北朝鮮のITスパイを採用しないために

この犯罪の規模を正確に把握するのは難しいですが、昨年の国連専門家パネルの報告によると、海外（主に中国や東南アジア）で働く北朝鮮のIT労働者は約3,000人、北朝鮮国内で活動する者がさらに1,000人おり、年間2億5,000万ドルから6億ドルの収益を上げていると推定されています。

これらの手口は、事実上国家公認の犯罪組織であり、核兵器開発計画に対する金融制裁を受けている北朝鮮政権による不正な収益獲得活動の一環であり、同国のサイバースパイ活動の要素でもあります。

最近の傾向としては、ディープフェイク技術の利用、恐喝詐欺、ヨーロッパへの進出拡大などが挙げられます。2025年には、北朝鮮の工作員がサイバーセキュリティ職にも焦点を広げ、女性の偽装人格の利用も増加したと、Sophos Counter Threat Unit Research Teamが報告しています。

数百万ドル規模の偽装労働者グループが摘発

米国財務省は2022年にこの手口について初めて警告しました。北朝鮮出身の高度なIT技術者数千人が、世界中のクライアント（北米、ヨーロッパ、東アジアを含む）からソフトウェア開発のフリーランス契約を獲得するため、需要を利用しています。

「北朝鮮（DPRK）のIT労働者は通常、悪意あるサイバー活動とは異なるIT業務に従事していますが、契約者として得た特権的アクセスを利用して、北朝鮮による悪意あるサイバー侵入を可能にしています」と財務省は警告しています。

「これらのIT労働者は、海外の知人を頼ってフリーランスの仕事を得たり、顧客とより直接的にやり取りしたりしています」とも付け加えています。

北朝鮮のIT労働者は、韓国人、中国人、日本人、東欧人、あるいは米国在住のテレワーカーを装って活動しています。

SentinelOneの調査によると、北朝鮮のフリーランサーは、中国、ロシア、東南アジア、アフリカにあるソフトウェア開発や技術コンサルティング会社を装ったフロント企業を利用し、身元を隠して欧米企業の仕事を獲得しています。

財務省の最初の警告以来、こうした偽装の実例がますます明らかになっており、継続中の訴追を通じて特に顕在化しています。

例えば、アリゾナ州リッチフィールドパークのクリスティーナ・チャップマンは、詐欺、身分盗用、マネーロンダリングの罪で有罪判決を受け、2025年7月に収監されました。彼女は、北朝鮮のIT労働者が盗まれた身分を使って米国市民や居住者を装い、300社以上の米国企業と2つの国際企業で仕事を得るという巧妙な計画を主導しました。この共謀により、2020年10月から2023年10月までの3年間で1,700万ドル以上の不正収益が生み出されました。

米国の決済プラットフォームやオンライン求人サイトのアカウントが悪用され、主要テレビ局、自動車メーカー、シリコンバレーのテクノロジー企業、航空宇宙企業など、幅広い企業での仕事が得られていました。「これらの企業の一部は、北朝鮮のIT労働者グループによって意図的に標的にされていました」と米国の検察当局は述べており、米国政府機関2つも「標的にされたが、成功しなかった」と付け加えています。

チャップマンは「ラップトップファーム」を運営し、自宅内に海外IT労働者のコンピュータを設置して、あたかも米国内にあるように見せかけていました。彼女（50歳）は給与小切手を受け取り偽造し、給与の直接振込も自分が管理する銀行口座を通じてマネーロンダリングしていました。

• リモートアクセスツールのために、セキュアアクセスサービスエッジツール（例：Zscaler/Netskope）を無効化し、より寛容な環境を作る。
• ある組織で得た特権アクセスを悪用し、別の組織に侵入する。これはしばしば、VMware HorizonやCitrix XenDesktopなどのVDIウェブアプリケーションを利用して行われます。

脅威インテリジェンス機関Flashpointの調査により、北朝鮮の脅威アクターが使う戦術や手順のさらなる詳細が明らかになりました。

米国の検察当局が発見した通り、HelixやBaby Boxなどの偽の米国企業が履歴書の経歴を盛るためや、偽の推薦状を提供するために使われていたことが確認されました。

偽企業からのメールは、パキスタン・ラホールにある侵害されたホストに紐付けられていました。このホストには韓国語入力システムがインストールされ、中国のタイムゾーンが設定されていました。

Flashpointの研究者はこのホストに侵入し、さまざまな企業の人事サイトや求人掲示板の保存された認証情報が多数見つかり、2023年を通じて数十件のIT職に集中的に応募していたことが示されました。

