北朝鮮のIT労働者に“おとり捜査” 「面接の身代わり募集」にセキュリティ研究者が応募、明らかになった手口とは
身分を偽装して海外企業で働き、情報や資産を盗もうとする北朝鮮のIT労働者たちに“おとり調査”を仕掛ける──アラブ首長国連邦のセキュリティ企業ANY.RUNが、セキュリティ研究者と共同でこんな取り組みを行った。調査の中で明らかになった、北朝鮮IT労働者の手口とは。
ANY.RUNなどが12月4日(現地時間)に公開したレポートによれば、おとり調査の対象となったのは北朝鮮のハッカー集団「Lazarus」の一部門「Famous Chollima」(フェイマス・チョルリマ)とみられる組織。工作員や協力者をIT労働者として米国などの企業に送り込み、スパイ活動や行ったり給与などを北朝鮮に送金したりしているという。
企業に入りこむ手口は大別して2つ。1つ目は、AIなどを活用して身分を偽り、自ら採用面接に臨むケースだ。盗難・流出したパスポートや運転免許証を使って実在の人物に成りすましたり、AIで生成した顔写真を使って架空の人物を作り出したりして、偽の身分証明書や履歴書、LinkedInで紹介するためのプロフィールを作成。ディープフェイクや合成音声を使って採用面接も突破し、企業に侵入する。
2つ目は、国外のIT労働者に報酬を提示し、協力者とするケース。GitHubやTelegram上で人材を勧誘し、代わりに採用面接などに対応させるという。
今回のおとり調査は2つ目の手口に注目したものだ。研究者は、採用面接を代理で受けてほしいとするスパムをGitHub上で確認。募集に当たってのメッセージに「技術に精通している必要はない」「採用後は身代わりが実作業をこなす」「協力者には月に3000ドル程度を支払う」といった説明があったことから、北朝鮮の工作員による協力者の募集である可能性があると判断した。
そこで研究者は、過去に同様のメッセージを受け取っていたアカウントに酷似したアカウントを作成し、募集者に接触したところ、Web会議やTelegramでのやりとりが始まった。Web会議でカメラをオンにしなかったため、当初は怪しまれていたものの、純朴な姿勢を装うことでやりとりが進むようになったという。
その後、募集者は研究者に対し、リモートワークを代行するため、PCに常時アクセスできるようにさせてほしいと要求。さらに採用面接に応募するため、身分証明書や氏名、住所などを共有するよう求めてきた。その上で面接の代行まで行う場合は企業から支払われる給与の20%、面接を募集者に任せる場合は10%を報酬として支払うと交渉してきたという。支払い方法の説明に際し、銀行口座情報や社会保障番号、犯罪歴についても尋ねてきた。
研究者はANY.RUNと協力し、PCを模したサンドボックス環境を用意。さらにPCが米国に存在するよう見せかけたり、アクセスした人の行動を記録・観察可能にしたりした上で、募集者がサンドボックス環境にアクセスできるようにした。ただし調査可能な期間を引き延ばすため、研究者たちはPCをたびたび意図的にクラッシュさせたり、リモート操作を妨害したりできるようにした。
アクセス権を手にした募集者は、その環境で自身のGoogleアカウントにログインしたり、ツールセットを利用したりした。これにより研究者は募集者の素性や、この人物が受け取ったメールの内容などを一部確認可能になったという。
例えば募集者がイスラム教徒が多数派を占める地域の企業で働く人物と連絡を取っていたことや、AIを積極的に活用していることが分かった。AIは求人書類の記入に使っていた他、面接中に回答案をリアルタイムで提示するツールも活用していた。
さらに、Famous Chollimaが複数のチームからなることも分かった。一方で、複数の工作員が同じ日に同じ企業で同じ職種の面接を受けているケースがあることも確認。研究者たちは組織間の連携不足が不足している可能性もあるとみている。
調査は、研究者のPCが米国にないことを明らかにする形で終了させた。あるタイミングで、募集者がアクセスする環境からインターネットに接続できないように操作。募集者がPCの不具合が続くことに対し文句を言ったため、インターネット接続を再開の上で所在地の偽装を解除した。PCが米国にないことに気付いた募集者は事情を聞こうとしたものの、研究者がそこでPCをクラッシュさせ、連絡もシャットアウトした。
北朝鮮IT労働者による活動は米国などで問題になっており、AIの発展により巧妙化しているとの見方もある。ANY.RUNや研究者は調査の結果を基に、企業に対し新規採用の場合には厳格な身元調査を行うよう注意喚起している。
経営×IT×事業のコラボで導くデジタル基点のビジネス改革
経営層とIT部門、そして現場業務を担う事業部門の視点を合わせ、デジタル戦略の解像度を高めるためにはどうすればいいのでしょうか。本イベントでは、ビジネストレンドを整理しながら、今知りたい経営×IT×事業のコラボレーションで全社の変革を進めるためのヒントをお届けします。
- イベント「ITmedia デジタル戦略EXPO 2026 冬」
- 2026年1月27日(火)から2月25日(水)まで
- こちらから視聴登録できます
- 主催:ITmedia ビジネスオンライン、ITmedia NEWS
関連記事
AI人材を新規採用→実は“北朝鮮の技術者”だった マルウェア感染など画策 米セキュリティ企業が体験明かす
雇ったAI人材が実は北朝鮮の技術者で、社内にマルウェアを仕込もうとしていた。履歴書の写真はAIで加工されたもので、オンライン面談でも気付けなかった──米セキュリティ企業のKnowBe4が、こんな出来事に遭遇したと自社ブログで明かした。
「全く知らない」「勝手に使われた」──日米のアニメ制作会社が相次ぎ声明 北朝鮮のサーバから関連ファイルが見つかった問題で
北朝鮮が管理していたとみられるクラウドストレージサーバから、米国、日本などのアニメ作品に関係するファイルが見つかった問題で、日本や米国のアニメ制作会社が相次いで関与を否定する声明を出している。
大企業に潜り込む工作員、増加中──北朝鮮ITワーカーの手口 採用面接もAIで突破、実績アピールの偽装SNSも
米国人になりすました北朝鮮のIT技術者を米国企業に採用させていたとして、FBIなどが米国内の共謀者を逮捕・起訴した。リモートワーカーとして採用された技術者は、給料を稼ぎながら、勤務先のシステムに不正アクセスして情報を盗み出していたという。
北朝鮮ハッカー集団によるGmailを盗み見るサイバー攻撃、Chrome拡張機能を活用
米セキュリティ会社Volexityは、北朝鮮政府がスポンサーのハッカー集団「SharpTongue」が手掛ける新たなハッキング方法に関する情報を発表した。「SHARPEXT」と呼ぶ今回のマルウェアは、ブラウザの拡張機能を用いてGmailやAOLメールの内容を盗み取る。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。