北朝鮮はどのようにして仮想通貨業界に侵入したのか

複雑な物語を解き明かしてきた長年の経験を持つベテラン調査ジャーナリストとして、私はデジタル世界と北朝鮮の秘密活動を織り交ぜたようなこの物語にますます興味をそそられていることに気づきました。アンソニー・ケラーの物語、あるいは彼が想定したさまざまな別名は、魅力的なものです。 IT の世界で、さまざまなプロジェクトに貢献の痕跡を残すカメレオンのような人物に遭遇することは、毎日ではありません。

2023 年の初期段階で、仮想通貨会社 Truflation はチームに予期せぬメンバーが加わったことに気づきました。その人物は当時、同社の創設者であるステファン・ルストには知られていなかった北朝鮮人でした。

Rust はスイスの自宅から、熟練した開発者を頻繁に探していました。思いがけず、開発者が現場に現れました。

龍平さんは当初、日本在住であることを明記した履歴書をテレグラムで提出した。しかし、採用されて間もなく、いくつかの異常な矛盾が現れ始めました。

ある瞬間、「誰かと会話していたら、その人は地震を経験したと主張した」とラストさんは回想した。しかし、日本では最近地震がありませんでした。その後、この人物は電話を無視するようになり、最終的に彼らが現れたとき、「それは同じ人物ではなかった」とラスト氏は述べた。 「それは別人でした。」現れた人はもう日本語なまりがありませんでした。

すぐに、ラストは「龍平」と彼のチームのほぼ 3 分の 1 が、他の 4 人の同僚とともに実際に北朝鮮国民であることを発見しました。残念なことに、Rust は、北朝鮮が自国民にリモートワークの機会を獲得し、その収益を平壌に送金するという慎重に計画された計画の一部となってしまった。

アメリカ当局者らは、北朝鮮の技術専門家が仮想通貨会社を含むテクノロジー産業に侵入し、その収益をならず者の国家の核武装計画の資金源に利用しているとますます警鐘を鳴らしている。 2024年の国連報告書は、これらのIT労働者が金正恩政権に年間最大6億ドルを生み出していると推定している。

私は研究者として、意図せずに労働者の雇用や補償に携わることは、国連制裁に違反する可能性があり、米国やその他の国々で違法とみなされ得ることに気づきました。さらに、北朝鮮のハッカーが秘密職員を介して企業に侵入するパターンを示しているという事実により、この行為は重大な安全保障上のリスクを引き起こす。

このテーマを研究している研究者として、私の最近の調査結果は憂慮すべき傾向を明らかにしました。それは、北朝鮮の求職者が執拗かつ執拗に仮想通貨企業を追求しているということです。驚くべきことに、彼らはなんとか面接を通過し、身元調査に合格し、さらに GitHub 上でオープンソース ソフトウェアへの貢献という素晴らしい記録を誇っています。

十数社の仮想通貨企業が、朝鮮民主主義人民共和国としても知られる北朝鮮出身の情報技術専門家を意図せず雇用したことを認めた。 CoinDesk はこれらの企業と対話しました。

創設者、ブロックチェーン研究者、専門家など、暗号通貨分野のさまざまな専門家へのインタビューから、以前考えられていたよりも多くの北朝鮮のIT労働者が暗号通貨産業に関わっていることが明らかになった。実際、この記事のためにCoinDeskから相談を受けた多くの採用担当者は、潜在的な北朝鮮開発者と面談したり、知らずに彼らを採用したり、あるいはそうした他の開発者を知っていたりしたことを認めた。

ブロックチェーン開発で著名なザキ・マニアン氏は、簡単に言えば、仮想通貨業界に興味を示している求職者や個人の数は北朝鮮出身である可能性が高く、50％を超えていると述べた。同氏は、2021年にCosmos Hubブロックチェーンに取り組むために意図せず北朝鮮から2人のIT労働者を雇用したことを受けて、このことに言及した。また、誰もがこれらの応募者を選別するのが難しいと感じていると述べた。