研究者は、英語と韓国語の間で多数の翻訳を行ったGoogle翻訳のURLも発見しました。

また、研究者は、会議でカメラの使用を求めないようマネージャーを説得する方法や、声の変換・吹き替えについての議論など、アドバイスやノウハウが書かれた多数のメッセージも発見しました。

「一部のメッセージでは、計画に参加しているリモートワーカーが新しい仕事を見つけられなかったり、場合によっては正体がバレた可能性があることに対する苛立ちや失望も表現されていました」とFlashpointは報告しています。

KnowBe4、セキュリティ意識の教訓を得る

この種の不正行為が標的企業の視点でどのように展開されるかは、セキュリティ意識ベンダーKnowBe4が2024年7月に、知らずに北朝鮮のITスパイを雇ってしまったと率直に認めたことで明らかになりました。

新規採用者は、勤務用ノートパソコンにマルウェアを感染させた後、事件が発覚すると身を隠し、セキュリティ対応スタッフとの連絡を拒否しました。

KnowBe4の社内IT AIチームに採用されたこのソフトウェアエンジニアは、ビデオ面接やバックグラウンドチェックを通過していました。「求職者は有効だが盗まれた米国の身分証を使っていました」。重要なのは、応募時の写真がAIツールで加工されたストックフォトだったことが後に判明した点です。

新規採用者は入社手続きを完了できなかったため、KnowBe4のシステムにはアクセスできませんでした。その結果、データ漏洩は発生しませんでした。「不正アクセスはなく、KnowBe4のシステム上でデータの損失、漏洩、持ち出しは一切ありませんでした」と同社は述べており、この一件を「学びの機会」としています。

「数千人」の北朝鮮IT労働者が職を探している

増え続ける多くの証拠から、KnowBe4は違法な北朝鮮IT労働者に狙われた多くの組織の一つに過ぎないことが示唆されています。

Google傘下の脅威インテリジェンス企業Mandiantは、昨年「数千人の高度なスキルを持つ北朝鮮IT労働者」が仕事を探していると報告しました。

「これらの労働者は世界中のクライアントからフリーランス契約を獲得しています…主に合法的なIT業務に従事していますが、北朝鮮による悪意あるサイバー侵入を可能にするためにアクセスを悪用した例もあります」とMandiantは述べています。

WannaCryの開発やバングラデシュ銀行からの8,100万ドル強奪事件で悪名高い北朝鮮サイバースパイ、パク・ジンヒョク（PJH）が使っていたメールアドレスが、米国でのサイバー犯罪起訴前に求人サイトで確認されていました。「ソニー攻撃（2014年）と逮捕状発行の間、PJHは他の北朝鮮IT労働者とともに求職プラットフォームに現れていました」とMandiantは述べています。

CrowdStrikeは、北朝鮮のグループ「Famous Chollima」が100社以上に偽装IT専門家を送り込んだと報告しています。米国を中心に、航空宇宙、防衛、小売、テクノロジー企業などが標的となり、偽装労働者は雇用を維持しつつ、データの持ち出しや正規のリモート監視・管理（RMM）ツールをインストールして、複数のIPアドレスから被害者システムへの接続を可能にしようとしました。

北朝鮮の偽IT労働者は、セキュリティベンダーExabeamとの面接でディープフェイクビデオ技術を使おうとしましたが、すぐに見破られました。しかしAI技術が進化するにつれ、こうした手口の検出はますます困難になるだろうと、ExabeamのCISOケビン・カークウッドは警告しています。

脅威インテリジェンス企業Secureworksは、2024年の脅威レポートで、偽IT労働者詐欺が進化しており、被害企業に雇用された後に機密情報や知的財産を盗み、法外な支払いを要求する事例が複数確認されたと述べています。

大陸を越えて

北朝鮮のIT労働者詐欺はヨーロッパにも拡大しています。

米国が依然として主要な標的ですが、法執行機関の対応や認知度の向上により障壁が高まったため、詐欺師たちはヨーロッパ企業を標的にし始めていると、Googleの調査は指摘しています。

例えば、疑わしい北朝鮮労働者が、英国でウェブ開発、ボット開発、CMS開発、ブロックチェーン技術などのプロジェクトに従事していた事例があります。

これは「従来のウェブ開発から先進的なブロックチェーンやAIアプリケーションまで幅広い技術的専門性を持つ」ことを示していますとGoogleは述べています。

別の調査では、ドイツやポルトガルで職を探すIT労働者の偽装人格も明らかになっています。

北朝鮮のIT労働者は、Upwork、Telegram、Freelancerなど様々なオンラインプラットフォームを通じて仕事を得ています。報酬は暗号通貨、Wise送金サービス、Payoneerなど様々な方法で求められていました。

