Amazonでさえ、テック企業のリモート職を得て賃金を金正恩の懐に流し込もうとする北朝鮮の詐欺師の標的から免れられるわけではない。
クラウド大手は、2024年4月以降、朝鮮民主主義人民共和国(DPRK、別名北朝鮮)からのものとみられる詐欺師1,800人超が自社の従業員として加わるのを阻止したと、Amazonの最高セキュリティ責任者(CSO)スティーブ・シュミット氏が木曜日に述べた。
「そして今年は、四半期ごとにDPRK関連の応募を27%多く検知しています」とシュミット氏はLinkedInの投稿で述べた。
北朝鮮の偽労働者詐欺では、実在の開発者が偽名や盗用された身元を使って米国および欧州企業のリモート職に応募する。応募者は履歴書の下書きやSNS上の人物像の構築にAIツールを使うことが多く、採用される確率を上げるために、詐欺師がビデオ面接でディープフェイクを使うことさえある。
雇用されると、収入の多くを北朝鮮政権に送金し、米政府によれば、その資金は兵器計画の資金に使われるという。
フォーチュン500企業の大半がこの詐欺に引っかかっており、米企業に数千万ドル規模の損害を与えている。
場合によっては、詐欺師が社内アクセスを利用して独自のソースコードを盗むなどの機密データを奪い、その後、身代金が支払われない限り企業データを漏えいすると脅して雇用主を恐喝する。
「現時点では、フォーチュン100のすべて、そしておそらくフォーチュン500も、帳簿上にかなり多くのリスクの高い従業員を抱えていると私たちは考えています」と、Socureの最高成長責任者リヴカ・リトル氏は以前のインタビューでThe Registerに語った。
シュミット氏によれば、AmazonはAIによるスクリーニングと人手による確認を組み合わせ、疑わしい詐欺師をふるい落としている。
「当社の検知は、AIを活用したスクリーニングと人手による検証を組み合わせています」と同氏は書いた。「当社のAIモデルは、約200の高リスク機関とのつながり、応募全体にわたる異常、地理的な不整合を分析します。身元は、身元調査、資格の検証、構造化面接を通じて確認します。」
しかし、これだけの計算資源と人員を投入しても、偽のIT労働者を見抜くのはますます難しくなっている。
シュミット氏によると、一部の北朝鮮工作員は偽のオンライン身元を作る段階から進み、盗まれた認証情報を使って休眠状態のLinkedInアカウントを乗っ取り、実在のソフトウェアエンジニアの身元を「居住」することで応募の信頼性を高めているという。
さらに彼らは、企業のノートPCの配送を受け取り、米国在住を装う海外IT労働者のためにコンピュータをホストする米国の「ラップトップ農家」と協力することが多く、端末が米国内から稼働しているように見せかけられる。
Okta Threat Intelligenceが今年初めに指摘したように、詐欺師は金融、医療、公的行政、専門サービスなど、IT部門以外の分野でも、面接を受ける企業数を増やしている。
The Registerが以前報じたとおり、企業はこのリスクに対抗できる。
シュミット氏がBloombergに語ったところでは、キーストロークの遅延は見分ける手がかりの一つだという。
LinkedInでは、米国の電話番号を「1」ではなく「+1」で表記しているといった書式の違い、あるいは主張する専攻を提供していない学校の学位などの細かな点も、他の指標と組み合わせることで強いヒントになり得ると同氏は書いた。
「組織内でこれらの脅威が懸念されるなら、一般的な指標についてデータベースを照会してください。履歴書、メール、電話番号、学歴のパターンです」とシュミット氏は述べた。「採用プロセスの複数段階で本人確認を実施し、異常な技術的挙動――不審なリモートアクセス、未承認のハードウェア――を監視してください。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/18/amazon_blocked_fake_dprk_workers/
