GenAIサービスが北朝鮮のIT請負詐欺を支援

概要

過去数か月間、Okta 脅威インテリジェンス は、米国当局および信頼できる第三者によって、朝鮮民主主義人民共和国 (DPRK) のエージェントとして特定された個人が使用するオンラインサービスについて、詳細な調査を実施しました。

当社のチームのメンバーは、これらのデバイスに関連するオブザーバブルのセットを公開しました。これは、security.okta.com で認証された顧客セキュリティ担当者が利用できます。これらのデバイスは、従業員が正当な目的、または承認されていないものの悪意のない目的で使用している可能性があり、それ自体は DPRK の活動を示すものではないことに注意してください。

バックグラウンド

不正なITワーカーのスキーム

複数の逮捕と起訴（付録Bを参照）により、DPRKのために活動する個人が近隣諸国に動員され、世界中の組織で不正な雇用を得ている規模が明らかになりました。

これらの計画の主な目的は、北朝鮮（DPRK）のために資金を調達し、北朝鮮政権に適用される重大な金融制裁を補うことです。米国の機関はまた、雇用を目的として提供されたシステムへのアクセスが、スパイ行為やデータ恐喝を容易にするために使用された、いくつかの例外的な事例を確認しています。

これらの不正なスキームの標的は、日和見的であり、リモートの技術職の利用可能性に基づいているようです。最もリスクが高い雇用主は、多くの場合、臨時のベースで、ITまたはソフトウェアエンジニアリングの役割のためにリモートの候補者を受け入れる可能性が高いテクノロジー企業です。ただし、これらのキャンペーンは、テクノロジーセクターをはるかに超えた業界の垂直市場にも拡大しています。

Oktaの脅威インテリジェンスは、既知のDPRKの協力者およびエージェントに関連付けられた指標を使用して、GenAIアプリケーションの使用状況を追跡しました。また、高度に標的化された顧客やパートナーと協力して、この独自の脅威モデルに対する予防的な制御を開発しました。その過程で、Oktaは独自のonboardingプロセスを見直し、注意喚起のための資料を共有し、多数の検出方法を構築しました。

この調査は、Oktaのお客様がこの脅威へのエクスポージャーを軽減するために利用できる、ID検証サービスなど、Okta Workforce Identityに組み込まれた機能拡張に直接影響を与えました。これらについては、このアドバイザリの「軽減策」のセクションで説明されています。

ファシリテーター

この脅威に対する私たちの理解は、Okta 脅威インテリジェンスが不正な雇用スキームの「ファシリテーター」として特定された個人が使用するツールから得られる独自の洞察によって形作られています。

これらのファシリテーターは、制裁対象国からの個人が雇用を獲得し、維持するために必要な国内サポート、技術インフラストラクチャ、および/または正当な事業カバーを提供します。

米国で法執行機関に逮捕された協力者は、DPRK国民にさまざまなサポートサービスを故意に提供したとされています:

• 採用プロセスにおける直接的な支援
• 会社から支給されたデバイスの配送先住所
• 正当な身分証明書へのアクセス
• {"en-US":"Operating company-issued devices on the remote worker’s behalf","ja-JP":"リモートワーカーに代わって、会社が発行したデバイスを操作する"}
• リモートワークを容易にするために、デバイスにリモート管理および監視（RMM）ツールをインストールします。
• リモートワーカーに代わって、必要に応じて認証を行います

2024年5月に暴露されたアリゾナを拠点とする「ラップトップファーム」の運営は、米国全土の技術職に300人以上の個人を配置するのを支援したとされています。別の2025年1月の起訴では、2人の米国居住者が、64の組織で雇用を首尾よく得た後、北朝鮮国民のためにノースカロライナで雇用を不正に取得し、ラップトップファームを運営したとして告発されました。

