FBIは本日、北朝鮮のIT労働者がそのアクセス権を悪用してソースコードを盗み出し、騙されて雇用した米国企業を恐喝していると警告した。
同警備局は、北朝鮮のIT軍団がサイバー犯罪活動を助長し、雇用者のネットワークから盗まれた機密データをオンラインに流出させないよう身代金を要求していることを、米国および世界中の公共・民間組織に警告した。
「北朝鮮のIT労働者は、GitHubのような会社のコードリポジトリを自分のユーザープロファイルや個人のクラウドアカウントにコピーしている。ソフトウェア開発者の間では珍しいことではないが、このような行為は会社のコードが盗まれる大規模なリスクを意味する」とFBIは述べている。
「北朝鮮の IT ワーカーは、機密性の高い会社の認証情報やセッション Cookie を取得し、会社以外のデバイスから作業セッションを開始したり、さらなる侵害の機会を狙ったりする可能性がある。
これらのリスクを軽減するため、FBIは企業に対し、ローカル管理者アカウントを無効にし、リモート・デスクトップ・アプリケーションの権限を制限することで、最小特権の原則を適用するよう助言した。また、北朝鮮のIT担当者は、短期間にさまざまなIPアドレスから同じアカウントにログインすることが多いため、異常なネットワーク・トラフィック、特にリモート接続を監視する必要がある。
また、共有ドライブ、クラウドアカウント、プライベートコードリポジトリを介したデータ流出の可能性について、ネットワークログやブラウザセッションを確認することも推奨している。
リモート採用プロセスを強化するため、企業は面接や入社時に身元を確認し、履歴書の内容や連絡先が類似している応募者がいないか人事システムを照合する必要がある。
北朝鮮のIT労働者は面接時に身元を隠すためにAIやフェイススワップ技術を使うことが知られているため、人事担当者や雇用管理者も関連するリスクを認識しておく必要がある。さらに、このような人物は履歴書をまたいで電子メールアドレスや電話番号を再利用することが多いため、入社時の支払いプラットフォームや連絡先情報の変更を監視することは極めて重要である。
採用チェックを迂回しようとする北朝鮮のIT労働者を発見するのに役立つその他の対策には、次のようなものがあります:
- サードパーティの人材派遣会社がしっかりとした雇用慣行を実施していることを確認し、その慣行を定期的に監査する、
- ソフト」な面接質問を使用して、応募者に居住地や学歴について具体的な詳細を尋ねる(北朝鮮のIT労働者は、米国以外の教育機関に通っていたと主張することが多い)、
- 応募者の履歴書をチェックし、誤字脱字や変わった名称がないかを確認する、
- 採用・入社プロセスのできる限り多くを直接行うこと。
本日の公共サービス告知は、FBIが長年にわたって繰り返し警告を発してきた北朝鮮のIT労働者の大群に関するものである。
IT戦士」とも呼ばれる彼らは、米国を拠点とするラップトップ・ファームを通じて企業ネットワークに接続することで、米国を拠点とするITスタッフになりすましている。8月、米司法当局はナッシュビルのラップトップ・ファームを、5月にはアリゾナのラップトップ・ファームを 解体した。
発見され解雇された後、潜入していた 北朝鮮のIT労働者はインサイダー知識を使って元の雇用主を恐喝し、会社のシステムから盗んだ機密情報を漏らすと脅している。
「北朝鮮のIT労働者が、より大きな組織に潜入し、機密データを盗み出し、これらの企業に対する恐喝脅迫を実行するのを目にする機会が増えている。また、彼らの策略を知らない市民を簡単に陥れることができるため、彼らが成功を再現するためにヨーロッパに事業を拡大するのも当然です」と、Google CloudのMandiant主席アナリストであるマイケル・バーンハートは語った。
「北朝鮮のIT労働者は、リモート従業員に物理的なラップトップを送る代わりに仮想デスクトップインフラ(VDI)を使い始めた一部の企業も悪用している。これは企業にとって費用対効果が高い反面、脅威行為者にとっては悪意のある活動を隠すことが容易になる。”
米国務省は現在、北朝鮮の複数のフロント企業の活動を妨害するのに役立つ情報と引き換えに、数百万ドルを提供している。これらの企業は、違法な遠隔IT作業スキームを通じて、同国の政権に収入をもたらしてきた。
近年、韓国と 日本の政府機関も、北朝鮮人が民間企業を騙し、リモートIT労働者として雇用を確保することに関して警告を発している。
先週発表された共同声明で、米国、韓国、日本は、北朝鮮の国家が支援するハッキング・グループが2024年中に複数のクリプト・ヘイストで6億5900万ドル相当の暗号通貨を盗んだことを明らかにした。
本日、司法省はまた、2018年4月から2024年8月にかけて、彼らや容疑者(まだ起訴されていない)が少なくとも64の米国企業に雇用されることを可能にした、複数年にわたる詐欺的遠隔IT作業スキームへの関与のため、2人の北朝鮮国民と3人のファシリテーターを起訴した。
Comments