CoinDeskが明らかにしたように、北朝鮮からの疑いを持たない雇用主の中には、Cosmos Hub、Injective、ZeroLend、Fantom、Sushi、Yarn Financeなど、評判の良いブロックチェーンベンチャー企業がいくつかあった。 「これは秘密裏に進行していた」とマニアン氏は語った。

これらの企業は初めて、誤って北朝鮮から情報技術労働者を雇用したことを公然と認めた。

ほとんどの場合、北朝鮮労働者は一般の従業員とほぼ同じように任務を遂行した。その結果、雇用主は通常、支払いに相当する金額を受け取りました。しかし、CoinDeskの調査により、これらの労働者が後に北朝鮮政府と関係のある仮想通貨ウォレットに収益を送金したという証拠が判明した。

CoinDeskの調査によると、北朝鮮のIT労働者を雇用したいくつかの仮想通貨プロジェクトがその後ハッキングに遭ったことが判明した。場合によっては、コインデスクは、企業の給与計算に含まれる北朝鮮の疑いのあるIT従業員と窃盗を直接結び付ける可能性がある。その一例は、分散型金融プロトコルとして有名な Sushi で、2021 年に 300 万ドルのハッキング被害に遭い、北朝鮮の IT 担当者が関与した可能性があります。

2022年、米国財務省と司法省の外国資産管理局（OFAC）は、米国の仮想通貨業界に侵入しようとする北朝鮮の取り組みについて公表し始めた。しかし、コインデスクの調査により、すでに2018年の時点で北朝鮮のIT労働者が偽のIDを使用して仮想通貨企業に雇用されていたことが明らかになった。

Manian 氏は、「多くの人が、この最近の出来事は前例のないものだと信じているようです。しかし、彼らの GitHub アカウントやその他の関連プラットフォームを調べてみると、彼らは 2016 年、2017 年、さらには 2018 年にまで遡って活動していることがわかります。」 」 (Microsoft が所有するプラットフォームである GitHub では、多数のソフトウェア組織が開発者が共同作業するためのコードをホストしています。)

1) CoinDeskによると、彼らはブロックチェーン取引記録、公開されているGitHubコーディング寄稿、米国政府関係者からの電子メール、標的となった企業自身へのインタビューなど、さまざまな手段を通じて北朝鮮のIT労働者をさまざまな企業と結びつけていたという。 CoinDeskが精査した北朝鮮の主要な決済システムの1つは、8月に北朝鮮の開発者と疑われる人物のリストを発表したブロックチェーン調査員ZachXBTによって最初に発見された。

これまで雇用主は、悪評や潜在的な法的影響を恐れて声を上げないことを選択していた。しかし、CoinDeskによって明らかにされた広範な財務記録やその他の証拠に直面して、これらの企業の多くは初めて自らの経験を公開することを選択し、北朝鮮が仮想通貨分野に大規模に進出していることを明らかにした。

偽造文書

一見日本人のチームメンバーである Ryuhei が加わったことにより、Rust の Truflation 会社には求人への応募が殺到しました。わずか数カ月の間に、Rust はモントリオール、バンクーバー、ヒューストン、シンガポールに拠点を置くと主張する 4 人の開発者を、知らず知らずのうちに北朝鮮から追加採用しました。

暗号通貨の分野は、北朝鮮の熟練したIT労働者によるサイバー攻撃のまたとない機会となっている。このセクターの世界規模の性質を考慮すると、暗号通貨企業は遠隔地にいるプログラマーや匿名のプログラマーを雇用することに積極的であることが多く、潜在的に脆弱なターゲットとなっています。

CoinDeskは、TelegramやDiscordなどのメッセージングアプリ、Crypto Jobs Listなどの仮想通貨専門求人プラットフォーム、Indeedなどの一般採用Webサイトなど、複数の情報源から受け取った朝鮮民主主義人民共和国（DPRK）から提出された求人応募を調査した。

