[レポート]国家支援による「サイバー戦士」— 北朝鮮のリモートIT労働者 - CODE BLUE 2025 #codeblue_jp #codeblue2025

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2025で行われた以下のセッションのレポートです。

国家支援による「サイバー戦士」— 北朝鮮のリモートIT労働者

このプレゼンテーションでは、北朝鮮の遠隔ITワーカーと彼らが利用する広範な運用方法について説明します。まず、彼らが認証情報や身元を偽造、盗難、または購入する可能性のある方法、および面接で身元や経歴を偽装する方法から始めます。次に、ランサムウェアやマルウェアの展開、雇用主からの情報の盗難によるダークウェブでの販売など、彼らが雇用された後に行う悪意のある行動について説明します。彼らの好む標的と、北朝鮮人が海外のプロキシを通じて設定する「ラップトップファーム」を見つける方法に関するセクションがあります。プレゼンテーションには、彼らが身元と実際の場所を不明瞭にするために使用するソフトウェアの詳細、および北朝鮮のITワーカーと疑われるコンピューターのデータログから得られた洞察の概要も含まれます。最後に、企業が意図せずに北朝鮮のITワーカーを雇用するのを防ぐためのいくつかの緩和策についての議論で締めくくります。

Speakers
Alexander Leslie アレクサンダー・レスリー
Scott Kardas スコット・カルダス

レポート

• 公的なソースから取得した情報を利用している
• 戦略的な話をしていく
• 北朝鮮のIT労働者についてある程度知っている前提で話していく
  • 1万人いるとされている
  • 北朝鮮国外にもたくさんいる
  • 6億ドルの収益があるとされる
  • マネーロンダリングのコストなどでこのぐらいとされている
  • 暗号通貨や伝統的な金融機関を利用している
  • 国際金融から切り離されており外貨の活用が難しい
  • サイバーオペレーションの資金源とされている
  • スパイ行為のためシンクタンクなどもターゲット
  • ランサムやマルウェアの窃盗を行っている
• 組織
  • 中国やロシアなどで活動
  • 5-10人くらいの小さいチーム
  • 小さな部屋で仕事をしている
  • スーパーバイザーがいる
  • イデオロギーに汚染されていないかなど監視している
  • 別の国で独立して行うことが難しい
  • 正当な隠れ蓑となる会社が必要
  • その会社を経由して口座開設したりする
  • 警戒されないようにするため
• スキーム
  • Laptopファーム
    • 住所を貸してくれる人を募集
    • ラップトップを送る
    • 何十台も設置する
    • 身元情報を使える人を探す
    • 身元を貸してくれる人もいる
    • 自分の身元情報を売って北朝鮮に使われる
    • 最近は盗まれることも多い
  • 情報を使って身元を確立したら仕事を探す
    • 何週間もかかることも
  • 請負仕事をするか正規の雇用か
    • $500でWebサイトを開設するなど
    • フルタイムの仕事もある
    • ラップトップファームは正規雇用も
    • 仕事をするだけでなくマルウェアやランサムウェアを仕込む場合もある
    • 情報を盗む
      • 何でも役に立つものを盗む
      • 北朝鮮にとって役に立ちそうなものであれば
  • 資金を外に出す
    • ラップトップファームの場合は口座から外に出す
    • ロシアや中国に支払う
    • バレないように
    • 暗号通貨が大好き
    • 暗号資産を長い事保管してから使う
    • なぜかは不明
• 実際のオペレーション
  • これは法的な手法で情報を得ている
  • 以前は労働者は5-6人の人格を持っていた
  • 今は一人当たり27人とか多い
  • 1回限りのものも多い
  • 100もの仕事の募集に応じていた
  • プログラミングが得意と自称している
  • 27のGitHubで同じような経歴、同じようなペルソナ
  • 実在の人物のIDを利用していた
  • 欧米諸国の名前を組み合わせた名前がダミーで使われている
  • ウクライナ系としてヨーロッパの仕事をしようとしたり、日本の名前でアジア圏の仕事をしたりしていた
