日本企業にひっそりと入り込む北朝鮮工作員　面接や採用後に見破る方法：セキュリティニュースアラート

　NICKEL TAPESTRYは2018年からの活動が確認されている「Wagemole」というキャンペーンから追跡されており、関連インフラの分析から少なくとも2016年には既に収益活動を開始していた可能性があるという。

　このキャンペーンは現在、日本を含むアジア諸国および欧州の企業を主な標的としており、従来の米国人専門家へのなりすましに加え、日本人やベトナム人、シンガポール人の専門家になりすます事例も増えている。特に女性のなりすましが増加し、応募先の業界もソフトウェア開発に加え、サイバーセキュリティや非技術分野へと広がっている。

　同グループの主な目的は北朝鮮政府に対する収入の供給とされ、副次的に企業の知的財産やソースコードを窃取し、恐喝を実行する事例も報告されている。採用後わずか数日以内にデータが窃取され、解雇後も脅迫が継続する可能性があるという。

　さらにこれらのなりすまし従業員は内部脅威としても機能しており、クラウドサービスやAPIの不正アクセス、認証情報の窃取、企業秘密の漏えいといった活動にも関与している。また、取得したアクセス権が他の北朝鮮系脅威グループによって再利用されるリスクもある。

　履歴書やオンラインプロフィールにはAIを活用した生成コンテンツが使用されており、ストック写真に加工を施した偽の写真、過去の職歴やプロジェクト歴を裏付ける偽装情報が組み込まれている。採用後には自動マウス操作ツール、VPNソフトウェア、KVM over IP（リモートでのキーボード、ビデオ、マウス操作）などを使って組織にリモートアクセスする手法が確認されている。画面共有のために「Zoom」などの通話アプリを長時間使用したり、複数のリモート監視および管理（RMM）ツールを同一システムにインストールしたりする事例も報告されている。

　こうした脅威に対し、CTUは採用プロセス全体での警戒を推奨している。対面での本人確認書類の提出や、VoIP電話番号の使用状況の確認、職歴の照合などが推奨されている。ビデオ面接ではバーチャル背景の無効化を求め、デジタルフィルターの使用にも注意が必要とされる。

　オンボーディング時には本人確認の徹底、配送先の変更要請への警戒、個人端末使用の要求への対応などが挙げられている。また給与支払情報の変更依頼が繰り返される場合や前払いの要求にも注意が求められている。

　採用後は不正なリモートアクセスツールの使用制限、アクセス権限の最小化、通話時のビデオ非表示や雑音などの兆候への警戒が求められる。EDR（Endpoint Detection and Response）製品やウイルス対策ソフトを活用した端末の監視、VPN使用の傾向分析も有効とされている。