Amazonが従業員のキーストローク時間の偏差を、あらかじめ設定されたベースラインと比較して測定していることは、今となっては驚くべきことではないでしょう。むしろ、いかにもAmazonらしい。ですが私の注意を引いたのは監視そのものではなく、110ミリ秒が、北朝鮮の情報機関による作戦全体をほどく糸になったという点でした。
欺瞞の物理学
「米国内にいるはずの作業者のノートPCからのキーストロークデータは、Amazonのシアトル本社に到達するまでに数十ミリ秒しかかからないはずだった。ところが、この端末からの通信は110ミリ秒を超えていた……」
人間のユーザーにはほとんど知覚できない、その微かなデジタルのつっかえ——それが、Amazonの最高セキュリティ責任者スティーブン・シュミットが、大規模な侵入キャンペーンの一部だと呼ぶものを暴く決定的証拠となりました。2024年4月以降、Amazonは北朝鮮関係が疑われる応募者を1,800人以上ブロックしており、試行は今年を通じて四半期ごとに27%増加しています。
ここでの巧妙さは認めるべきです。請負業者経由でシステム管理者職を埋め、会社支給のノートPCをアリゾナへ発送し、必要な書類もすべて整える。ですが物理法則は嘘をつきません。本物の米国内リモートワーカーからのネットワーク遅延は通常20〜50ミリ秒です。この「従業員」は一貫して110ミリ秒超——「東アジアから複数のプロキシを経由している」と叫んでいるような遅延でした。
ラップトップ・ファームのインフラ
Amazonが突き止めたのは、単なる1つのなりすましではありませんでした。そこは、よく油の差された機械の一部となるノードでした。アリゾナの住所は、連邦検察が「ラップトップ・ファーム」と呼ぶものを運営していたクリスティーナ・マリー・チャップマンのものでした。チャップマンの作戦は300社以上を支援し、彼女が懲役8年半の判決を受けるまでに、北朝鮮(DPRK)政権に1,700万ドルをもたらしました。
仕組みは驚くほどシンプルです。北朝鮮の工作員は中国、ロシア、ラオスなどから作業し、米国内の協力者が企業のノートPCを受け取り、リモートアクセスを設定し、国内雇用という見せかけを維持する。ノートPCはアリゾナに置かれ、作業者は北京から操作する。多くの監視システムでは、接続元が米国内に見えてしまいます。
司法省の作戦では、16州にまたがる29の疑わしいラップトップ・ファームから、約137台のノートPCが押収されました。2024年10月と2025年6月の連携捜索は、ほとんどの組織が認識しているよりもはるかに広範なインフラが存在することを示しています。
遅延以外の行動上の兆候
シュミットは、キーストロークの遅延はより大きな検知フレームワークの中の1つの指標にすぎないと強調しました。Amazonのセキュリティチームは、追加のパターンも検知しています:
履歴書の異常:同じ学校名が繰り返し登場する、米国から検証しにくい無名の海外コンサル企業での経験、主張する専門性と一致しない学歴。
言語の不整合:米国のイディオムの不自然な使用、冠詞(「a」「an」「the」)の誤用、英語ネイティブではない文章作成を示唆する不自然な言い回し——仕事自体は技術的に有能であっても。
電話番号の表記:実際の米国居住者が使う標準的な「1」形式ではなく、「+1」の国番号プレフィックスを使用する。
地理的な矛盾:申告住所と一致しないIPジオロケーション、直接入力ではなくリモート操作を示唆するマウス移動のエントロピー、タイピングのリズムの不整合。
シュミットの評価は背筋が寒くなるものです。「DPRKの作業者を探していなければ、見つけられなかったでしょう」。つまり、受動的なセキュリティ対策では完全に見逃していた、という含意です。
誰も認めたがらない規模
韓国国家情報院によれば、北朝鮮のサイバー部隊は2022年の6,800人から2024年には8,400人へ増加しました。これは素人の作戦ではありません。金策工業総合大学や平城の理科大学の卒業生で、ハッキング技術、外国語、西側の企業文化の訓練を受けています。
Socureの最高成長責任者リブカ・リトルはThe Registerに対し、「フォーチュン100はどこも、そしておそらくフォーチュン500も、名簿上にかなり多くのリスクの高い従業員を抱えている」と語りました。これは誇張ではなく、大規模な本人確認から得られたパターン認識です。
最近の司法省の起訴内容によれば、北朝鮮のIT労働者は、ある1つのスキームだけで6年間に少なくとも8,800万ドルを生み出しました。個々の作業者は年30万ドル超を稼ぎ、チームでは合計300万ドル超を生み出すこともあります。厳しい制裁下の政権にとって、これは兵器計画へ直接流れ込む重要な外貨となります。
