Flashpointが徹底調査：北朝鮮のリモートITワーカー詐欺スキームを解明

数百万ドルの被害をもたらしている北朝鮮のリモートITワーカー詐欺スキームについて、本ブログ記事ではFlashpointの調査結果を詳しく解説すると共に、侵害された認証情報とインフォスティーラーログの分析を通じてその詐欺的戦術を解き明かします。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2025年5月12日付）を翻訳したものです。

米当局は2024年12月12日、盗まれた個人情報を悪用し、米国に拠点を置く複数の企業や非営利団体でリモートIT関連職に就いていたとして、北朝鮮国籍の技術者14人を起訴しました。この詐欺スキームにより、北朝鮮政府は過去6年間に少なくとも8,800万米ドルを得ていたことが判明しています。この不正行為が明るみになって以来、フォーチュン500企業やテクノロジーおよび暗号資産業界からは、さらに多くの北朝鮮工作員に資金や知的財産、情報を盗まれていたとの被害報告が相次ぎました。

Flashpointの広範なインテリジェンスコレクションを活用した調査により、当社のアナリストチームは北朝鮮の脅威アクターたちがこのスキームで用いた戦術と手順を明らかにしました。具体的にどんな手法が採られたのかと言えば、これらのアクターたちが情報窃取型マルウェア（インフォスティーラー）に感染した際に収集されたログを使って、重要な通信内容を傍受して戦術とオペレーションを解明したのです。

感染ホスト情報のリバースエンジニアリング

Flashpointの調査は、米司法省（DOJ）が最初に提出した起訴状を基にしています。この起訴状には、履歴書の粉飾と推薦状の偽造に使われた偽企業数社のドメイン名が記されていました。

• Baby Box Info
• Helix US
• Cubix Tech US

侵害された認証情報を監視するFlashpointのCompromised Credential Monitoring（CCM）のデータを調査したところ、上記の偽ドメインに紐づく、情報窃取型マルウェアに感染したアカウントが複数発見されました。さらに分析を進めた結果、これらのドメインは起訴された容疑者の1人で、「J.S.」という米国人（フルネームは不明）の身元を使っていた被告に関連付けられました。

感染マシン検出にFlashpointのインテリジェンスを活用

ドメインのホスティング履歴から得られた登録者情報によると、3件のドメインすべての登録者が連絡先に同じメールアドレスを登録していました。さらにCCMを使い、Flashpointはパキスタンのラホールにある感染ホストの1つを浮かび上がらせることができました。そのホストには、前述の登録者メールアカウントのものとまったく同じ認証情報が保存されていたのです。また、パスワードが使い回されていたことにより、同一人物（または同一組織）に管理されている可能性の高い、さらにいくつかのアカウントの存在も明らかになりました。これには、ラホール市内の別の感染ホストから見つかった多数の組織のアカウントが含まれます。

この2台目の感染マシンからは「jsilver617」という認証情報が見つかり、これは起訴状に記された「J.S.」という身元に関連している可能性をうかがわせました。そして最終的な評価ではないものの、ユーザー名「jsilver617」はIPアドレスのみで識別される未知のWebサーバーへのログインに使用されていました。また、リモートデスクトップソフトウェアのAnyDeskがインストールされていたことは、このマシンがリモートでアクセスされていたことを示唆していました。さらに、さまざまな企業の人事サイトや求人サイトの認証情報がいくつも保存されていたことは、このホストが、2023年を通じて数十件もの技術職へ応募する目的で集中的に使用されていたことを暗示していました。

このマシンのブラウザなどで自動入力機能に保存されていたエントリには、Baby BoxとCubixへの参照が含まれていました。米DOJはこれらの企業について、北朝鮮の脅威アクターが作り出した偽企業と断定しています。

jsilver617と北朝鮮を正式に関連付け

FlashpointのCCMデータセットと起訴状に共通したこれらの情報は、感染ホストが北朝鮮のリモートワーク詐欺スキームに関係していることを強く示唆していました。それでも当初、当社のアナリストは北朝鮮系アクターに結び付く決定的な証拠を突き止めることができませんでした。

北朝鮮系アクター特有の痕跡と比較

Flashpointは北朝鮮系アクターが残す痕跡を探し、米国のIPアドレスと特徴的なロケール設定を持つAstrill仮想プライベートネットワーク（VPN）が感染ホストに使われているかどうかを確認しました。特徴的なロケール設定とは例えば、タイムゾーンが中国のものに設定されつつも韓国語の入力メソッドがインストールされている、などです。 

「jsilver617」に関連する複数のIPアドレスは、パキスタンに割り当てられたものでした。また、応募書類に記された住所をブラウザの自動入力機能から取得すると、感染ホスト上の一部の身元は米国在住であることをうかがわせていました。その他の位置参照情報はアラブ首長国連邦やフランス、ナイジェリアへの移動があった可能性を示していましたが、北朝鮮との明白なつながりを物語るものではありませんでした。

