ネットワーク分析：北朝鮮の工作員による脅威と活動

主要セクション見出し一覧

エグゼクティブサマリー
主な発見事項
背景
脅威分析
緩和策
展望
付録A：PurpleBravo ダイヤモンドモデル
付録B：侵害指標(IOC)
付録C：MITRE ATT&CK テクニック
付録D：TAG-121 カバー企業

文書概要

リモートワークが新たな標準となりつつある時代において、北朝鮮政権はこの潮流を悪用し、詐欺的な情報技術(IT)雇用を通じて収入を生み出している。北朝鮮のITワーカーは偽造身分で国際企業に潜入し、リモート職を獲得している。これらの活動は国際制裁に違反するだけでなく、詐欺、データ窃盗、そしてビジネス運営の破壊をも引き起こし得る重大なサイバーセキュリティ脅威を構成している。本報告書は、Insikt Group (Recorded Futureの脅威調査部門) の調査に基づき、この新興脅威の運用手法、関連する悪意のある活動クラスター、およびグローバルサプライチェーンへの深遠な影響を体系的に分析する。

報告書の中核は、PurpleBravo (旧称：脅威活動グループ120) として知られる北朝鮮関連の悪意のあるクラスターの追跡である。このクラスターは、主に暗号通貨業界のソフトウェア開発者を標的とした「伝染性インタビュー」活動と重複が見られる。PurpleBravoは、BeaverTail (情報窃取ツール)、InvisibleFerret (クロスプラットフォームPythonバックドア)、OtterCookie (感染システムに持続的アクセスを確立するツール) などのマルウェアを使用している。2024年10月から11月にかけて、PurpleBravoは少なくとも暗号通貨分野の3組織 (マーケットメイキング企業、オンラインカジノ、ソフトウェア開発企業) を標的にした。さらに、このクラスターは少なくとも3つの求人サイト、Telegram、GitHub上でも活動し、定期的に求人広告を掲載し、コードリポジトリを更新していた。

研究はまた、北朝鮮の詐欺活動が他の分野、すなわち合法的なIT企業を模倣したカバー企業の設立へと拡大していることを明らかにした。報告書は、別の独立した活動クラスターTAG-121を特定している。このクラスターは中国でカバー企業ネットワークを運営している。これらの企業は、標的企業のウェブサイトコンテンツの大部分を複製することで、中国、インド、パキスタン、ウクライナ、米国の合法的なIT企業を装っている。Insikt Groupは、少なくとも7つのこのような北朝鮮関連が疑われるカバー企業を特定した。これらの実体は、北朝鮮のアクターの否認可能性を高め、検知をより困難にし、グローバルITサプライチェーンへの更なる埋め込みを可能にしている。

報告書は、PurpleBravoの戦術・技術・手順(TTP)を詳細に分析している。これには、使用するマルウェアファミリーの機能、コマンド＆コントロール(C2)サーバーインフラストラクチャ (主にTier.Netなどのホスティングサービスプロバイダーを利用)、およびAstrill VPNを通じた管理の証拠が含まれる。Recorded Futureのネットワークインテリジェンスに基づき、報告書は2024年9月から2025年2月13日までの間に、米国、アラブ首長国連邦、コスタリカ、インド、ベトナム、トルコ、韓国など複数の国にまたがる少なくとも7人の疑わしい被害者を観測している。

この脅威に対処するため、報告書は米国インターネット犯罪苦情センター(IC3)、米国財務省、韓国政府など複数の提言を総合し、身元確認、バックグラウンドチェック、技術的対策、財務的予防策、コミュニケーション実践、組織ポリシーなど、多角的な観点から詳細な緩和策を提案している。報告書の展望では、国際制裁が継続的に厳格化される中、北朝鮮のサイバー活動は規模と複雑さの両面で継続的に増大すると予測している。従来の採用プロセスを回避する複雑な手段を利用する敵対者に対し、企業と政府は、より厳格な身元確認、強化されたリモートワークセキュリティ、および国際的なインテリジェンス共有の強化を実施し、この拡大する脅威を抑制しなければならない。