若い開発者たちは人生最高の時間を過ごしている。スパークリングワインを開け、ステーキディナーを食べ、一緒にサッカーをし、豪華なプライベートプールでくつろぐ彼らの様子は、後にオンラインで公開された写真に収められている。ある写真では、男性が等身大のミニオンの段ボールの切り抜きの前でポーズをとっている。しかし、彼らの活気にもかかわらず、彼らはシリコンバレーで成功した起業家ではない。彼らは北朝鮮の隠遁王国のIT労働者であり、欧米企業に潜入して給料を母国に送金しているのだ。
2024年初頭までにロシアに移転する前に東南アジアの国ラオスを拠点に活動していたとされる北朝鮮の開発者集団のメンバー2人が、本日、サイバーセキュリティ企業DTEXの研究者によって特定された。 DTEXによると、この2人は「ナオキ・ムラノ」と「ジェンソン・コリンズ」というペルソナを使用していたとみられており、広範囲に蔓延するIT労働者の蔓延の一環として、北朝鮮の残忍な政権への資金調達に関与していたとされている。ムラノは昨年、暗号資産企業DeltaPrimeで600万ドルの強盗事件に関与したとされる。
長年にわたり、金正恩の北朝鮮は最も洗練され[危険な]韓国はサイバー攻撃を仕掛け、西側諸国や企業に脅威脅威を及ぼし、ハッカーらが韓国独自の技術開発に必要な知的財産を盗み、制裁を逃れて核兵器を製造するために数十億ドル相当の暗号資産を略奪している。 2月、FBIは北朝鮮が史上最大の暗号資産強盗を実行し、暗号資産取引所Bybitから15億ドルを盗んだと発表しました。北朝鮮の熟練したハッカーに加え、中国やロシアに拠点を置くことが多い平壌のIT労働者は、企業を騙してリモートワーカーとして雇用させており、ますます大きな脅�威となっています。
北朝鮮のサイバーセキュリティ研究者でDTEXの主任研究員であるマイケル・「バーニ」・バーンハート氏は、「私たちの取り組みは効果がなく、たとえ効果があったとしても、そのスピードは十分ではありません」と述べています。 DTEXは、北朝鮮のサイバー活動に関する詳細なレポートの中で、ムラノ氏とコリンズ氏を特定しただけでなく、北朝鮮のIT労働者の活動に関連していると特定された1,000件以上のメールアドレスも公開しています。これは、北朝鮮のIT労働者の活動に関するこれまでで最大の暴露の一つです。
北朝鮮の広範なサイバー活動は、ロシアや中国などの他の敵対国のそれと比較することはできないと、バーンハート氏はDTEXのレポートの中で説明しています。平壌は、従来の軍事活動や諜報活動ではなく、「国家公認の犯罪シンジケート」のように活動しているからです。バーンハート氏によると、すべては政権への資金提供、兵器開発、情報収集によって推進されています。「すべてが何らかの形で結びついています。」
はみ出し者たちの侵入
DTEXは、2022年から2023年頃、ナオキ・ムラノとジェンソン・コリンズ(本名は不明)の両名がラオスを拠点とし、ロシアのウラジオストクとの間を行き来していたと主張している。2人はラオスにいた北朝鮮系と思われる人々の集団の中に現れ、彼らの写真がDropboxの公開フォルダで初めて公開された。写真は、バーンハートと頻繁に協力し�、自らを「はみ出し者」同盟と呼ぶ北朝鮮研究者集団によって発見された。ここ数週間、彼らは北朝鮮のIT労働者とされる多数の画像をオンラインに投稿しています。
北朝鮮のIT労働者は活発な活動を行っており、盗んだIDを使用したり、偽のペルソナを作成して正当な企業に見せかけたりすることで、複数の企業に同時に侵入しようとするケースが多く見られます。フリーランスプラットフォームを利用する者もいれば、国際的な仲介業者を募集してラップトップファームを運営しようとする者もいます。彼らのオンライン上のペルソナは偽物かもしれないが、何百万人もの人々が基本的人権やインターネットへのアクセスを享受できないこの国は、才能ある子供たちを教育パイプラインへと導き、熟練した開発者やハッカーへと育成している。つまり、IT労働者やハッカーの多くは、おそらく子供の頃から知り合いである可能性が高い。彼らは技術に精通しているにもかかわらず、しばしばデジタルの痕跡を後に残していくのだ。
ムラノ氏が北朝鮮の活動に関与していたことが初めて公に明らかになったのは、仮想通貨調査員のZachXBTによるもので、同氏は昨年、20人以上の北朝鮮IT労働者氏の名前、仮想通貨ウォレットの詳細、メールアドレスを公開した。その後、10月にはCoinbaseによる報道でムラノ氏がDeltaPrime強盗に関与していたことが報じられた。ミスフィッツのメンバーは、ムラーノがステーキを食べながら満足そうにしている写真や日本のパスポートと思われる写真を共有した。