メタマスクの仮想通貨ウォレットアプリのプロダクトマネージャーで、北朝鮮の仮想通貨活動に関する洞察を頻繁に共有しているテイラー・モナハン氏によると、雇用を見つけるのに最も成功しているチームは若い革新的な新興企業だという。これらのスタートアップ企業は、身元調査を必要とする採用手順を確立していない傾向があります。その代わりに、彼らは従業員に暗号通貨で支払うことがよくあります。

より簡単に言うと、Rust は、Truflation のすべての新入社員に対して個人的に検証プロセスを実行したと述べました。これには、彼らのパスポートと身分証明書の受け取り、GitHub プロジェクトの提供、テストの完了、そして最終的に彼らをチームに迎えることが含まれます。

素人の目には、多くの偽造書類は本物のパスポートやビザと同一に見えます。しかし、この分野の専門家は、これらの偽物は徹底的な調査機関によって検出された可能性があると示唆しました。

新興企業が専門の経歴調査員に頼ることはそれほど一般的ではないが、大企業で北朝鮮のIT人材が働いているのを見つけることは珍しいことではない。彼らは直接雇用することも、請負業者として雇用することもできます。この声明はモナハンによって行われました。

ありふれた場所に隠れている

CoinDeskの研究者らは、北朝鮮のIT専門家がさまざまな企業内でオープンソースのブロックチェーン情報を利用していることをしばしば発見した。

昨年、Iqlusion のブロックチェーン アナリストとして、私は広く使用されている Cosmos Hub ブロックチェーンのアップグレードを目的としたプロジェクトの支援が必要であることに気づきました。熟練したフリーランスのプログラマーを探していたところ、幸運なことに、私たちのチームにとって貴重な人材となることが証明された 2 人の才能ある人材に出会うことができました。私たちは力を合わせて目の前の任務を無事に達成しました。

マニアンは「ジュン・カイ」と「サラウット・サニット」に物理的に会う機会がなかった。出会う前に、彼らはオープンソース ソフトウェア プロジェクトで協力しており、密接に関連するブロックチェーン ネットワークである THORChain が財政的に支援していました。彼らはマニアンに、彼らの活動拠点はシンガポールであると告げた。

マニアンさんは、1 年間ほぼ毎日彼らと定期的に会話をしていたと語った。簡単に言えば、彼らは自分たちの責任を果たし、正直に言って、彼はその結果に非常に満足していました。

フリーランサーたちのプロジェクト完了から約 2 年後、マニアン氏は FBI 捜査官から、Iqlusion から発信され、ウォレット アドレスにリンクされている疑いのある北朝鮮の仮想通貨アカウントに向かっていると思われるトークン取引を精査する電子メールを受け取りました。調査中の取引は、Iqlusion が Kai と Sanit に支払ったものであることが判明しました。

FBIはマニアン氏に対し、彼が雇った開発者が北朝鮮（DPRK）の代表者であることを確認しなかったが、カイ氏とサニット氏のブロックチェーンウォレットをコインデスクが調査したところ、2021年と2022年に彼らが外国資産局の2人の個人に収益を送金していたことが明らかになった。統制（OFAC）制裁リスト：キム・サンマンとシム・ヒョンソプ。

OFACによると、シム氏はIT労働者からの資金洗浄で知られる北朝鮮の銀行、クァンソン銀行の代表者として認められている。この活動は、北朝鮮の大量破壊兵器（WMD）および弾道ミサイル計画への資金提供を支援していると伝えられている。サラウットはすべての収益をシムとシムにリンクされているさまざまなブロックチェーンウォレットに送金しているようです。

別の展開では、カイは約800万ドルをキムに直接送金した。 2023年のOFAC勧告によれば、キム氏は北朝鮮と関連のあるチニョン情報技術協力会社の代表者であることは注目に値する。この企業は、管理する企業とその代表者を通じて、ロシアとラオスで活動する北朝鮮のIT労働者のチームを派遣している。

