北朝鮮のサイバー脅威活動が主要ターゲットだった米国を超え、欧州で大幅に増加しているとの分析が発表された。
グーグルの脅威インテリジェンスグループは2日、ブログを通じて「最近米国で北朝鮮のIT人材に対する取り締まりや摘発事例が増加したことに伴い、ここ数か月で北朝鮮のIT人材の活動範囲と規模が米国を越えて世界中に拡大していることを確認した」と発表した。米国内での彼らの脅威に対する認識が高まる中、北朝鮮のIT人材は攻撃範囲のグローバル化、恐喝戦術の高度化、仮想インフラの活用など新たな戦略を駆使し、引き続きグローバルな脅威エコシステムを構築しているという。
同グループによると、2024年末、北朝鮮のあるIT労働者は12以上の偽造身分証を使用して欧米全土で活動し、特に欧州の防衛産業や政府機関への就職を試みた。偽造された推薦状の使用や採用担当者との親密な関係を通じて追加の身分を活用する行動パターンが見られたという。また、別のIT労働者はドイツとポルトガルで求職活動を行い、欧州内の求人サイトや資産管理プラットフォームでログイン情報を使用していたことが判明した。
イギリスでは北朝鮮のIT労働者によるより多様なプロジェクトが観察された。インテリジェンスグループによると、ウェブ開発からボット開発、コンテンツ管理システム(CMS)開発、ブロックチェーン技術などが含まれていたという。これは北朝鮮のIT人材が従来のウェブ開発から高度なブロックチェーンやAIアプリケーションに至るまで幅広い技術専門性を有していることを示唆している。
さらに、北朝鮮のIT人材は仕事を確保するために日本、イタリア、マレーシア、シンガポール、ウクライナ、米国、ベトナムなど様々な国籍を偽装し、実在の人物と架空の人物の身元情報を組み合わせて身分を偽装していたことも明らかになった。
欧州で活動する北朝鮮のIT人材はUpwork、Telegram、Freelancerなど様々なオンラインプラットフォームを通じて募集され、給与は資金の出所や送金先を隠蔽するために暗号資産、Wiseサービス(旧称 TransferWise)、Payoneer(ペイオニア)などを通じて支払われていたという。
特に北朝鮮のサイバー攻撃が増加した時期は米国の取り締まりが強化された時期と一致しており、これは北朝鮮がサイバー恐喝による収益を維持するために大企業を標的としたより攻撃的な活動を展開する可能性があることを示唆しているとグループは分析している。
インテリジェンスグループ・欧州地域の上級アドバイザー、ジェイミー・コリアー氏は「北朝鮮は過去10年間、SWIFT攻撃(金融機関や銀行の内部システムへのハッキング)、ランサムウェア、暗号資産の窃取、サプライチェーン攻撃など様々なサイバー攻撃を仕掛けてきた。この絶え間ない進化は、サイバー攻撃を通じて政権に資金を調達しようとする北朝鮮の長年の努力を示している」と指摘。さらに「北朝鮮のIT人材の作戦がこれまで成功を収めてきたことを考えると、北朝鮮は世界中に活動範囲を拡大する可能性が高い。アジア太平洋地域もすでに例外ではない。このような攻撃はサイバー脅威に対する認識が不足している地域でより大きな被害をもたらす可能性があり、その点でアジア太平洋地域は特にリスクが高い」と警告した。