高度で持続的な雇用型脅威
これが特に危険なのは、収益化だけではなくアクセスにあります。北朝鮮の作業者は、防衛請負企業、ブロックチェーン企業、フォーチュン500のテクノロジー企業の役割に配置されてきました。記録された事例の1つでは、AI搭載の軍事装備を開発するカリフォルニア拠点の防衛請負企業から、ITAR管理下の技術データにアクセスしました。
脅威モデルは本質的にAPT(高度持続的脅威)ですが、より遅く、より忍耐強い。採用され、信頼を築き、数か月かけて権限を引き上げ、その後は次のいずれかを行う:
- 機微データを体系的に持ち出す
- 将来の作戦のための永続化を確立する
- 平壌からの指示を待って業務妨害を行う
- 単に給与を受け取り、政権の資金源とする
従来のIT侵入を超えて、北朝鮮のオペレーターは、マルウェアをブロックチェーンのスマートコントラクトに直接埋め込むEtherHidingのような高度な攻撃手法も開拓してきました。これは分散型で、ほぼ破壊不能なC2(コマンド&コントロール)インフラを生み出します。
サイバーセキュリティ企業のKnowBe4でさえ、専門性がありながら危うく被害に遭いかけました。同社はAIチームの主任ソフトウェアエンジニアだと信じた人物を採用し、ビデオ面接や身元調査も通過していました。その人物はAIで加工した写真と盗まれた米国人の身元情報を使用していました。Macワークステーションを受け取って数時間以内に、「従業員」は情報窃取型マルウェアのインストールを試みました。阻止できたのはKnowBe4の強固なエンドポイントセキュリティのおかげでした。
欧州への拡大
Google Threat Intelligence Groupの2025年4月レポートは、多くの人が疑っていたことを裏付けています。これらのスキームは米国の国境を越えて拡大しています。国内で法執行の圧力が強まったことを受け、北朝鮮の作業者は欧州の標的へと軸足を移しました——特に防衛産業基盤の組織や政府部門です。
追跡対象のある工作員は、2024年後半に欧州と米国で少なくとも12の別人格を維持していました。捜査当局は英国で稼働するラップトップ・ファームを発見し、協力者が米国と英国の拠点間で調整していました。ニューヨークにあるはずの企業ノートPCが、実際にはロンドンから稼働していることが判明し、作戦が用いる物流チェーンがますます複雑化していることを示しました。
検知エンジニアリングの教訓
同様の検知能力をどう実装すべきか悩むセキュリティチームにとって、Amazonのケーススタディはいくつかの実践的アプローチを提示します:
エンドポイント行動分析:ネットワーク遅延、入力タイミング、マウス移動パターン、接続特性におけるベースラインからの逸脱を監視する。CrowdStrike、Microsoft DefenderなどのEDRプラットフォームは、これらの指標を追跡できます。
複数段階での本人確認:初回の身元調査だけに依存しない。以下を含む継続的な検証を実装する:
- 文化的な質問を織り交ぜたビデオ面接(好きなレストラン、趣味、地域の話題)
- 物理的な所在地に紐づく多要素認証
- 資格情報の定期的な再検証
履歴書パターン分析:人事データベースを照会し、不審なパターン——同一の教育機関、似通った職歴の軌跡、テンプレート使用を示唆する空白、特定地域に集中する海外コンサル企業への言及——を探す。
ネットワークトラフィック分析:地域別にリモートワーカーの想定遅延をベースライン化する。VPNの多段接続やプロキシ利用を示唆する一貫した逸脱にアラートを出す。
請負業者関係の精査:北朝鮮の作業者が直接雇用されることは稀です。人材派遣会社や請負業者を経由して入り込み——最終雇用主にとってのもっともらしい否認可能性を1層追加します。直接雇用と同じ厳格さで、請負の供給経路を審査してください。
リモートワーク・セキュリティの不都合な真実
COVID-19パンデミックによるリモートワークの加速は、国家支援の侵入に前例のない機会を生みました。誰もが自宅オフィスの画面越しに働く状況では、正当な従業員と高度に洗練されたなりすましを見分けることは指数関数的に難しくなります。
Amazonの検知は、受動的防御ではなく能動的な脅威ハンティングの結果でした。北朝鮮の侵入パターンを、脅威だと理解したうえで明確に探していたのです。多くの組織には、同様のハントを行うためのリソースか脅威インテリジェンスのいずれか(あるいは両方)が欠けています。
現実を突きつける問い:事実上無制限のセキュリティ資源を持つAmazonでさえ、「特定して探さなければ捕捉できなかった」と認めるのなら、フォーチュン500の残りの企業の検知能力はどうなのでしょうか。