Iqlusion氏がKai氏に送金した金額は、同氏がKim氏に送金した約800万ドルに比べて5万ドルを大幅に下回っており、残りは他の仮想通貨会社からの追加資金で賄われていた。

CoinDeskによると、人気のFantomブロックチェーンの開発者であるFantom財団から「Jun Kai」と北朝鮮と関係のある別の開発者への支払いが追跡されたという。

研究者として、私はこれを次のように言い換えます。「昨年の調査結果で、北朝鮮と関係のあるチーム外の 2 人の人物を発見しました。これらの人物は、未完了かつ未配備のままだった外部プロジェクトに関係していました。」

Fantom Foundation は、「問題の 2 名は解雇され、有害なコードは一切書かず、Fantom コードベースにアクセスすることもありませんでした。影響を受けた Fantom ユーザーはいませんでした。」と述べています。しかし、広報担当者の説明によると、北朝鮮の従業員の1人がFantomのサーバーへの攻撃を試みたが、アクセス権が不十分だったために失敗したとされている。

OpenSanctions データベースが報告しているように、政府がキム氏の北朝鮮に関連するブロックチェーンアドレスを公的に関連付けたのは 2023 年 5 月になってからでした。 Iqlusion と Fantom が取引を処理してから 2 年以上が経過しました。

余裕を持たせた

米国と国連はそれぞれ2016年と2017年に北朝鮮のIT人材の雇用を制裁した。

知っているかどうかにかかわらず、米国にいる北朝鮮労働者に賃金を支払うことは違法であり、これは「無過失責任」と呼ばれる法的概念である。

企業の所在地に関係なく、朝鮮民主主義人民共和国（DPRK）からの労働者を雇用する場合、そのような行為は取引のある特定の国によって施行される貿易制裁に抵触する可能性があるため、潜在的な法的影響に直面する可能性があります。

それにもかかわらず、北朝鮮のIT専門家を雇用したとして米国や他の国連加盟国から裁判にかけられた仮想通貨企業はないことに変わりはない。

米国内の企業である Iqlusion に対する調査を開始したのは米国財務省でした。しかし、マニアン氏の供述によれば、この捜査は制裁や罰金を課されることなく終了した。

米国当局は、これらの企業が非常に複雑かつ高度な形態のなりすまし詐欺、または長期にわたる非常に恥ずかしい詐欺と考えられるもののどちらかに巻き込まれたとみられるため、これらの企業を直ちに告発しないことにある程度の理解と柔軟性を示している。

より簡単に言うと、メタマスクのモナハン氏は、法的問題は直接関与していないかもしれないが、北朝鮮のIT労働者を補償するという行為は、彼らが本質的に政権によって搾取されているため、問題となる可能性があると述べた。

国連安全保障理事会による 615 ページの報告書によると、朝鮮民主主義人民共和国の IT 労働者は給与の控えめな部分を保持しています。具体的には、報告書は、低所得者は約10％を維持する一方、高所得者は最大30％を維持できる可能性があることを示している。

もっと単純な言い方でモナハン氏は、「この人たちがどこで働いているかは問題ではないが、もし私が彼らに給料を払っていて、彼らがその収入の全額を彼らの上司、つまりたまたま北朝鮮政府に渡すよう強制されているとしたら」と表現した。 – この監督者が北朝鮮政権そのものだとしたら、さらに不安になります。

調査中、北朝鮮の IT 職員と思われる数名に連絡を試みましたが、回答は得られませんでした。

これからも

コインデスクは、米国の制裁下にある組織に関連するブロックチェーン取引を調査し、北朝鮮のハイテク労働者を雇用した可能性のある企業20社以上を発見した。これらの企業のうち12社は、過去の給与計算から北朝鮮の疑いのあるIT人材を確かに発見したことをコインデスクに認めた。

