北朝鮮の容疑者がサイバーセキュリティ企業に盗まれた身元とAI生成履歴書を使用して潜入しようとしました。採用パイプラインが攻撃ベクトルになっていることを強調しています。
失敗した試みは、脅威アクターが身元盗難、自動化、匿名化インフラストラクチャを組み合わせて従来の採用セーフガードをバイパスする方法を明らかにしています。
「2025年6月、採用前のOSINT適切性調査とターゲット化されたインタビュー質問の組み合わせを使用して、疑わしいDPRK工作員を暴露しました」と研究者は彼らの報告書で述べています。
北朝鮮の採用詐欺スキームの内部
このインシデントは、北朝鮮のIT労働者が正規のリモート候補者として身元を詐称して雇用を確保し、収益を政権に流す広範なキャンペーンの一部です。
これらの操作は一貫した戦術セットに従い、新しく作成されたメールアカウント、盗まれた身元、偽のLinkedInと履歴書プロフィール、および自動スクリーニングシステムを通過するように設計されたAI支援コンテンツの使用を含みます。
リスクは給与詐欺をはるかに超えています。一度内部に入ると、これらの個人は敏感なシステムへのアクセスを持つ内部脅威として機能し、データ流出、知的財産盗難、長期的な継続的なアクセスを可能にします。
特に高い権限またはエンジニアリング役割のリモート技術者を採用する組織は、このタイプの潜入に対して特に脆弱です。
攻撃者が信頼できるアイデンティティを構築する方法
信頼性を確立するために、工作員は身元盗難、AI生成コンテンツ、匿名化インフラストラクチャを組み合わせました。
彼らはAstrill VPNネットワークにリンクされたIPアドレスと米国の位置情報に合わせたVoIP電話番号を使用して、信じられるペルソナを強化しました。
履歴書自体は職務記述書を密接に反映し、必要なスキルと責務をコピーしてキーワードベースのスクリーニングシステムを通過させました。これは自動採用フィルターをバイパスするために次第に使用される戦術です。
研究者はまた、同じ名前の複数の履歴書プロフィールを矛盾した詳細で識別し、ペルソナがプラットフォーム全体で再利用および適応されて成功の可能性を高めていることを示唆しています。
インタビュープロセス中の危険信号
インタビュー中の行動指標がさらに欺瞞を露出させました。候補者は頻繁に画面外を見て、リアルタイム応答のためのAIチャットボットに依存している可能性があり、スクリプト化されていない、または予期しない質問に苦戦していました。
10年以上の経験を主張しているにもかかわらず、その個人は検証可能な仕事のサンプルを提供できず、GitHubやパブリックポートフォリオを持たず、以前の仕事を実演するよう求められたときセッションを急に終了しました。これは造られた経験の明らかな兆候です。
ラップトップファームインフラストラクチャの内部
さらなる調査により、操作は単一の申請者を超えて拡張されたことが明らかになりました。会社発行のデバイスはラップトップファーム環境にトレースされ、複数の企業ラップトップが一緒にクラスタリングされ、リモート制御されました。
調査官はネットワーク上の約40台のデバイスを識別し、約20台がコーディネートされた操作の一部である可能性が高い。これらのスキームの規模と産業化を強調しています。
セットアップはPiKVMデバイスを利用し、攻撃者がオペレーティングシステムが読み込む前でもハードウェアレベルでシステムをリモート制御できるようにしました。これは従来のリモートアクセスツールよりも検出をより難しくします。
インフラストラクチャはさらにTailscaleなどのメッシュVPNサービスによってサポートされ、デバイス間の暗号化されたピアツーピア接続を可能にし、地理的に分散した場所全体でスケーラブルで目立たないリモートアクセスを実現します。
このハードウェアレベルの制御と安全なネットワーキングの組み合わせは、ローカルで動作しているように見えながらエンタープライズシステムへの継続的なアクセスを維持するための回復力のある環境を作成します。
採用における内部脅威の軽減
採用関連の脅威がより洗練されるにつれて、組織はもはや従来のスクリーニングのみに依存することはできません。
攻撃者は次第にAI、盗まれた身元、リモートアクセス技術を組み合わせて標準的なコントロールをバイパスしています。
これに対する防御には、採用前の検証、技術的制御、継続的な監視にわたる層化されたアプローチが必要です。
- 身元確認とOSINT確認を実施して候補者の身元、履歴、デジタルフットプリントを検証します。
- IPアドレス、電話番号、位置情報の一貫性を確認して匿名化または位置情報のなりすまし検出します。
- ライブの仕事デモンストレーションを要求し、動的なインタビュー質問を使用してAI支援またはスクリプト化された応答を露出させます。
- 一貫性のないプロフィール、異常な行動、および共有またはリモート制御されたデバイスの指標を監視します。
- 最小権限を実施し、新規採用アクセスを分割し、承認されていないリモートアクセスツールを制限します。
- デバイス制御とオンボーディングセーフガードを実装し、検証されたアクセス、位置情報チェック、遅延プロビジョニングを含めます。
- 内部脅威、危険にさらされたアカウント、疑わしい従業員活動のインシデント対応計画を定期的にテストします。
一緒に、これらの対策は、組織が進化する採用脅威に対する回復力を構築し、内部駆動の妥協への露出を制限するのに役立ちます。
採用ワークフローで信頼が壊れている
脅威アクターが次第にAI、身元盗難、リモートアクセス技術を組み合わせるため、採用は急速に単なるビジネス機能ではなく攻撃表面の拡張になっています。
このケースは、信頼がいかに簡単に製造されるか、そして適切なコントロールがないと検出がいかに難しいかを示しています。
人間レベルで信頼を検証することがより難しくなると、組織はゼロトラストソリューションに目を向けてアクセスを継続的に検証し、暗黙の信頼への依存を減らしています。
