北朝鮮ハッカー、生成AIで「偽装就職」を精巧化 欧米IT企業へ侵入し核開発資金を調達
北朝鮮の開発者やハッカーが、核・ミサイル開発の資金調達を目的に、海外IT企業への「偽装就職」を活発化させている。こうした活動は極めて組織的・体系的に行われており、生成AI(人工知能)の活用によって侵入手法もより巧妙になっている実態が明らかになった。
面接を装いマルウェアを混入 欧米企業への接近手法
24日(現地時間)、米ソフトウェア開発プラットフォームのギットラブ(GitLab)が発表した最新の脅威分析報告書によると、北朝鮮のハッキング組織は2022年頃から、ソフトウェア開発者を狙った「コンテイジャス・インタビュー(Contagious Interview)」作戦を本格化させている。
ハッカーはグローバルなIT・暗号資産企業の採用担当者を装い、求職中の開発者に接触。実務のコーディングテストと称して、ウェブサイトからプロジェクトをダウンロードさせる。これらは表面上、正常な開発課題に見えるが、内部には資格情報の窃取や遠隔操作を行うマルウェアが仕込まれていた。ハッカーは開発者のPCを経由して企業の内部ネットワークに侵入し、金融情報などを盗み出していた。
ギットラブは昨年1年間で、こうした悪質なプロジェクトの拡散に関与した北朝鮮関連のアカウント131件を摘発・遮断。「北朝鮮の偵察総局に関連するハッカーは、数百の偽アカウントと偽造身分を作成し、IT従事者を狙った偽装採用キャンペーンを展開して面接まで行っている。合法的なサービスを悪用して西側企業内部へ侵入している」と警告を発した。
AIでマルウェア改変や身分証偽造を自動化
北朝鮮のハッカーは、作戦遂行にチャットGPT(ChatGPT)などの生成AIを積極的に活用している。昨年9月には、北朝鮮のマルウェア開発者がJavaScriptベースのマルウェア「BeaverTail」の難読化ツールを開発する際、AIコーディングツールを繰り返し利用していたことが判明した。
開発者はセキュリティ研究者を装って作成したコードをチャットGPTに提供し、「どこまで復号(解読)できるか」を分析させた。AIが解読できない方式になるまでコードを継続的に変形させており、生成AIに設けられている安全装置を意図的に回避し、無力化できることを示した形だ。
さらに、偽造身分や経歴の操作にも生成AIが導入されている。SNSやAI画像生成サービスから収集した写真を加工し、違法な作成サービスを通じて偽造パスポートを発行。これを基にメールアドレスや専門職向けSNSのアカウントを大量発行する「自動化された身元工場(Identity Factory)」とも言えるパイプラインを構築している。
ギットラブが確認した合成身分は少なくとも135件に上る。セルビアやフィリピンなど、東欧・東南アジア出身の開発者を装い、これらのアカウントを通じて少なくとも48件の民間コードリポジトリに無断アクセスした形跡が確認された。
企業型組織による「内部者脅威」の増大
北朝鮮のハッカー集団は、明確な収益目標と組織構造を持つ「企業型」の活動を展開している。北京を拠点に活動していると推定されるグループは、2022年後半から昨年半ばまでに約164万ドル(約2億5,400万円)を稼ぎ出していた。また、ロシアのモスクワを拠点とするある開発者は、5カ国の身分を盗用・改ざんして21もの人格を使い分け、最終的に米国の技術エージェンシーに正社員として採用されるに至った事例も確認されている。
ギットラブは、「合成された身分と偽装IT労働者、そして正規の開発プラットフォームの悪用が結びつき、既存のセキュリティ対策では識別が困難な『内部者脅威』が再生産されている」と指摘。特に国防やフィンテック、AI関連企業に対し、採用段階からの厳格なセキュリティ検証体制の再構築を強く促している。
コメント0