** 本記事は、NICKEL TAPESTRY expands fraudulent worker operations の翻訳です。最新の情報は英語記事をご覧ください。**
本ブログでは、Secureworks からソフォスに新たに加わった CTU (Counter Threat Unit™) による調査をご紹介します。
引き続き深刻な内部脅威となっている北朝鮮の IT 労働者
Counter Threat Unit™ (CTU) の研究者は、北朝鮮 (朝鮮民主主義人民共和国) に代わって活動する詐欺師を含む脅威グループ NICKEL TAPESTRY のスキームについて調査を続けています。
「Wagemole」として追跡されているこのキャンペーンの起源は 2018 年に遡りますが、インフラストラクチャの関連性から、NICKEL TAPESTRY は少なくとも 2016 年から収益活動を行っていたことが示唆されています。このキャンペーンでは、欧州や日本の組織を標的とする事例が増加していますが、米国を拠点とする組織の間で認知度が高まり、脅威に対抗するための行動が取られた結果だと考えられます。日本や米国を拠点とする職種に応募する詐欺師は、従来の米国人専門家へのなりすましに加え、ベトナム人、日本人、シンガポール人の専門家になりすます事例も増えています。
攻撃者が検知を回避するため、時間の経過とともになりすます人物像を変えていることを示唆する証拠があります。詐欺師たちはこれまで、Web やブロックチェーンのソフトウェア開発スキルを宣伝してきましたが、現在は技術分野の組織だけでなく、幅広い業界の職に応募しています。2025 年には、サイバーセキュリティ分野にも対象を広げ、女性へのなりすましも増加しました。
攻撃者の主な目的は、北朝鮮政府の利益となる給与を得ることですが、副次的な収益手段としてデータ窃取による恐喝も行っています。2024 年には複数の試みが報告され、2025 年 1 月には米国連邦捜査局 (FBI) のアドバイザリが公開されました。ソースコードと知的財産を窃取した NICKEL TAPESTRY による恐喝は、特になりすまし労働者が解雇された後も続く脅威となっています。データの窃取は採用後数日以内に行われる場合があり、雇用期間が終了した後で恐喝に使用される可能性があります。
さらに、組織は北朝鮮のなりすまし労働者による従来型の内部脅威にも晒されています。この活動には、クラウドや API バックエンドへの不正アクセス、認証情報の窃取、企業秘密などの機密情報の窃取が含まれる可能性があります。また、これらのなりすまし IT 労働者の 1 人が入手したアクセス権が、他の北朝鮮系脅威グループによって悪用されるリスクもあります。
採用前の段階において、多くの攻撃者は偽造した履歴書や LinkedIn のプロフィール用や職歴やグループプロジェクトの経歴の裏付け用として、写真をデジタル加工します。一般に、ストックフォトに自分の実際の画像を重ね合わせたものが使用されます。攻撃者はさらに、文章作成ツール、画像編集ツール、履歴書作成ツールなどの生成 AI も使用しています。
組織への採用後、なりすまし労働者は自動マウス操作ツール、VPN ソフトウェア、デフォルトのシステムフォントおよび言語設定を回避する手法、KVM over IP (リモートでのキーボード、ビデオ、マウス操作) を利用してリモートアクセスを行います。また、影響を受けた組織では、1 つのシステムに複数のリモート監視・管理 (RMM) ツールをインストールしたり、画面共有のために長時間 (8 時間以上) の Zoom 通話を使用したりする事例も確認されています。一部のなりすまし従業員は、代理人がノートパソコンを受け取らなくても済むように、組織支給ではなく個人所有のコンピュータを使用する許可を執拗に要求しています。また、個人所有のデバイスには、一般的に組織のセキュリティ管理が行き届きません。
組織は継続的な警戒を
この脅威の主な緩和策は、人による警戒です。CTU™ の研究者は、組織が面接プロセスにおける本人確認手続きの強化を推奨しています。人事担当者や採用担当者は、こうしたキャンペーンで使用される手口について定期的に最新情報を入手し、北朝鮮による IT 労働者の身元偽装を特定できるようにする必要があります。さらに、組織は従来の内部脅威活動、正規ツールの疑わしい使用、および物理的に不可能な移動に関する警告を監視し、なりすまし労働者への関連が疑われる活動を検出する必要があります。
面接での対策:
- 応募者には、対面での本人確認書類の提出を最低でも 1 回求めます。
- 応募者の名前、外見、職歴、学歴に一貫性があるかどうか、オンライン上の情報を確認します。
- 同一の履歴書や同じ電話番号を使用している応募者が複数いないかを確認します。電話番号が携帯電話や固定電話ではなく、Voice over IP (VoIP) サービスに紐づいているかを確認します。
- 職歴のチェックは、応募者が提出した連絡先ではなく、公式な手段を通じて行い、住所や電話番号が公式サイトの情報と一致しているかを確認します。
- 面接の際には、応募者の居住地、職歴、学歴についてさりげなく質問し、実際の経験がないことを示唆する回答や、主張と矛盾する内容 (居住地とする場所の現在の天気を知らないなど) がないか注意深く聞き取ります。
- 応募者がネイティブスピーカーだと主張しているにもかかわらず、英語のスキルが初心者~中級者レベルであれば注意が必要です。
- 対面またはビデオ面接を実施し、少なくとも一時的にバーチャル背景やその他のデジタルフィルタを無効にするよう応募者に求めます。
- 信頼できる機関を使って身元調査を行います。
オンボーディングでの対策:
- オンボーディング対象者が、採用された応募者本人であることを確認します。
- 支給するノートパソコンの配送先を直前になって変更するように求めてくる可能性があります。配送業者には出荷後の新住所への転送を許可しないよう指示してください。
- 組織のシステムではなく、個人用デバイスの使用を強く要求してくる場合は警戒してください。
- 口座情報が送金サービス経由になっていないか確認します。
- 口座情報を直前に変更する依頼や、短期間に繰り返される変更依頼については、慎重に確認を行います。
- 前払い要求は拒否します。
採用後の対策:
- 許可されていないリモートアクセスツールの使用を制限します。
- システムへの不必要なアクセスを制限します。
- 通話中にビデオをオンにすることを拒否したり、対面でのミーティングに不自然な懸念を示したり、通話の背景でコールセンターや混雑した場所で働いていることを疑わせる雑音が聞こえる場合は警戒してください。
- ウイルス対策ソフトや EDR (Endpoint Detection and Response) ソフトを使用して、従業員のノートパソコンを監視します。VPN サービス、特に海外の住宅用 VPN サービスや Astrill VPN を介したネットワーク接続を相関的に調査します。
サイバーセキュリティはチームプレーであり、他の研究者たちもこの脅威の調査に取り組んでいます。Spur や Google は、Astrill VPN や NICKEL TAPESTRY が使用するその他のインフラストラクチャに関する有益な資料を公開しています。