潜在的な法的影響を考慮して沈黙を守ることを選んだ人もいたが、自分たちの話が他の人が同様の状況を乗り越える助けになることを期待して、進んで話を語る人もいた。

多くの場合、北朝鮮の従業員は雇用された後に識別するのが容易であることが判明しました。

分散型金融の分野に特化したプロジェクトである Injective の CEO である Eric Chen として、私は 2020 年にフリーランスの開発者を雇いました。しかし、パフォーマンスが標準以下だったため、早い段階でこの人物と袂を分かつ必要があることがわかりました。

チェン氏は「彼の在職期間は短かった」と述べ、この人物が頻繁に誤動作する低品質のコードを作成していたことを示唆した。昨年、つい最近、チェン氏は米国政府機関のインジェクティブ社との連絡を通じて、この従業員が北朝鮮と関係があることを発見した。

複数の企業がコインデスクに対し、北朝鮮との関係が判明する前に従業員の雇用をすでに解雇しており、その理由は通常、勤務成績の悪さであると報告した。

「数か月分の牛乳の給与計算」

ただし、北朝鮮の IT ワーカーは、その適性が異なる可能性があるという点で一般的な開発者と似ています。

マニアン氏によると、一方で、従業員の中には、大きな貢献をせずに面接に出席し、数か月間給与を徴収する人もいるかもしれないという。逆に、面接の技術力が本当に光る人材もいます。

Rust 氏は、Truflation にはバンクーバー出身だと主張する優れた開発者がいたが、実際には北朝鮮出身だったと述べました。彼は、この人物は非常に若く、大学を出たばかりで経験が浅いように見えるが、就職の機会に熱心で熱意を持っていると説明しました。

さらに、分散型金融を専門とするクラスターは、北朝鮮政府（DPRK）との関係に関するZachXBTの主張を受けて、8月に開発者2人を解雇したと報じられた。

Clusterの匿名の作成者であるZ3nは、これらの人々がどれほど多くの知識を持っているように見えるかは驚くべきことであるとCoinDeskに共有しました。振り返ってみると、明らかな危険信号がありました。たとえば、支払い先住所を 2 週間ごとに変更し、Discord または Telegram のユーザー名を毎月切り替えることもありました。

ウェブカメラがオフです

CoinDeskとの話し合いの中で、多くの雇用主が異常な行動を指摘したが、従業員が北朝鮮出身である可能性があることが判明すると、その行動はより鮮明になった。

研究者として、私は時折、奇妙に見える微妙な指標に遭遇しました。たとえば、一部の従業員の報告された勤務スケジュールは、記載されている勤務地と大幅に異なるようであり、潜在的な矛盾や型破りな勤務形態を示唆しています。

Truflition など、他のさまざまな職場でも、1 人の労働者が実際には 1 人のふりをしている複数の人物である可能性を示唆する兆候が観察され始めました。この事実は、ウェブカメラを無効にすることで隠蔽しようとしました。 （通常、この習慣に従事するのは男性でした）。

ある会社の従業員は朝礼に出席していましたが、日が進むにつれてその会議での議論を思い出せないようでした。この特異性は、この人物が一日中数人と会話していたことを発見するとより明らかになりました。

ラスト氏が、日本人従業員の龍平氏に関する懸念を、違法金融取引の監視に詳しい投資家に打ち明けたところ、その投資家は、同様にトリュフレーション社に雇用されている北朝鮮のIT部門出身の追加4名をすぐに発見した。

必要性を認識すると、すぐにすべての接続を切断した、と Rust 氏は説明しました。その後、私たちのチームはセキュリティ目的でコードを徹底的にレビューし、バックグラウンド検証手順を強化し、既存のポリシーにいくつかの調整を加えました。これらの変更の 1 つは、リモート ワーカーにカメラの使用を強制することでした。