ブラウザ履歴から感染ホストと北朝鮮が結び付く

しかし50件のブラウザプロファイルの中から、ブラウザ履歴に特徴的な痕跡を残したプロファイルが浮かび上がります。インフォスティーラーに感染したことで記録されたその痕跡とは、英語・韓国語間で数十回の翻訳が行われたことを示すGoogle翻訳のURLでした

これらの翻訳が何を目的としていたのかはわかっていません。しかしFlashpointの調査で見つかったメッセージにより、北朝鮮のリモートワーク詐欺スキームで使われる戦術・技術・手順（TTP）のほか、成功と失敗についての知見が得られました。元々の履歴エントリはURLエンコードされており、読みやすさを高めるためにフォーマットが変更され、共謀者または個人情報盗用の被害者と思われる個人の情報が削除されています。

北朝鮮の脅威アクターが実際に送ったメッセージを独占公開

正規求人に偽企業の推薦状を提出

これらのGoogle翻訳のエントリには、推薦状と起訴状に記された企業（HelixとBaby Box）からのEメールと思われるものが含まれていました。これは不正な求職者が正規企業の求人に応募する際、フロント企業に推薦状を提出させていることを示唆しています。

【原文】

Company: Helix
Employer Name: [omitted]
Designation: CTO
Email: ******@helix-us[.]com
Phone: [omitted]
LinkedIn: hxxps://www[.]linkedin[.]com/in/*******/
Company Address: [omitted]
Name: [omitted]
Designation/Role: CTO
Email: *****@babyboxinfo[.]com
Phone: [omitted]
Company Name: Babybox
LinkedIn: hxxps://www[.]linkedin[.]com/in/******
Company Address: [omitted]&op=translate

—

Dear Sarah,

Thank you for reaching out. I am [name omitted], the HR Manager at Cubix. I am here to assist you with the requested information.

Regarding the connection between Cubix and [company name omitted], I would like to inform you that [omitted] has been a trusted partner in providing talented developers to our company. We have had a successful collaboration with [company name omitted] in recruiting top-notch professionals who have made significant contributions to our team and projects.

Now, in regards to the employment verification for [name omitted], please find the requested details below:

Start and End Dates of Employment: 05/07/2018 – 05/20/2023
Position/Job Title: Lead full stack developer
Reason for Leaving: Voluntarily left this position to pursue remote work opportunities and take advantage of the flexibility it offers.
Eligibility for Rehire: Eligible for rehire without any concerns or issues.
Manager (Supervisor ) Contact Info:
[name omitted]
Email: *****@cubixtechus[.]com

If you have any further inquiries or require additional information, please don’t hesitate to let me know. I am here to assist you with the necessary details.
Best regards,
[name omitted]
HR Manager
Cubix&op=translate

【参考訳】

会社名：Helix
雇用主名：[削除]
役職：CTO
メールアドレス：******@helix-us[.]com
電話番号：[削除]
LinkedIn：hxxps://www[.]linkedin[.]com/in/*******/
会社所在地：[削除]
氏名：[削除]
役職／役割：CTO
メールアドレス：*****@babyboxinfo[.]com
電話番号：[削除]
会社名：Babybox
LinkedIn：hxxps://www[.]linkedin[.]com/in/******
会社所在地：[削除]&op=translate

—

サラ様

お問い合わせいただきありがとうございます。Cubixの人事マネージャー、[氏名削除]と申します。ご要望いただいた情報についてサポートさせていただきます。

Cubixと[社名削除]の関係についてお知らせいたしますと、[削除]は当社に優秀な開発者を送り出している信頼できるパートナーです。当社は[社名削除]との連携により、社内の各チームとプロジェクトに大きく貢献する優秀な人材を確保できています。

[氏名削除]の雇用証明については、下記の通りご案内いたします。

雇用期間：2018年5月7日から2023年5月20日まで
役職：主任フルスタック開発者
退職理由：リモートワークの機会を模索し、その柔軟性を活用するために自主退職
再雇用資格：再雇用が可能、問題または懸念は皆無
マネージャー（スーパーバイザー）連絡先：
[氏名削除]
メールアドレス：*****@cubixtechus[.]com

ご質問またはさらに情報が必要な場合は、お気軽にお問い合わせください。必要な情報をお知らせできるようお手伝いいたします。

よろしくお願いいたします。

[氏名削除]
人事マネージャー
Cubix&op=translate

求人への応募または指示に関する証拠

Google翻訳の使用状況から判断すると、これらのメッセージから韓国語話者と非韓国語話者の間のスーパーバイザー関係が示唆されました。さらに、アドバイスとノウハウの要素（会議中にカメラの使用を求められないよう面接官を説得する方法や、音声操作または吹き替えに関する議論など）が含まれていたほか、新しい仕事が見つからなかった、あるいは身元が発覚した恐れのあるケースなど、この詐欺スキームに参加しているリモートワーカーへ不満や失望を向けたものもありました。

