北朝鮮のIT労働者「UNC5267」が複数の「フォーチュン100」企業に潜り込んだ事例があることが調査により判明

朝鮮民主主義人民共和国(北朝鮮)のために働いているIT労働者の追跡調査を行っている調査会社・Mandiantが、経済制裁等を回避して外貨獲得のために幅広い業界の組織で雇用されている実態を報告しています。

Staying a Step Ahead: Mitigating the DPRK IT Worker Threat | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/mitigating-dprk-it-worker-threat/

Dozens of Fortune 100 companies have unwittingly hired North Korean IT workers, according to report
https://therecord.media/major-us-companies-unwittingly-hire-north-korean-remote-it-workers

Googleの子会社で調査会社のMandiantは、北朝鮮に関係するIT労働者を「UNC5267」として識別し、さまざまな環境での活動を確認しています。UNC5267は2018年ごろから活動が確認されていて、これまでにみられたような「中央集権的な脅威アクター」ではなく、多くは北朝鮮政府から派遣されて中国やロシアに在住する個人で構成されているとのこと。

求職時、UNC5267は盗んだIDを用いて応募を行っていて、ほぼ100％がリモートワークが可能な職種を選んでいるとのこと。複数の職場をかけもちしている事例も確認されているそうです。2024年7月に、セキュリティソフト開発企業のKnowBe4は採用したエンジニアが北朝鮮のハッカーだったことを報告していますが、このとき用いられた手法のように、フォトストックサービスで公開されている人物写真を編集して用いたり、LinkedInから高いスキルを持つ人のプロフィールを盗んで使用したりしたケースが確認されています。

セキュリティ企業が雇ったリモートワーカーが実は北朝鮮のハッカーだった - GIGAZINE

当然、履歴書も偽物のものが使われていて、「住所はアメリカ」「シンガポールや日本、香港など北米以外の大学で教員免許を取得している」といった特徴があるとのこと。これは、本当に教員免許を取得したかどうか、潜在的な雇用主である北米の企業が検証・連絡することを妨げる目的があるとみられています。なお、取得した学位などについては、本人が受けてきたと考えられる教育課程とは一致しないことがあり、多くのUNC5267のペルソナで再利用されていたとのこと。

また、UNC5267はほとんどがリモートワークを希望し、被害企業のネットワーク内にあるラップトップにリモート接続して仕事をするのですが、「GoTo Meeting(LogMeIn)」「Chromeリモートデスクトップ」「AnyDesk」「TeamViewer」「RustDesk」など、複数のリモート管理ツールをインストールする傾向があったとMandiantは報告しています。

UNC5267と仕事をした経験のあるチームメンバーやマネージャーは、UNC5267はいずれも映像でのコミュニケーションに抵抗がある様子だったことや、仕事の質が平均より低かったことなどを指摘しました。

Mandiantのチャールズ・カーマクルCTOによると、全米の総収入が上位の企業をリスト化したものである「フォーチュン100」の企業でも、数十社で北朝鮮のIT労働者を誤って雇った事例があったとのこと。

アメリカ当局も黙って見過ごしているわけではなく取り締まりを強化していて、複数のドメインの差し押さえを行い、2024年5月には5人を複数の容疑で起訴しています。

300社以上を騙して北朝鮮関連のIT労働者を雇用させ核開発資金を稼いだ疑いでアメリカ司法省が5人を起訴 - GIGAZINE