  • 1つのメールアドレスやGitHubアカウントがわかると関連するものがわかる
  • こういったものに引っかからないように注意する必要がある
    • ChatGPTを使って面接の質問に応えようとしている
    • FaceSwapでディープフェイクする
    • 手を振る絵文字をよく使う
    • アカウントがわかりやすい
  • インタビューなどで見る特徴
    • とにかくAIが好き
    • AIで時間をかけて回答する
    • LLMの回答を待っている
    • 9-17時まで働く(GMT+8)
    • アメリカにいるのに夜になっているなど時間の差がある
    • 帯域が狭くて動画品質が低い
  • PurpleDelta
    • DPRK IT Worker Operations
    • VPNを使っていたり
    • AIに取り憑かれている
    • 能力を強化しようとしている
    • スクリーニングに合格できるようにしようとしている
    • 例えば履歴書など
    • 履歴書自体は問題がないことが多い
    • ワーカーが1人応募していると他のアカウントも同じ様になっているかも
  • ツール
    • VSCodeなど普通なものも多い
    • Astrill VPNは特徴的
    • CallApp.exe, CallIRT.exeが監視
    • Bitvise SSH, RDP Defender
    • 感染した端末で面白いものもあった
    • メッセンジャーもある
  • チャットログでわかったこと
    • スーパーバイザーが監視している
    • どんな仕事をしているかヒアリングする
    • 重要インフラに関わっている場合あらゆる情報を持ち出すように指示がある
    • 関心が高い
    • Google Sheetsで経費データなど
    • 個人的な使用もある
    • 12ぐらいのペルソナ
• PurpleBravo
  • Purpleは北朝鮮のこと
  • fake recruiter operations
  • マルウェアに関連している
  • 暗号通貨の活動をしている
  • 他のものと一緒に活動している
• Case
  • True-Means GitHub Group
    • 同じペルソナを使っている
    • マルウェアがメールで送られる
    • 指揮命令系統も同じ
    • 2つの侵入行為を突き止めている
    • インフラやソーシャルメディアも同じものを使っている
• Christina Chapman
  • ラップトップファーム
  • $17M稼いでいた
  • 盗まれたIDも使われていた
  • ミサイル開発、核開発、その他攻撃的な活動の費用
• サプライチェーン影響
  • たくさんの企業が意図せず北朝鮮の労働者を採用しているかも
  • 特に暗号資産や重要インフラでは影響が大きい
  • パートナーなど第三社から侵入されているかも
  • OSSリポジトリから入ってくることも
• 人レベルの指標
  • テイラー・スイフトについて聞いたり
  • 暇な時間はあったかと聞く
  • 普通の面接で答えられる質問をしてみても良い
• テクニカル指標
  • Astrill VPNを使っているのは重要な観点
  • 多くのパブリックサンプルがある
  • 場合によっては見落とすこともある
  • cloneされたプロフィールかどうか
  • bioが既知のものか
• 対策
  • FBIから出てきたもの
  • LLMの答えと比較する
  • 簡単に使える面接のツールを使っているか
  • パソコンを送らないようにする
  • 実際に底に住んでいるか調べる
  • 北朝鮮に繋がっている通信があるか
• 次に何が起こるか
  • 独自のLLMをつくる？
    • あまりなさそう
    • 今あるものを最大限利用してくるだろう
  • 暗号通貨の半分は北朝鮮のもの
  • PIIで背景チェックする
• まとめ
  • 北朝鮮はIT労働をしている
    • 資金を稼いだり情報を取得している
  • すでに入り込んでいるかも
  • 今までの侵入ではなく授業員として入り込むことも

感想

たまにSNSでも話題になりますが、実際の行動はより幅広く組織的ですね。個人としても組織としても意識はしておきたい課題ですね。