Oktaは、不正な仕事のスキームのファシリテーターが、新興のGenAI強化サービスにどの程度依存して業務を拡大しているかを明らかにすることができます。

AIの役割

ジェネレーティブ AI を使用した「テストと学習」

ここ数か月、北朝鮮（DPRK）が作成したと強く疑われるペルソナが、インタビュー中にリアルタイムの「ディープフェイク」ビデオを使用していることが記録されています。

{"en-US":"Okta Threat Intelligence research has observed a far broader set of GenAI services used in these schemes, suggesting a very deliberate attempt by facilitators to keep pace with AI innovation.","ja-JP":"Okta Threat Intelligenceの調査では、これらのスキームで使用されているGenAIサービスがはるかに広範であることが確認されており、これは、ファシリテーターがAIの革新に遅れを取らないようにするための意図的な試みを示唆しています。"}{"en-US":"Facilitators are now using GenAI-based tools to optimize every step in the process of applying and interviewing for roles and to aid DPRK nationals attempting to maintain this employment.","ja-JP":"ファシリテーターは現在、GenAIベースのツールを使用して、役割への応募および面接のプロセスにおけるすべてのステップを最適化し、DPRK国民がこの雇用を維持するのを支援しています。"}

ファシリテーターは、以下に特化したGenAIベースのサービスを使用していることが確認されました：

• ユニファイドメッセージング
• リクルートプラットフォーム
• 履歴書/CVのスクリーニング
• {"en-US":"Candidate management","ja-JP":"候補者管理"}
• 自動化されたジョブスクリーニング
• AIベースのチャットボット
• AIコードトレーニング
• オンライン配送

Okta 脅威インテリジェンスは、ログインページを超えたファシリテーターの活動を監視することはできませんが、これらのツールの多くが提供する機能の範囲が狭いため、考えられるユースケースを推測できます。以下に表で示します。

表1：DPRKの「賃金稼ぎ」キャンペーンの協力者が使用するAI強化サービスおよびその他のツール

AI で強化されたツールのユースケース

1. 統合メッセージング

ファシリテーターにとって最も困難な課題の1つは、制裁対象国からの多数の候補者とその複数のペルソナに代わって、マルチチャネルコミュニケーションを管理する方法です。

Okta 脅威インテリジェンスは、多くの同時モバイルフォン、インスタントメッセージング、および E メールアカウント、ならびに関連するその他のチャットサービスを管理するために、統合メッセージングサービスの使用を観測しました。

これらの統合メッセージングサービスは、GenAIを使用して会話を文字起こしまたは要約し、音声とテキストのリアルタイム翻訳を提供します。彼らは、比較的小規模なファシリテーターの幹部が、複数のDPRK候補者のペルソナとの採用面接をスケジュールするのを支援する上で役立っているようです。

{"en-US":"2. Recruitment platforms","ja-JP":"2. 採用プラットフォーム"}

仲介者と候補者の両方が、求職プラットフォームを広範囲に利用して、役割に応募しています。さらに驚くべきことは、採用担当者（候補者ではない）が通常使用するAI強化された採用プラットフォームの使用でした。これは、求人情報のリーチと精度を高める試みであると考えられます。

これらのツールへのアクセスにより、ファシリテーターは、標的とする組織が広告する役割と類似しているか、同一ではないにしても、フロント企業で役割を宣伝し、正規の候補者のカバーレターや履歴書を調査する機会を得ることができます。正規の求職者からの履歴書（CV）とカバーレターは、DPRK労働者に代わって行われる将来のApplication （アプリケーション）を最適化するためのトレーニングセットの一部を形成する可能性さえあります。

大規模に、これらのテクニックは求人Application （アプリケーション）の潜在的な成功を劇的に改善し、採用担当者自身のツールを大規模に利用します。

3. 履歴書/CVスクリーニング

{"en-US":"Okta Threat Intelligence assesses that facilitators are highly motivated to generate successful cover letters, CVs and interviews and address any specific criteria in a given application.","ja-JP":"Okta Threat Intelligenceは、ファシリテーターが、成功するカバーレター、履歴書、面接を作成し、特定のアプリケーションにおける具体的な基準に対応する強い動機を持っていると評価しています。"}