【原文】

We need to make the Abdul’s voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don’t think there is a difference in thg voices.&op=translate

—

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

—

I didn’t complain when you didn’t get the assignment for two months. But this is a different matter. It’s proof that you’re a failure and if you’re like this, you won’t be able to handle this job well.&op=translate

【参考訳】

アブドゥルの声を1週間聞かせる必要がある。その後はカメラをオフにして構わない。相手は声にとても敏感だ。声の違いに気づかなければ、アブドゥルにビデオをオンにしろと頼まないかもしれない。&op=translate

—

知っての通り、君のプロフィールはすでに提出してある。その際、相手は君の希望額が高いと言い、別の人にオファーを出したが、そのオファーは撤回され、今ではその分の空き枠がある。時給65ドルのC2C/1099でプロフィールを提出可能かどうか知らせてほしい。今回は主要ベンダーが異なるが、クライアントは同じだ。&op=translate
—

君が仕事に就けなかった2か月間、私は文句を言わなかった。だがこれは別の問題だ。これは君が「使えない」ことの証であって、こんな調子ではこの仕事を満足に務められないだろう。&op=translate

オペレーションと協力者に関する証拠

一部のメッセージには、携帯電話やノートパソコンなど電子機器の配送に関する議論が含まれていました。最近の報道や新たな起訴状では、米国内の協力者が雇用主から送られた業務用機器を受け取り、これを北朝鮮の工作員が遠隔で操作する「ノートパソコンファーム」について言及されています。

【原文】

want to be certain that the laptops are in nigeria and it would be delivered. Thats what i want to be clear of&op=translate

—

Bros, abeg trust me. I dey jam for customs dey import goods, including mobile phones and other things, wey get specific rules and regulations. Customs officers dey check and control the importation of goods to make sure say dem dey follow legal requirements and make correct payments for duties and taxes.

Bros, my 290 mobile devices dey hold, all my guys dey hold too, even though I ready to pay double of the money wey dem collect from you for customs, just to secure our relationship. I dey try my best, tomorrow dem go release the devices. My main thing wey I wan deliver na mobile phones, no be laptops, but I still dey do this for you, make you understand.

I dey hold my mobile phones and your devices too, and I dey give priority to your devices sake of the promise wey I give you. I dey try talk to the inspector wey dey for customs, I don even give am something, so by tomorrow, I go fit bring out your devices.&op=translate

【参考訳】

ノートパソコンがナイジェリアにあって、発送されるのかどうか確認したい。はっきりさせたいのはその件だ&op=translate

—

信じてほしい、携帯電話やその他のブツを含む輸入品の通関手続きが止まっている。規則や規制があるからだ。輸入​​品が法的要件を遵守しているかどうか、関税や税金が正しく支払われているかどうかを確かめるため、税関職員がブツを検査・管理している。

自分の携帯端末290台は一時的に保管され、仲間の分も保管されている。それでもうちらの関係を壊したくはないし、通関手数料として2倍の金額を払う用意がある。明日には端末を渡してもらえるよう、全力を尽くすつもりだ。ノートパソコンではなく、携帯電話を届けることを優先するが、こうして動いていることはわかってもらいたい。

自分の携帯電話と君らの端末は一時的に保管されているが、約束を守るために君たちの端末を優先する。税関の検査官に話をしてみるが、今はなんとも言えない。とにかく明日までに、君たちの端末を渡してもらえるよう手はずを整える。&op=translate

ブラウザ履歴のその他の項目には、ドバイから発送された可能性のある荷物を含め、国際宅配便サービスの追跡番号が記録されていました。

脅威アクターから身を守るためにFlashpointをご活用ください

北朝鮮のリモートワーク詐欺スキームに関するFlashpointの調査により、高度なサイバー詐欺オペレーションの詳しい実態に加え、脅威インテリジェンスの重要性が改めて浮き彫りにされています。Flashpointの広範なCCMデータと分析能力を活用することで、当社のアナリストは一見すると関連性のないデジタルの痕跡をつなぎ合わせ、この国家主導型オペレーションの複雑な戦術と世界的な影響力を最終的に解明しました。

こういった重要な知見に加え、Flashpointの包括的なデータコレクションと専門的な分析を組み合わせることで組織に大きな力が与えられ、侵害された認証情報の特定、不審な活動の検知、さらには脅威アクターのTTPをより深く理解する能力が備わります。今すぐFlashpointのデモをお申込みいただき、高度な詐欺スキームのみならず、脅威アクターの活動に伴うリスクの軽減に必要なインテリジェンスをセキュリティチームにもたらす方法をお確かめください。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb（DDW）に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。