概要
北朝鮮の工作員がリモートワーク市場で新たな手口の身元詐称を使い、採用プロセスを巧妙にすり抜けています。これはサイバー犯罪の手口における重大な変化を示しています。以前は、AI生成の顔写真や偽の履歴書で作成された架空のプロフィールが使われていましたが、採用担当者やセキュリティチームはこうした不整合を見抜くことに長けてきました。これに対し、北朝鮮の工作員は実際の人物の信頼性を悪用し、検知がはるかに困難な「カモフラージュ」を作り出しています。セキュリティ研究者たちは、北朝鮮のITワーカーが正規のLinkedInアカウントを乗っ取るか、模倣することで、欧米のテクノロジー企業のリモート職に応募していることを確認しています。
手口の詳細
この戦略の核心は、実在する個人のLinkedInプロフィールへのアクセスを得るか、それを複製することにあります。既存のアカウントを使用することで、攻撃者は被害者の職歴、つながり、そして最も重要な「認証済みステータス」を継承します。
🚨PSA: 北朝鮮のITワーカーは、他人になりすまして本物のLinkedInアカウントをリモート職の応募に悪用しています。これらのプロフィールは、多くの場合、職場のメールアドレスや身元証明バッジで認証されており、北朝鮮の工作員はこれらを悪用して不正な応募を正当に見せかけようとしています。
これらの不正利用または模倣されたプロフィールの多くは、「認証済み」バッジを特徴としています。これらの認証は、元の所有者が完了した職場のメールアドレスまたは政府発行のIDチェックに依存していることがよくあります。工作員は一度情報の主導権を握ると、これらの信頼シグナルを利用してリモートのソフトウェア開発やIT職に応募します。プロフィールは本物の職歴や推薦状で完全なように見えるため、採用担当者が初期の審査で応募を疑う可能性は低くなります。
これらの工作員の目的は、通常二重です。一つは北朝鮮政権のための収益創出であり、もう一つは機密性の高い企業ネットワークへの潜在的なアクセスです。テクノロジー企業での雇用を確保することで、これらのワーカーは給与を北朝鮮に送金し、国際的な制裁を回避することができます。さらに、一度企業のシステム内に入り込むと、彼らは知的財産の窃盗やマルウェアの導入が可能な重大な内部脅威となります。
採用担当者が注意すべき兆候
巧妙な偽装にもかかわらず、採用チームが注意すべき警告サインがいくつかあります。
- コミュニケーションの不一致: 候補者がビデオ通話を拒否したり、カメラに映るのを避けるための言い訳を使ったりすることがあります。もし映ったとしても、その照明や背景は主張されている所在地と矛盾している可能性があります。
- 場所の不整合: 面接プロセス中のログインメタデータやIPアドレスが、LinkedInプロフィールに記載されている場所と一致しないことがあります。
- スキルの食い違い: 履歴書は完璧に見えても、実際の技術面接では、なりすましている人物に期待されるものとは異なるコーディングスタイルやスキルレベルが明らかになることがあります。
- 緊急性と給与: 工作員はしばしばすぐに働き始めることを望み、給与の支払いを複雑な経路や応募者の名前と一致しない口座にルーティングするよう要求することがあります。
この傾向は、採用プロセスにおける厳格な身元確認の必要性を浮き彫りにしています。ソーシャルメディアの認証バッジだけに頼るのではもはや不十分です。企業は、画面上の人物が応募のプロフィールと一致していることを確認するために、ライブビデオ面接と多要素の身元チェックを通じて候補者を検証する必要があります。