一方、DTEXの報道に含まれ、Dropboxフォルダにプールの写真が含まれていたコリンズ氏は、平壌に収益をもたらすIT業務に最もよく関わっていたと、ミスフィッツのメンバーでオンラインハンドルネームを明かすことを希望したnarcass3氏は述べている。 「彼は主に暗号資産/ブロックチェーンプロジェクトに携わっていたようです。その中には、北朝鮮が完全に支援しているか、主にIT労働者で構成されていると思われるプロジェクトも含まれていました」とnarcass3は述べています。
サイバーセキュリティ企業パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」のコンサルティング・シニアマネージャー、エヴァン・ゴーデンカー氏は、DTEXなどのメディアが特定した2人のペルソナと、ラオスを拠点とする北朝鮮労働者集団について精通していると述べています。ゴーデンカー氏によると、このグループは大量の求人応募を行い、偽のペルソナを作成し、潜在的な共犯者を探していたとのことです。「彼らは、一部のIT労働者グループには見られないようなレベルの自律性も享受しているように見えました」とゴーデンカー氏は言います。「それがより多くの資金と特権を獲得していたからなのか、それともた��またまそのような活動を行うグループリーダーがいたからなのかは分かりません。」
WIREDがムラノ氏の名前のメールアドレスに連絡したところ、返信がありませんでした。一方、コリンズ氏名義のメールアドレスはコメント要請に返答しなかった。
ありふれた光景に潜む
平壌のIT労働者は10年近く活動を続けてきたが、フォーチュン500企業が意図せず北朝鮮人を雇用していたことに気づいたことで、過去12ヶ月で彼らの活動への注目が高まっている。バーンハート氏によると、ハッカーとIT労働者のチームには金正恩政権によって「収入ノルマ」が設定されており、IT労働者は複数の北朝鮮軍および諜報機関から派遣されているという。あるIT労働者は月収5,000ドルのうち200ドルを手元に残すことができるとバーンハート氏は述べている。
DTEXレポートでバーンハート氏が公開したサイバー組織図によると、金銭を稼ぐだけでなく窃盗も行う可能性のある悪意のあるIT労働者は、最近明らかにされた227研究センターと呼ばれるAI組織に所属している。この組織は、主要な情報機関である偵察総局の一部であり、他の者は国防省のチームに所属している。仕事から収益を得ることだけを目的としているIT労働者は、軍需産業部に所属している可能性があると、この研究は述べている。
IT労働者をめぐる監視が最近比較的厳しくなっているのは、米国政府の取り締まり強化を背景にしている。2023年5月には、ラオスとロシアでIT労働者を雇用しているとして北朝鮮企業Chinyong Information Technology Cooperation Company�を制裁対象とした。また、今年初めには、北朝鮮のフロント企業2社と中国およびラオスに拠点を置くその親会社が米国財務省から制裁対象とされた。財務省によると、IT労働者グループは北朝鮮政権に「数億ドル」の利益をもたらしており、数千人のIT労働者が世界中に派遣されている。
「IT労働者は数の力でリモートワークの求人に大量に応募している」と、ソフォスの脅威対策部門で脅威インテリジェンス担当ディレクターを務めるレイフ・ピリング氏は語る。つまり、彼らはしばしばミスを犯しているということだ。 「彼らは非常に速いペースで活動しているため、履歴書やツールのGitHubリポジトリを公開したり、コードやスクリプトにコメントを残したり、履歴書に誤りがあって偽物だと見破られやすくしたり、面接中にカメラの前で失言して策略が露呈したりするといったミスを犯す可能性があるようです。」
DTEXは、ムラノ氏とコリンズ氏を特定しただけでなく、調査や研究者との協力を通じて収集された、北朝鮮のITワーカー活動に関係するとされる1,000件以上のメールアドレスも公開しました。バーンハート氏によると、各メールアドレスは複数の情報源から提供されたものだという。WIREDがオープンソースのインテリジェンスツールとオンラインで流出した資料のデータベースを用いて20件近くのメールを分析したところ、本物のオンライン行動の兆候が見られるものはほとんどなく、一部のメールアドレスはオンライン開発ツールやフリーランスのウェブサイトにリンクされている一方、オンラインでの存在感がほとんどないメールアドレスもありました。