ファシリテーターは、求職者が「雇用者のロボットを出し抜く」のを支援するために、求職者に「AIスーパーパワー」を提供するサービスを利用していることが観察されました。これは、採用プラットフォームで使用される自動化されたCV /履歴書スキャンを正常に通過する求人応募の可能性を高めるためです。

これらのサービスは、GenAIエージェントを使用して、アップロードされたCVをATS（応募者追跡ソフトウェア）に対してテストし、より良い結果が得られるまで繰り返し、特定の役割でより成功するペルソナを学習します。

4. 候補者管理

Okta Threat Intelligence は、GenAI エージェントを使用して、候補者に代わって申請フォームへの記入を自動化したり、申請プロセスにおける候補者の進捗状況を追跡したりするサービスを観測しました。

繰り返しますが、これらの機能は、複数の個人および複数のペルソナに代わって、複数のタイムゾーンにわたって求人応募と雇用を促進するという課題に対応します。

5.模擬面接

Application （アプリケーション）が成功すると、ファシリテーターの次のタスクは、候補者（または場合によってはファシリテーター自身）を就職の面接のために準備することです。

ファシリテーターは、GenAIエージェントを導入して、雇用主の代わりに初回インタビューをホストおよび記録し、インタビュー対象者を批評し、改善のヒントを提供するAI強化サービスを使用していることが確認されました。

これらの自動化された「AIベースのウェブカメラ面接レビュー」サービスは、照明、ビデオフィルター、および候補者の会話へのアプローチの適切な使用を支援すると主張しています。

Okta 脅威インテリジェンス は、AI エージェントが実施する模擬面接は、なりすましの発見される可能性を減らすために、ディープフェイクオーバーレイの有効性、および一般的な質問に対する高度にスクリプト化された回答を評価するために使用される可能性があると評価しています。

6. LLMベースのチャットボット

ファシリテーターが使用するGenAI Application （アプリケーション）のほとんどはトレーニングと採用に直接関係していますが、Okta 脅威インテリジェンスは、彼らが常にLLMベースのチャットボットにサインインしていることも確認しました。

活動のパターンを分析すると、これらの一般的な GenAI ツールは、採用プロセス全体で、および採用に成功した候補者が雇用を得た後に大きく依存しているようです。

7. コードトレーニングサービス

候補者は、特定の開発言語およびAIツールのトレーニングを提供する無料のサービスにサインインしていることも確認されました。これらのトレーニングプラットフォームは、採用組織が面接で必要とする、なじみのない開発スキルに関する表面的な認識と、可能な限り雇用を維持するために必要な最低限の知識を提供します。

AIの「パワーユーザー」

ファシリテーターは、AI強化ツールを広範囲に採用して、スキルが最小限で、母国語が英語ではない労働者がソフトウェアエンジニアリングのポジションを維持できるようにし、制裁されたDPRK体制に収入を流すことを可能にしています。観察された作戦の規模は、自動化とGenAIによって拡大された場合、数週間または数か月の短期間の雇用であっても、DPRKにとって実行可能な経済的機会となる可能性があることを示唆しています。

軽減策

これらのキャンペーンによってもたらされる脅威を軽減するために、Okta 脅威インテリジェンスは以下を推奨します。

アイデンティティ確認

DPRK ITワーカーのスキームは、大規模な組織における採用プロセスの断片化された性質を利用しています。今日のほとんどの組織は、エクステンデッドエンタープライズの一部として、サプライヤー、パートナー、フリーランサー、および派遣労働者を広範囲に使用しています。

