイスアクセス、および脅威インテリジェンスの関連付けの組み合わせが必要でした。
2025年8月、定期的なオンボーディングは、Cybereason XDRの行動分析が疑わしいログインパターンを検出し、LevelBlue SpiderLabsの脅威インテリジェンスが組織が知らずに悪質なアクターを雇用していたことを確認したときに、急速に破綻しました。
組織の管理者が新入社員のEntraIDアカウントを有効化したとき、チームは新入社員がダラス、テキサス州のIPアドレスからEntraIDログインを使用していることを観察しました。これは彼の通常のログイン地域(中国)とは異なっていました。EntraIDログインは管理されていないデバイスから発生し、北朝鮮関連のITワーカーによって一般的に使用されるAstrill VPNのIPアドレスを使用していました。
LevelBlue SpiderLabsの脅威検出エンジニアであるTue Luuは、CSOに対し、警報が鳴った原因は脅威インテリジェンスの関連付けであったと述べました。「これらのことは単一の情報、テレメトリ、または動作によって決定されることはめったにありません。むしろ、疑いと統計的異常の合流から生じるのです。」
北朝鮮の偽ITワーカースキームは、工作員が機密データ、独自のソースコード、営業秘密、および知的財産を盗むことを可能にします。組織を身代金要求および永続的な無許可アクセスを維持するための認証情報の収集にさらします。
「それは究極のトロイの木馬です。特に従業員身元確認プロセスに合格した場合、軽減するのは難しいです」とLuuは述べました。
北朝鮮関連の遠隔ワーカースキームが世界中の数百の組織に浸透したと推定されており、その体制のために年間2億5000万ドルから5億ドルを生成しています。
スキームの詳細な展開方法
金曜日: 脅威アクターが遠隔従業員として雇用され、Salesforceデータに対する作業を割り当てられ、標準的な検証手続きに合格しました。
金曜日から水曜日:Cybereason XDRが中国からの一貫したログインを示す行動ベースラインを確立しました。
木曜日: ログイン異常が検出され、高重要度アラートがトリガーされました。
金曜日: 脅威インテリジェンスが北朝鮮のアクターによって使用されるAstrill VPNインフラストラクチャのOTXパルスと一致しました。
月曜日: ユーザーのアカウントが失効し、広範な調査が開始されました。
SpiderLabsチームの詳細な調査の間、彼らは従業員の相互作用、グループチャットの追加、および永続化メカニズムとリモートアクセスツールの証拠を探すための他の資料を精査しました。彼らは残存アクセス、バックドア、または悪質な成果物の証拠は見つかりませんでした。これは検出速度に起因しています。
ほとんどの場合、これらの不正な内部者は影の中で活動しようとします。
「会社のコントロールの多くを点灯させない限り、プロキシ適合性を通過する通信チャネルを使用している限り、QQチャットクライアント、pastebin風のサイト、または情報を受け渡すための共有クラウドベースのメールドラフトなどの方法が見られるかもしれません」とLuuは述べました。
NK関連の内部浸透の主な兆候
SpiderLabsは、これらの脅威アクターが通常、北朝鮮ではなく中国から活動していることを発見しています。インターネットがより安定しており、VPNサービスを使用して真の地理的位置を隠すことができるためです。
Astrill VPNは中国のグレートファイアウォールを回避し、脅威アクターはトラフィックを米国の出口ノードを通じてトンネリングし、正当な国内従業員になりすますことができます。その結果、既知のAstrill VPN IPレンジからの認証イベントは、侵害の高い忠実度の指標を表しています。
ただし、このケースではVPN自体が唯一の兆候ではありませんでした。
「ここで何が起こったかというと、Astrill VPNは、この特定のケースでクライアントに対して監視していた特定の環境で使用される標準的なソリューションではなかったと思います。それがそうであった場合、この特定の指標はそれほど重みがなかったかもしれません」とLuuは述べました。
「真の異常はここで、その特定のVPNソフトウェアの使用がこの特定の環境では異常であったということです。個人用VPNとビジネスVPNがあり、XDRソリューションは個人と企業のVPNソリューション間で区別でき、個人VPNの使用に関してのみアラートを発します」とLuuは付け加えました。
CISOs向けの魔法のようなIAMソリューションはありません
身元とアクセス管理は、偽のITワーカーを特定するための魔法的な方法を提供していません。この例が示すように、北朝鮮の内部者を発見するには、多くの信号を組み合わせることが必要です。この調査およびアラート作業は異なる形式をとることができます。
「一部のアプローチは、特権をよく分離した状態で始まり、信頼と任期が確立されるにつれて、時間の経過とともに特権のレベルを上げていき、リスクのある採用を「ゆっくりと展開」します」とLuuはCSOに述べました。
場合によっては、特定の地域に対する典型的な労働時間外でのログオンまたは作業活動を探しています。
「確かに、疑いの合流は役立ちます。例えば、従業員が確立されたロール外のデータにアクセスしたり、データ、ホスト、またはアプリケーションへの認証を試みたりしていますか?」とLuuは指摘しました。
CISOへのリマインダーは、オンボーディングプロセスが堅牢で定期的に見直されていることを確認することです。「環境内の「標準的な」ソフトウェアを学び、ソフトウェア標準を設定し、従業員がより多くの制御のためにWindowsを好み、会社が管理するデバイスを持っていることを確認してください」とLuuは助言しました。「IT管理者がEntraID条件付きアクセスポリシーを適用して、許可された地域または従業員が雇用されている地域からのログインをロックダウンしていることを確認してください。クライアントはインシデント前に条件付きアクセスポリシーを有効にしていなかったため、Cybereason からの推奨事項として、インシデント後に適用しました。」
