Tara Seals、ニュース編集長、Dark Reading
2025年7月25日
読了時間:6分
出典:Yury Zap(Alamy Stock Photo経由)
アリゾナ州の「ラップトップファーマー」が、北朝鮮IT労働者の米企業への潜入を支援し、金正恩政権のために1,700万ドルの不正資金を集めたとして、8年半の実刑判決を受けることになった。しかし、このニュースは正義のほんの一滴に過ぎず、北朝鮮が米企業から給与を吸い上げる取り組みがすぐに衰えることはなさそうだ。したがって、米国の組織はこの脅威の大きさを理解する必要がある。
北朝鮮による複数年にわたる人事部門の侵害活動には、隠遁国家の核開発プログラムなどの資金を給与で稼ぐこと、さらに企業ネットワーク内に足場を築き、暗号資産マイナーや機密情報窃取用マルウェアを仕込むこと、という2つの目的がある。
応募者は通常、巧妙に作られたソーシャルメディアプロフィール、AIで加工された写真やディープフェイク、盗用した身分証明などを駆使して、身元調査を通過する。採用後は、米国内の共犯者が会社支給のラップトップや機器を受け取り、リモートで接続できるようにする。ここでクリスティーナ・マリー・チャップマンが登場する。
チャップマンは、北朝鮮が309社の米企業に労働者を送り込むのを支援した罪を認めており、今週、懲役102か月(約8年半)と約45万ドルの支払いを命じられた。彼女は複数の共犯者が関与する広範な事件の要となっており、法執行機関はIT労働者スキームを可能にする支援者ネットワークの解明に注力している。
「チャップマンは『ラップトップファーム』を運営し、米企業から受け取ったコンピューターを自宅で保管・設置して、企業側に労働者が米国内にいるように見せかけていた」と、米司法省の発表は述べている。「チャップマンはまた、米企業から供給された49台のラップトップやその他の機器を海外に発送し、その多くは北朝鮮国境に近い中国の都市に送られていた。2023年10月の捜索令状執行後、チャップマン宅から90台以上のラップトップが押収された。」
ラップトップファーマーは、DTEX Systemsの最近のレポートによれば、繁栄するIT労働者エコシステムの一側面に過ぎないことに注意が必要だ。
「北朝鮮のサイバー作戦は、従来の国家プレイブックに挑戦している。暗号資産の窃盗、諜報活動、核開発の野望を、利益・忠誠・生存を原動力とした自給自足のシステムに融合させている」と、DTEXアドバイザリーボードのメンバーで元米国家情報副長官のスー・ゴードン氏は声明で述べている。「これを家族経営のマフィア組織と認識することで、サイバー犯罪と国家活動の境界線が曖昧になる。本レポートは彼らの内部構造と心理を明らかにし、すでに我々の労働力にどれほど深く入り込んでいるかを示している。次の動きを予測するための文脈を提供する。」
出典:DTEX Systems
被害を受けた企業は多岐にわたり、主要テレビネットワーク、銀行、シリコンバレーのテクノロジー企業、複数のフォーチュン500企業、航空宇宙メーカー、自動車メーカー、高級小売店、米国のメディア・エンターテインメント企業などが含まれると、司法省は述べている。
「リモートワークフォースは、国家サイバーセキュリティの弱点として悪用される可能性がある」と、Check Pointのセキュリティアーキテクト、アーロン・ローズ氏はメールで述べている。「効果的な本人確認や脅威防止がなければ、最も安全な組織でさえ侵入される可能性がある。」
彼はさらに、「これは単なる詐欺の問題ではなく、目に見える形で隠れているデジタル諜報活動だ。盗まれた身分証明で敵対者がネットワークにアクセスできるようになれば、もはやデータ漏洩の話ではなく、国家安全保障の侵害の話になる。これは犯罪行為と国家支援活動の境界がいかに曖昧になっているかの一例だ。今日のサイバーセキュリティは、データ保護だけでなく、民主主義の保護でもある」と述べている。