300万ドルのハッキング

CoinDeskがインタビューしたいくつかの企業は、北朝鮮のIT労働者が北朝鮮のハッキング部門から独立して機能していると誤って信じていた。しかし、ブロックチェーンデータや専門家との議論から得られた証拠は、政権のハッキング活動とIT人材との間に頻繁なつながりがあることを示唆している。

遡ること2021年9月、Sushiが開発したMISOという仮想通貨トークン起動プラットフォームが300万ドル相当の盗難被害に遭った。この注目を集めた事件は CoinDesk によって広く報道されました。彼らの調査により、この攻撃と、北朝鮮発のブロックチェーン決済に関連した過去の取引を行っていたスシ社に雇われた開発者2名との潜在的な関係が明らかになった。

サイバー攻撃の際、Sushi は急速に成長している分散型金融 (DeFi) の分野で最も頻繁に議論されたプラットフォームの 1 つでした。 SushiSwap内にはすでに50億ドル以上の資産が保管されており、主に個人が仲介者を必要とせずに暗号通貨を交換できる「分散型取引プラットフォーム」として機能していた。

当時 Sushi の最高技術責任者であった Joseph Delong は、MISO 強盗が開発中に Anthony Keller と Sava Grujic と呼ばれていた 2 人の独立したプログラマーによって実行されたことを暴露しました。デロング氏は現在、これらの開発者は個人またはグループであると考えており、MISO システムに有害なコードを挿入し、彼らが管理するウォレットに資金を振り替えたと考えています。

Sushi プロトコルを管理する分散型自律組織である Sushi DAO に参加した際、Keller と Grujic は、ジュニア開発者にとって標準的であり、注目に値する資格を提示しました。

公の場では、ケラーは「eratos1122」という別名を使っていました。しかし、MISO で働くために応募書を提出したとき、彼は自分自身をアンソニー・ケラーと名乗りました。デロング氏がコインデスクに提供した履歴書には、ケラー氏の居住地がジョージア州ゲインズビルで、学歴はフェニックス大学でコンピューター工学の学士号を取得したと記載されていた。 （大学ではそのような卒業生が存在するかどうかは確認していません。）

ケラーの履歴書には、以前の仕事についての本物の言及があります。注目に値する経験の 1 つは、ユーザーがさまざまな事前定義された投資戦略を通じて利子を得ることができる、広く使用されている暗号通貨投資プロトコルである Yearn Finance での経験です。特に、イヤーンの主要な開発者であるバンテグ氏は、ケラーがチームのコラボレーションと支払い処理を目的としてイヤーンによって開発されたアプリケーションである Coordinape に貢献したことを認めました。バンテグ氏が、ケラー氏の仕事は Coordinape に限定されており、Yarn Finance の中核となるコードベースにはアクセスできなかったと述べたことに注意することが重要です。

研究者として、私は調査から得た興味深い発見を共有します。ケラーはグルイッチを MISO に紹介しましたが、デロングによれば、彼らは自分たちを友人として描写しました。興味深いことに、ケラー氏と同様に、グルイッチ氏はオンライン上の別名「AristoK3」ではなく、主張する本名で履歴書を提出した。彼は自分がセルビア出身で、ベオグラード大学でコンピューターサイエンスの学士号を取得していると名乗った。彼の GitHub アカウントはアクティブであり、彼の履歴書では、さまざまな小規模な暗号通貨プロジェクトやゲーム スタートアップ イニシアチブの経験が強調されていました。

ハッキングの前に、Sushi の元主要貢献者であり、ケラー氏やグルイッチ氏と頻繁に協力していたレイチェル・チュー氏は、すでに彼らに対して不安や疑惑の感情を表明していました。

