ログプレソは北朝鮮IT労働者の海外での身分偽装就業の実態を分析した「北朝鮮IT人材身分偽装就業OSINT分析」報告書を発刊したと11日明らかにした。
報告書はディープウェブ・ダークウェブで流通するインフォスティーラー(情報窃取型マルウェア)感染ログを分析し、電子メールアカウント、パスワード、接続IP、ハードウェアID(HWID)、オペレーティングシステム(OS)の言語設定などを交差分析した結果を盛り込んだ。
米国政府および民間研究機関が公開した身分偽装就業に関連する電子メールアカウントのパターン1879件と、2024年以降に収集した感染レコード104万5645件を相互検証した結果、電子メール80件、IP66件、HWID66件が識別され、28カ国490ドメインへの接続状況が確認された。
特に同一端末で最大5つの偽造身分が運用された事例が捕捉された。異なる姓名と国籍に偽装したアカウントが同一環境で活動した記録が確認されたという説明である。
外国人身分を騙ったアカウントで韓国語キーボードおよびOS言語設定が見つかった事例もあった。複数アカウントで類似したパスワードが繰り返し使用され、レーベンシュタインアルゴリズムに基づく分析を通じて一定の変形規則も確認された。
報告書は、このような身分偽装就業が単純な外貨獲得を超え、企業の内部システムやソースコードリポジトリ、クラウド資産へのアクセスに繋がり得ると指摘した。
ヤン・ボンヨル・ログプレソ代表は「身分偽装就業は初期侵入経路として悪用され得る」と述べ、「採用段階で多次元の検証体制を強化すべきだ」と明らかにした。
※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。