北朝鮮、IT技術者の身元を悪用する新たな手口:偽装採用詐欺の実態
セキュリティ研究者らは、北朝鮮がIT技術者を巧みに勧誘し、その身元を悪用して収益を生み出す前例のないインテリジェンス作戦を暴露しました。北朝鮮の国家支援型ハッキンググループ「Lazarus Group」の一部である「Famous Chollima」(別名WageMole)は、これまでもスパイ活動や体制のための資金調達を目的としたソーシャルエンジニアリングキャンペーンで知られています。
今回明らかになったのは、偽の身元と高度なAI技術、特にディープフェイク動画を駆使して、欧米の有名企業(Fortune 500企業)での職を確保しようとする手口です。彼らは面接中にカメラに映ることを避け、巧妙に採用担当者を騙していました。
巧妙化する手口:AIと身元詐称
別の手口としては、正規のエンジニアを勧誘し、北朝鮮のエージェントが標的とする企業でリモート職を得るための「フロントマン」として活動させる方法があります。このフロントマンは、面接などの企業とのやり取りでエージェントの顔となり、契約期間中、給与の20%から35%を受け取るとされています。より高額な報酬を得るためには、自身のコンピューターをエージェントに利用させる必要があり、これは北朝鮮側の位置情報や痕跡を隠し、エンジニアを悪意のある活動のプロキシとして利用するためです。
BCA LTDのハッカー兼脅威インテリジェンススペシャリストであるマウロ・エルドリッチ氏は、身元を貸与したエンジニアがすべてのリスクを負い、発生した損害に対して単独で責任を負うと指摘しています。
GitHubを通じたリクルート活動
エルドリッチ氏は、デジタル金融サービス企業BitsoのWeb3脅威研究チーム「Quetzal Team」を率いていた際、Famous Chollimaのリクルート戦術に精通しました。彼は、多くのGitHubアカウントが求人募集のメッセージをリポジトリにスパムとして投稿しているのを発見しました。
- 募集対象:.NET、Java、C#、Python、JavaScript、Ruby、Golang、Blockchainの技術面接に参加する個人
- 条件:提供された偽の身元を使用
- 報酬:月額約3000ドル
- 特徴:技術的な熟練度は不要、面接での対応は採用担当者がアシスト
潜入捜査とハニーポット戦略
エルドリッチ氏とNorthScanのハイナー・ガルシア氏は、北朝鮮のIT労働者による潜入を暴くため、この募集に応じる形で調査を開始しました。彼らはANY.RUNのサンドボックスサービスを利用し、「ラップトップファーム」ハニーポットを構築。これにより、北朝鮮エージェントの活動をリアルタイムで記録・分析できる環境を整えました。
ガルシア氏は、米国を拠点とする「アンディ・ジョーンズ」という開発者のふりをして、北朝鮮エージェントと複数回やり取りを行い、作戦に関する情報を引き出しました。エージェントは最終的に、エルドリッチ氏のラップトップへの24時間365日のリモートアクセス(AnyDesk経由)と、身元証明書、氏名、ビザステータス、住所などの個人情報を要求しました。
北朝鮮エージェントの行動と使用ツール
サンドボックス環境が整った後、研究者たちはエージェントにリモート接続を許可しました。エージェントはシステム上のハードウェアチェックを行い、Google Chromeをデフォルトブラウザに設定し、接続元の位置を確認しました。この際、Astrill VPNが使用されていることが判明しました。これは北朝鮮の偽IT労働者の間で人気のサービスです。
調査中、エージェントは以下のようなツールや手口を使用していることが観察されました。
- AIを活用した拡張機能:AIApply, Simplify Copilot, Final Round AI, Saved Prompts (職務申請の自動入力、履歴書作成、ChatGPTのプロンプト保存、面接中のリアルタイム応答)
- OTP認証拡張機能
- Google Remote Desktop
- 定期的なシステム偵察
ある時点では、エージェントが自身のGoogleアカウントにログインし、同期機能を有効にしたことで、彼のメール受信トレイや職探しプラットフォームの購読情報、Slackワークスペースのチャット履歴などが明らかになりました。この作戦に関与するFamous Chollimaチームは、「Mateo」「Julián」「Aaron」「Jesús」「Sebastián」「Alfredo」という偽名を使う6人のメンバーで構成されていることが示唆されています。
対策と今後の課題
今回の北朝鮮エージェントとのやり取りから得られた情報は、企業が潜在的なサイバー攻撃や infiltración の試みを早期に察知するための重要な警告となります。このデータは、グループの行動を予測し、ワークフローを阻害し、標準的なマルウェアIoC(侵害の痕跡)マッチングを超えた検出能力を向上させるのに役立つでしょう。