チュー氏が言及したように、グルイッチ氏とケラー氏は世界各地の出身地が異なるとされているが、同じアクセントとテキストメッセージのスタイルを共有していた。会話中に周囲の騒音が聞こえることがよくあり、製造環境にいることが示唆されたと彼女はさらに指摘した。チューさんはケラー氏の顔を認識したことは覚えているが、グルイッチ氏の顔を認識したことはなかった。ケラー氏のカメラは、ケラー氏の向こうには何も見えないほどズームインしていたと説明した。

新型コロナウイルス感染症危機のピーク時、ケラー氏とグルイッチ氏は同時期にMISOへの関与を中止した。デロング氏は、この期間中に給与からの追加収入を確保するために遠隔地の仮想通貨開発者が複数の人物を装う可能性があるため、彼らは同一人物である可能性があると示唆し、補償を継続しないという決定につながった。

2021年の夏にケラーとグルイッチが去った後、SushiチームはMISOコードベースから彼らの権限を削除できませんでした。

9 月 2 日、Aristok3 (Grujic のスクリーン名) が有害なソフトウェアを MISO プラットフォームにアップロードしました。 CoinDeskに提示されたスクリーンショットによって証明されているように、このアクションにより、新しく作成されたデジタルウォレットに約300万ドルが流用されました。

CoinDeskによるブロックチェーン取引記録の分析に基づくと、ケラー氏、グルイッチ氏、北朝鮮との間には関連性がある可能性があるようだ。 2021年3月、ケラー氏はツイートでブロックチェーンウォレットのアドレスを共有したが、その後削除された。 CoinDeskは、このアドレス、グルジッチにリンクされたハッカーアカウント、およびSushiのKellerに関連付けられた記録されたアドレスの間で多数のトランザクションを発見しました。 Sushi は内部調査を行った結果、Delong が述べたように、ウォレットのアドレスが確かに Keller に関連していると判断しました。

CoinDeskは、容疑者のアカウントが主に、以前にOFACで制限されているKim Sang Manという個人に送金していたIqlusionの開発者「Jun Kai」にリンクされたアドレスに資金を送金していたことを発見した。さらに、北朝鮮の代理人として機能していると疑われる別のウォレットも、金氏への支払いを行っていたことから、受取人の中に含まれていた。

スシが実施した内部調査は、ケラー氏とグルイッチ氏が北朝鮮出身であるという仮説をさらに裏付けるものとなった。この調査により、これらの人物はしばしばロシアでIPアドレスを使用して働いていたことが明らかになった。OFACは北朝鮮のIT労働者が一時的に駐留している可能性があると示唆している地域である。 (履歴書にあるケラーに関連付けられている電話番号は現在切断されており、彼の「eratos1122」GitHub アカウントと Twitter アカウントは削除されていることに注意してください。)

さらに、コインデスクは、スシ社がケラー氏とグルジッチ氏と同時に働いていた北朝鮮の疑いのある別のIT請負業者を雇っていた兆候を発見した。 ZachXBT によって Gary Lee として知られるこの開発者は、LightFury という別名を使用し、代理人として収益を「Jun Kai」とキムにリンクされている別のアドレスに送金しました。

研究者としてこの興味深いシナリオを調査していた私は、スシがケラーに関連する偽名「eratos1122」を公然と示唆し、さらには FBI の関与をほのめかしたことで、予期せぬ事態の展開を招いた状況に陥った。問題の北朝鮮IT職員グルジッチ氏は盗んだ資金を返還した。北朝鮮のIT労働者が架空のアイデンティティの保護を優先するのは不可解に思えるかもしれないが、これらの人物は特定の名前を使い回し、多数のプロジェクトに参加することで時間の経過とともに自分の地位を高める傾向があるようだ。これは、潜在的な将来の雇用主との信頼性を確立し、信頼と信頼性に基づいて構築された評判を促進するために使用する方法である可能性があります。

アンソニー・ケラーの名前を使用した人物が2023年にステファン・ルストが所有する会社トゥルフレーションに申請書を提出したのは、スシ事件​​からほぼ2年後の2023年だったため、アンソニー・ケラーのアイデンティティを維持することでより大きな経済的利益が得られると考えた可能性がある。

