レポート 5364

関連インシデント

インシデント 111838 Report
Ongoing Purported AI-Assisted Identity Fraud Enables Unauthorized Access to Western Companies by North Korean IT Workers

Loading...
北朝鮮の工作員が数百社のフォーチュン500企業に潜入
cyberscoop.com · 2025

サンフランシスコ発――北朝鮮国籍者は、これまで考えられていた以上に世界有数の企業の従業員層に浸透しており、ITインフラや機密データに対する脅威は広範かつ潜在的に拡大している。

「フォーチュン500企業の中には、北朝鮮出身のIT労働者を雇用している企業が数百社ある」と、マンディアント・コンサルティングのCTO、チャールズ・カーマカル氏は火曜日、RSAC 2025カンファレンスの記者会見で述べた。

「文字通り、フォーチュン500企業のすべてが、北朝鮮出身のIT労働者を少なくとも数十件、場合によっては数百件も応募している」とカーマカル氏は述べた。「北朝鮮出身のIT労働者問題について私が話を聞いたCISOのほぼ全員が、少なくとも1人、場合によっては12人、あるいは数十人規模の北朝鮮出身のIT労働者を雇用したことを認めている」

売上高世界トップ企業の年間ランキングで8位にランクインしているGoogleも、この広範な脅威に巻き込まれている。

Google Cloudのセキュリティエンジニアリング担当シニアディレクター、イアン・マルホランド氏によると、北朝鮮出身の技術者がGoogleの人材パイプラインで求職者や応募者として確認されているものの、現在までに採用に至った者はいないという。

脅威ハンター、インサイダーリスク管理会社、セキュリティアナリストは、北朝鮮国民が大企業に就職していることについて警鐘を鳴らし続けており、北朝鮮政権がこの取り組みのために構築したツール、インフラ、そして専門人材からなる広範なエコシステムに注目している。

MandiantとGoogleからの最新の警告と情報は、この脅威のエスカレーションを示している。インサイダーリスク管理会社DTEXは最近、CyberScoopに対し、同社の顧客基盤の7%(フォーチュン2000企業の相当数を占める)に特権アクセスを持つフルタイム従業員として働く北朝鮮工作員が侵入していると明らかにした。

北朝鮮国籍の人が大規模組織で働くリスクは、もはや可能性というレベルから、あからさまな想定へと変化した。「もしこの状況に気づいていないのなら、それは自分が気づいていないからであり、自分には起こっていないからではない」とマルホランド氏は述べた。

「彼らがフォーチュン500企業にIT人材を配置する様子は、驚くべきものだ」と、Google脅威インテリジェンス担当バイスプレジデントのサンドラ・ジョイス氏は述べた。

今のところ、この北朝鮮の専門職集団は、主に仕事で収入を得ており、その給料を平壌に送金している。

カーマカール氏は数年前、この仕組みに困惑したという。なぜなら、関わっている金額は比較的少額に見えたからだ。しかし、北朝鮮政権が稼いだ金は時間とともに蓄積され、今や莫大な収益を生み出す可能性を秘めている。

カーマカル氏によると、北朝鮮政府に6桁の給与を稼ぐIT労働者1,000人あたりは年間1億ドルに相当し、これらの工作員の多くは複数の組織で同時に複数の仕事をしているという。

「こうした活動のほとんどは、一般的に資金調達活動です」と、Google Threat Intelligence Groupのチーフアナリスト、ジョン・ハルトキスト氏は述べた。

しかし、北朝鮮工作員が技術職に就くケースが増えるにつれ、重要システムへのアクセスがもたらす潜在的な脅威も増大している。

「彼らが摘発され始めると、事態は悪化し、システムを破壊する可能性があります」とハルトキスト氏は述べた。「特に彼らの仕事が実質的に脅かされている場合、彼らがそうした行動をとる証拠を私たちは既に見ています。」

賃金の損失という形で圧力がかかっている。多くの企業は北朝鮮のIT労働者がもたらす脅威を認識しており、企業は彼らをより迅速に検知し、システムから排除している。

マンディアントは約6ヶ月前、北朝鮮が戦術を変え、暴露された従業員の賃金不足を補うために企業から脅迫し始めたという活動の変化を観察した。

カーマカル氏によると、こうした脅迫は「ごく少数のケース」に過ぎず、いくつかの形態をとっているという。元従業員が上司に連絡を取り、契約金や最終月の給与を支払わなければ、在職中にアクセスできるデータを漏洩すると脅迫するケースもあった。

また、新たな人物が被害組織にメールを送信し、ネットワークに侵入してデータを盗んだ脅威アクターを名乗るケースもあった。

「彼らが持ち出したデータのサンプルを調べたところ、6ヶ月前に実施した調査と関連付けることができ、そのデータが、北朝鮮のIT職員とみられる人物が職務の一環として企業から持ち出したデータと全く同じであることがわかった」とカーマカル氏は述べた。

「私たちが懸念しているのは、職務の一環としてデータを入手した関係者が、いつかそれをインターネット上に公開する可能性が常に存在するということです」とカーマカル氏は述べた。「まだそのような事態は起きていませんが、今日、多くの組織が抱いている懸念です。」

被害は、重要なサービスやインフラの完全な混乱など、さらに不安定な形で発生する可能性があります。

マンディアント社は、過去の破壊的・混乱的攻撃に関与したとされる北朝鮮の偵察総局が、北朝鮮のIT職員と同じIPアドレスを使用していることを確認していると、ハルトキスト氏は述べた。

「そこには様々な技術的なつながりがあり、非常に現実的な脅威だと思います」と彼は述べた。「彼らがどこにいても、それは実質的に内部のものです。ですから、諜報機関が彼らの行動をすべて文字通り監視していない限り、簡単に情報を引き渡すことができます。そして、それは非常にあり得ることだと思います。」

情報源を読む