110ミリ秒が実際に測っているもの
ネットワーク遅延という技術的な詳細を超えて、110ミリ秒はより根源的なものを測っています。それは、私たちのセキュリティアーキテクチャと、実際に直面している脅威環境とのギャップです。
私たちは外部攻撃者の検知に最適化されたシステム——ファイアウォール侵害、マルウェア、フィッシングキャンペーン——を構築してきました。一方で、正規の採用プロセスを通って入り込み、数か月にわたり勤勉に働いたのちに本当の目的を起動させる、忍耐強い「資格を持つ内部者」への備えは大幅に不足しています。
北朝鮮のIT労働者キャンペーンは、既存のセキュリティ枠組みにきれいに収まらないハイブリッド脅威です。内部脅威(実際の従業員で忠誠の葛藤があるわけではない)でもなく、典型的なAPT(データ窃取だけでなく収益化もする)でもなく、単なる詐欺(実際に仕事はしているが虚偽の前提)でもありません。
監視の倫理という問い
ここには検討に値する興味深い緊張関係があります。国家支援の侵入を検知したのと同じキーストローク監視や行動分析は、侵襲的な従業員監視のために武器化され得るのです。Amazonの正当なセキュリティ上のユースケースは、多くの人がディストピア的だと感じる生産性監視へ向かう企業トレンドと並存しています。
違いは、おそらく目的と範囲にあります。地理的異常を検知するためにネットワーク遅延の集計パターンを監視することは、個人の生産性指標を追跡したり、パフォーマンス管理のためにすべてのキーストロークを読むこととは質的に異なります。しかし技術的能力は大きく重なっています。
実践的な提言
Amazon規模のセキュリティ運用を持たない組織向けに:
本人確認から始める:Certnのようなサービスは、偽の身元の兆候を多く捕捉できる強化された身元調査を提供します。LinkedInプロフィールやデジタル資格情報だけに依存しないでください。
地理的一貫性チェックを実装する:米国居住を名乗るなら、接続は一貫して米国のインフラから発生するはずです。突然のVPN利用や海外IPアドレスは調査に値します。
面接でのカルチャーフィット検証:地域文化、時事、近隣の具体的な話題について質問する。北朝鮮の工作員は技術的には有能ですが、本物の文化的知識には苦戦します。
恐喝の試みに備えて監視する:一部の作業者は、アクセス獲得後に恐喝へ転じ——支払いがない場合に専有データを漏えいすると脅します。このシナリオに備えたインシデント対応手順を用意してください。
請負関係を精査する:採用パイプライン全体を可視化する。契約作業者はどこから来るのか?派遣会社はどのような検証を行うのか?会社機器を受け取り設定するのは誰か?
Rewards for Justiceを有効活用する:米国務省は北朝鮮のIT労働者に関する情報に最大500万ドルを提供しています。侵入が疑われる場合、通報にはセキュリティ上の成果を超えた金銭的インセンティブがあります。
より大きな全体像
北朝鮮のサイバー作戦は、2025年だけで推定20億ドル超の暗号資産を盗み、全キャンペーン合計では60億ドル超の窃取に達しています。IT労働者スキームは、国家主導で大規模に運用される高度なサイバー犯罪装置における、数ある収益源の1つにすぎません。
NHSの病院を麻痺させた壊滅的なWannaCry攻撃から、記録破りの暗号資産強奪まで、北朝鮮は技術的洗練と戦略的忍耐の双方を示し、複数の攻撃ベクトルにまたがる持続的キャンペーンを同時に遂行できることを証明してきました。
これが特に効果的なのは非対称性にあります。北朝鮮のオペレーターは、異なる人格を使って同時に複数の仕事をこなし、政権に対する価値を増幅させる一方で、米国企業は同じ「従業員」をめぐって知らぬ間に競り合うことになります。
Amazonの110ミリ秒検知は、実質的に産業スパイの軍拡競争とも言える状況における、稀な勝利を示しています。検知された北朝鮮の作業者1人につき、数十人がフォーチュン500企業、政府請負企業、テクノロジー企業のシステムに埋め込まれたままである可能性が高いのです。
不都合な問いは、あなたの組織が標的にされたかどうかではありません。標的にされていたとして、あなたの検知能力でそれを捕捉できるのか、ということです。
戦略的文脈
IT労働者の侵入キャンペーンは、北朝鮮が世界的サイバー犯罪経済の要として位置づけられていることの一要素にすぎません。北朝鮮政権は国際制裁を回避するため、サイバー犯罪を主要な国家収入源として運用しています。これには暗号資産の窃取、ランサムウェア作戦(Qilinのようなグループへの参加を含む)、体系的な企業侵入が含まれ、いずれも北朝鮮の第53局の情報機関装置を通じて調整されています。