「アンソニー・ケラー」と「サヴァ・グルイッチ」にコメントを求める試みは失敗した。

北朝鮮流の強盗

北朝鮮が過去7年間にハッキング活動を通じて30億ドル以上の仮想通貨を違法に入手したと国連が報告した。ブロックチェーン分析会社チェイナリシスによると、2023年上半期に追跡した北朝鮮関連の疑いのあるハッキングの約半数は、IT職員による窃盗に関係しているという。同社の代表者であるマデリン・ケネディ氏がこのように述べた。

パーカーを着た登場人物が複雑なコーディングとモノクロのコンピューター画面を使って巨大なシステムにハッキングするハリウッド映画の描写の代わりに、北朝鮮のサイバー攻撃は通常そのような描写とは大きく異なる。

北朝鮮から発信される攻撃は、本質的にそれほど洗練されていない傾向があります。通常、彼らはソーシャル エンジニアリング戦術を採用します。これには、システムにアクセスできる人の信頼を獲得することが含まれます。信頼を獲得すると、攻撃者はこの関係を操作し、電子メール内の悪意のあるリンクをクリックするなどの基本的な手段でシステムにアクセスします。

モナハン氏によると、これまで北朝鮮（DPRK）は、デバイスとその後の秘密鍵へのアクセスを取得するためのソーシャルエンジニアリングなどの活動のみを行ってきたようだという。彼らは直接的なサイバー攻撃やエクスプロイトを実行した兆候を示していません。

情報技術の専門家は、潜在的な標的を妨害するために利用できる機密データを入手したり、デジタル資金が豊富なソフトウェア システムに侵入したりすることにより、朝鮮民主主義人民共和国 (DPRK) に対するサイバー攻撃で重要な役割を果たす可能性があります。

偶然の連続

この記事の公開直前の 9 月 25 日、CoinDesk と Truflation の Rust の間でビデオ会議が計画されました。電話の目的は、彼が以前に提供した特定の事実を確認することでした。

慌てたラストは15分遅れて電話に参加した。彼はちょうどハッキングされたばかりだった。

北朝鮮のIT労働者を誤って雇用したとみられる20以上のプロジェクトがコインデスクから連絡を受けた。過去 2 週間の調査で、これらのプロジェクトのうち 2 つがハッキング事件に見舞われました。Truflation と Delta Prime として知られる仮想通貨融資アプリケーションです。

このハッキングが北朝鮮のIT人材の偶発的な採用に関連しているかどうかは依然として不明である。

9 月 16 日、デルタ プライムが侵害を受けたと最初に報告されました。 CoinDeskによるこれまでの調査では、デルタ・プライムと、匿名のブロックチェーン探偵ZachXBTによって暴露された北朝鮮関連開発者の1人である村野直樹氏との関係が明らかになった。

このプロジェクトでは、主に機密デジタル コードの侵害により、700 万ドルを超える経済的損失が発生しました。何度も試みたにもかかわらず、デルタ・プライムはこの件に関してコメントを提供することを拒否した。

Truflation ハッキングから 2 週間後、Rust の暗号通貨ウォレットから資金が流出し始め、CoinDesk との電話の約 2 時間前に Rust の注目を集めました。シンガポールへの旅行を終えたばかりの彼は、自分が犯したかもしれない間違いについて困惑していることに気づきました。 「なぜそれが起こったのかまったく理解できません」と彼は認めた。 「私のノートはホテルの金庫に安全に保管されており、携帯電話もずっと持ち歩いていました。

彼が話している間に、Rust 氏の個人のブロックチェーン ウォレットから多額の資金が流出していました。これは彼の子供の学費や退職金に相当する資金だったため、これは残念なことです。

TruflationとRustは最終的に約500万ドルを失った。正式な原因は秘密鍵の盗難でした。