組織は、採用プロセスのさまざまな段階でアイデンティティ検証がサイロ化されて行われる場合に最も脆弱になります。外部の人材派遣会社が、採用プロセスにおける重要なタスク（求人広告の掲載、面接の実施、契約の処理、新規派遣社員のonboardingのロジスティクスなど）の1つ以上を請け負っている場合、リスクはさらに高まります。このプロセスのどの段階でも、申請者が次のステップに進むのを支援するために、有償の地元の仲介者が検証ドキュメントを提供したり、面接に同席したりする機会が生じます。

Okta Workforce Identity には、アイデンティティ検証サービスをアイデンティティプロバイダーとして追加する方法が含まれるようになりました。サードパーティの ID 検証サービスは通常、ユーザーに政府発行の身分証明書の提供を要求し、ライブネスチェックを満たすために自撮りをするように求めます。Okta で アイデンティティプロバイダー として構成されている場合、採用、ユーザーonboarding、アカウント回復など、ユーザーライフサイクルの中で最もリスクの高い瞬間にソリューションが適用されるように構成できます。

Application （アプリケーション）の処理から、面接、オファーの承認、契約の署名、onboardingまで、一貫してアイデンティティ検証を適用することを推奨します。個人のアイデンティティを再検証するたびに、プロセス全体で「信頼の連鎖」が生まれます。

Oktaは最近、当社の従業員および契約社員の登録とセルフサービスリカバリフローを保護するために、主要なアイデンティティ確認サービスであるPersonaとの統合を構成しました。この実装（詳細についてはブログ投稿で説明されています）は、Oktaが現在お客様に推奨するアプローチに情報を提供しています。

トレーニングとレポート機能

不正な雇用活動を特定するには、セキュリティチーム、人材チーム、および調達機能間の緊密なパートナーシップが必要です。これにより、候補者がサードパーティを通じて採用または契約されているかどうかに関係なく、バックグラウンドチェックとアイデンティティ検証が一貫して実行されるようになります。

次の危険信号は、詐欺的なApplication（アプリケーション）に共通するものですが、すべてではありません。これらのスキームに関与する個人は、成功率を向上させるために、時間の経過とともに彼らの手口を大幅に進化させてきたため、このリストを継続的に適応および追加する必要があると予想されます。

レッドフラッグ（トレーニングとレポート機能）

採用活動中：

• 候補者は、インターネットの接続状況が悪いなどの口実で、音声およびビデオ通話よりもチャットベースのアプリケーションを好むと表明します。
• 候補者は、プロセス（名前、場所、連絡先情報、学歴、職歴）のさまざまな段階で一貫性のないデータを提供します
• リモートビデオ会議からのメタデータは、候補者の場所がApplication （アプリケーション）に記載されている場所とは著しく異なっていることを示しています。
• 候補者が面接中に GenAI ツールを使用して質問に答えていると考えられる。
• 候補者がスクリプト化されていると思われる一般的な質問に対する回答を提供している。
• 候補者の顔はリアルタイムでデジタル的に変更されているようで、顔の前に手やオブジェクトをかざすように求められた場合に拒否します。

オファー期間中:

• 採用された候補者は、仕事に対して低い料金を受け入れるか、型破りな支払い方法を求めます。
• 採用候補者が、会社から支給されたデバイスの配送先住所の変更を要求することに成功しました
• バックグラウンドチェック中に提供された情報は、候補者のApplication （アプリケーション）に記載された情報（学歴、職歴、所在地など）と一致しません

オンボーディングおよび雇用中：

• 契約社員または従業員が、同僚との予定されたビデオ通話に頻繁に応じることができず、家族の緊急事態や病気を理由にすることが多い
• 契約社員または従業員が、ビデオ通話への参加を求められたときに背景を見せたがらない
• 契約社員または従業員が、会社のシステムへのサインインで断続的に問題が発生します
• 契約社員または従業員が、インタビュープロセス中に評価されたスキルと能力と比較して、パフォーマンスが低いことを示しています
• 契約社員または従業員が働いた時間は、営業時間または雇用されたタイムゾーンと一致しません。
• 契約社員または従業員が、銀行口座の問題により、支払い情報の変更を要求します