恐喝の手口

Googleは、北朝鮮IT労働者グループによる雇用後の恐喝行為が以前より増加していると付け加えています。

「最近解雇されたIT労働者が、元雇用主の機密データを公開する、または競合他社に提供すると脅迫しました」とGoogleの研究者は報告しています。「このデータには、独自データや社内プロジェクトのソースコードが含まれていました。」

以前は、解雇された北朝鮮IT労働者は推薦状を得ようとしたり、再雇用を試みたりしていましたが、法執行機関の対応や認知度の向上により、一部グループはより攻撃的な手段を取るようになったとGoogleは指摘しています。北朝鮮グループは企業の仮想化インフラ内での活動も始めていると、Googleは2024年4月に警告しました。

検出は「困難」

チャットボットを使い、「潜在的な採用者」は履歴書を完璧に仕上げ、さらにAI生成のディープフェイクを使って実在の人物を装っています。

北朝鮮の工作員は、ビデオ面接時に顔を変えるソフトウェアを使ったり、AIアシスタントを使ってリアルタイムで質問に答えることが一般的です。

元米空軍情報分析官でSysdigのサイバーセキュリティ戦略家クリスタル・モリン氏はCSOonlineに対し、「北朝鮮は主に米国政府機関、防衛請負業者、IT労働者を雇うテクノロジー企業を標的にしている」と語りました。

「ヨーロッパや他の西側諸国の企業もリスクにさらされています」とモリン氏は述べています。「北朝鮮のIT労働者は、国家の兵器開発資金調達やサイバースパイ活動のために職を得ようとしています。」

モリン氏はさらに、「場合によっては、知的財産を盗み、それを使って自国の模倣技術を作るためにテクノロジー企業での職を狙うこともある」と付け加えました。

「彼らは実在の人物であり、ソフトウェア開発の実力も本物なので、必ずしも検出が容易ではありません」と彼女は警告します。

対策

ITマネージャーやCISOは、人事部門と連携し、応募者の審査をより厳格に行う必要があります。追加の技術的管理も有効かもしれません。

推奨されるプロセス改善の提案は以下の通りです：

• リモートワーク希望者とはライブビデオチャットを行い、これまでの仕事について質問する
• 履歴書や職務経歴書に一貫性があるか確認する
• 推薦者に電話して、メールでの推薦内容を確認する
• 提出された住所を確認する
• アクセス制御や認証プロセスを見直し、強化する
• 貸与機器がリモートアクセスの踏み台に使われていないか監視する

採用後のチェックも継続が必要です。KnowBe4によると、VPNや仮想マシンを使って会社システムにアクセスする巧妙な手口にも注意が必要です。提供された連絡先情報にデジタルフットプリントがない、VoIP番号が使われている場合も警戒すべきサインだと同社は付け加えています。

マネージドサービスプロバイダーHuntressのリードテクニカルリクルーター、デイビッド・フェリーニョ氏はCSOonlineに次のように語っています。「経歴が良すぎる場合、つまり他人のプロフィールを盗用しているか、現在地を偽っているかを見極めるために、複数段階の確認プロセスを設けています。まず、候補者がLinkedInプロフィールを提供しているか確認し、履歴書と照合します。もし履歴書がNYCなのにLinkedInがポーランドなら、それは偽の履歴書です。」

「もし一致していても、そのLinkedInプロフィールが最近作成され、つながりやフォロワーがいない場合も要注意です。」

Huntressでは、応募者が提供した電話番号が有効かも確認し、Google検索も行っています。

「これらを実施することで多くの時間を節約できますし、少しでも不一致があれば偽プロフィールだと分かります。こうした事例は非常に多いです」とフェリーニョ氏は結論付けています。

KnowBe4のCISO、ブライアン・ジャック氏も、偽のリモート従業員や契約者はすべての組織が警戒すべき存在だと同意し、「CISOは組織の採用プロセスを見直し、リスク管理の実践に採用も含めるべきです」と述べています。

ジャック氏は、採用チームは履歴書や推薦状をより厳密に確認し、面接している人物が実在し、本人であることを確かめる訓練を受けるべきだとアドバイスしています。最善策は、候補者に政府発行のIDを持参させて対面で会うか、バックグラウンドチェック会社など信頼できる代理人を利用することです。特にAIがこうした採用詐欺に使われるようになっている今は重要です。

「私が採用マネージャーとして好きなのは、準備しづらく、AIが即座に答えにくい質問をいくつか投げかけることです。本当に本人なら簡単に話せる内容です」とジャック氏は述べています。