「ペルソナの再利用がかなり多く、中には何年も使い回されているものもあります」と、Unit 42のゴーデンカー氏は述べています。ゴーデンカー氏によると、他のペルソナは一度しか使用されない場合もあるが、詐欺師は必要に応じてすぐに新しいペルソナを作成できるという。「例えば、効果的なペルソナは、生涯で4つ、5つ、あるいは6つの異なる職に就くこともあるでしょう。」
IT労働者の身元が判明するにつれ、彼らは身元特定を困難にするための戦術をますます巧妙化している。複数のサイバーセキュリティ研究者が、北朝鮮の人々がビデオインタビュー中に顔を変えるソフトウェアを使用したり、AIアシスタントを使ってリアルタイムで質問に答えたりしているのを発見している。
顔を変える
IT労働者は狭い部屋の真ん中に立ち、ポーズをとって写真を撮っている。壁の時計は11時30分を指している。背景には、軍服を着た他の3人の男性がコンピューターに覆いかぶさっている。写真には部屋の奥に洗濯物が掛けられているのが写っており、この写真はDTEXが初めて公開した。 「この一枚の写真には、多くのことが隠されている」とバーンハート氏は言う。
バーンハート氏によると、この写真についてはまだ多くのことが分かっていないものの、IT労働者集団の活動状況についていくつかの詳細が明らかになっているという。写真の右端にいる男性の一人は、コンピューター画面でWhatsAppのメッセージを開いており、複数のチャットが行われているようだ。彼の頭上の壁には監視カメラが設置されている。
「国家保安部(MSS)は、彼らが脱北者にならないように監視している」とバーンハート氏は言う。MSSとは、北朝鮮の防諜機関であり秘密警察でもある国家保安省のことだ。男性たちは狭い作業スペースを拠点としているため、IT労働者の中では序列が下位に位置する可能性が高く、他の北朝鮮の労働者と同様に、コンピューター使用時にデジタル監視を受けることになるだろうと彼は言う。バーンハート氏によると、IT労働者がデバイスに入力・送信する内容を監視するソフトウェアが見つかっているという。「彼らはそれを嫌っている」と彼は言う。 「性的な画像や性的な内容が話題になったり、金正恩氏について言及されたりするたびに、外部サーバーにフラグが送信されます。」他の研究者たちは、IT職員と思われる人物が「金正恩氏はどれくらい太っているのか?」という質問をされた際に面接を終えるという質問をされたことを目撃しています。
部屋にいる男性たちの実際の居場所は不明ですが、中央の人物のポートレート写真が偽の人物像を作るために利用された兆候があります。バーンハート氏がその後入手した画像には、男性が様々な服を着せられ、漫画風の顔のイラストに加工されている様子が写っています。
「生え際をいじっている様子や、顔立ちを変えている様子、つまりプロフィールを整えている様子が分かります」とバーンハート氏は言います。革ジャンを着たマーティンの写真が、自称Web3およびフルスタック開発者「ベンジャミン・マーティン」のウェブサイトに掲載されている。
マーティンのオンライ��ン履歴書に記載されている企業のうち2社は、IT労働者の写真から北朝鮮人に見える以外、マーティンのペルソナについて聞いたことはなく、ましてや彼を雇用したこともないとWIREDに語っている。そのうち1社は、マーティンのペルソナで勤務していた期間の大半は、正式に法人化されていなかったと述べた。マーティンは開発者ウェブページに記載されているメールアドレスに送ったメッセージに返信しなかったが、マーティンのウェブサイトに掲載されている電話番号にリンクされたTelegramアカウントは、北朝鮮のIT労働者であるかどうかの質問に対し、中国語のみで「はい」と回答した。
バーンハート氏は、北朝鮮のハッカーやIT関係者が、グループや手法を流動的に使いながら、どのように活動しているかを最終的に理解し、彼らの活動に重大な妨害を加える必要があると指摘する。「私たちは焦点を再び定め、体制を再構築する必要があります」とバーンハート氏は語る。「北朝鮮はすでに次の目標へと移行しており、今や下請け業者に情報を提供し、さらに難読化を進めているのです。」