2024年の国連報告書では、推計として、北朝鮮IT労働者が年間2億5,000万ドルから6億ドルの収益を生み出しているとされる。個々の労働者は年間平均30万ドルを稼ぐことができるが、実際に手元に残るのは賃金の20%未満であり、体制側が多額の資金を得ていることになる。
このサイバー部隊は拡大中でもある。韓国国家情報院は昨年報告したところによると、北朝鮮のサイバー部門の人員は2022年の6,800人から2024年には8,400人へと2桁成長を遂げている。国連によれば、偽IT労働者だけでも最大4,000人に上るという。
これらのリソースはすべて、大規模な攻撃となって現れており、即時の対応が求められる。セキュリティベンダーのSentinelOneは、4月の報告で、「北朝鮮IT労働者作戦に関連する約360の偽の人物と1,000件以上の求人応募を追跡しており、その中にはSentinelLabsのインテリジェンスエンジニアリングチームへの大胆な応募も含まれていた」と述べている。
北朝鮮スキームの共犯者、判決を待つ
チャップマンとウクライナ人共謀者のオレクサンドル・ディデンコは、2024年5月に加重身分盗用、米国詐欺共謀、資金洗浄・電信詐欺・身分詐欺・銀行詐欺の共謀で起訴された。
ディデンコは判決を待っているが、最大67.5年の懲役刑に直面している。彼は、完全な偽身分作成サービスを提供するウェブサイト「upworksell.com」を運営していたと有罪判決を受けている。サービス内容には米国アカウント作成、携帯電話用SIMカードレンタル、送金などが含まれていた。
「ディデンコは、偽身分でリモートIT業務を希望する個人が自分を売り込めるよう、フルサービスを提供していたとされる」と、昨年の起訴状の発表は述べている。「ディデンコは約871の『プロキシ』身分を管理し、米国の3つのフリーランスIT採用プラットフォームのプロキシアカウント、3つの米国送金サービスのプロキシアカウントを提供していたとされる…さらに、少なくとも3つの米国内ラップトップファームの運営を支援し、一時は約79台のコンピューターを設置していた。」
他の共謀者は依然として逃亡中であり、司法省によると、ジホ・ハン、ハオラン・シュウ、チュンジ・ジンという偽名で記載された3人の外国人が含まれている。
「北朝鮮の脅威アクターが制裁回避の手段として身分盗用を使い続けているのは驚くことではない」と、元米国家安全保障局(NSA)ハッカーでIANS Research教員、Hunter StrategyのR&D副社長であるジェイク・ウィリアムズ氏は述べている。「これは、新規採用者に対する厳格な身元確認や詳細なバックグラウンドチェックの必要性を強調している。セキュリティチームは、何かおかしな点を見つけた場合、特に新規採用者やIT労働者については、必ず調査する必要がある。」
米企業が北朝鮮人の採用を回避する方法
チャップマンのニュースは、司法省による一連の逮捕や、米国内の北朝鮮支援者に関する発表の最新事例である。しかし、法執行機関の監視があっても、こうした取り組みは今後も続く可能性が高く、米国企業は常に警戒を怠らない必要がある。
チャート:Dark Reading(司法省のセキュリティ提案に基づく)
「北朝鮮が手法を高度化させるにつれ、『ラップトップファーム』の必要性は消えていくだろう」と、元NASAチーフクラウドアーキテクトでPolyguard CEOのジョシュア・マッケンティ氏は警告する。「これは始まりに過ぎない。雇用主は準備ができていない。北朝鮮が使うAI加工の身分証明書は、簡単なバックグラウンドチェックを通過してしまう。」
ビジネスリスクは、GPSやGSMデータによる位置情報証明や、リモートデスクトップログインを防ぐプレゼンス保証など、先進的な本人確認ツールの導入によってある程度軽減できると彼は指摘する。
「『資金の流れを追う』のは犯罪追跡の標準的手法だが、いわゆる『共同雇用』や従業員間の他の身分詐称、代理候補者などに対処する広範な本人確認イニシアチブも有効だ」と彼は説明する。「次世代のディープフェイク技術を利用した『ハイブリッド』文書詐欺のため、標準的なバックグラウンドチェックではこれらの犯罪を見抜けない。」