レポート 5379

ベテランのサイバー脅威専門家が、リモートITワーカーの面接を行う採用担当者に型破りなアドバイスをしています。それは、北朝鮮の権威主義的な最高指導者を侮辱する候補者の意欲を見極めることです。

「私のお気に入りの質問は、『金正恩はどれくらい太っているのか？』といったものです」と、CrowdStrikeの敵対者対策担当シニアバイスプレジデント、アダム・マイヤーズ氏はRSACカンファレンス2025のパネルディスカッションで述べました。マイヤーズ氏は、この質問が原因で「かなりの数の」候補者が面接官との電話を切るのを見てきたと付け加えました。その理由は、制裁を逃れ、朝鮮民主主義人民共和国（DPRK）のために資金を稼ぐことを目的として、アメリカ人を装った北朝鮮国籍の候補者たちです。「北朝鮮の指導者について何か否定的な発言をしても、彼らにとって非難に値しない」とマイヤーズ氏は述べました。

米国財務省によると、北朝鮮の熟練IT労働者数千人が盗んだIDを使い、欧米企業で高給のリモートワークに従事し、金正恩政権に違法に資金を提供している。専門家は、北朝鮮が偽IT労働者制度から毎年数億ドルを受け取っており、それが国家の違法兵器開発計画に直接資金提供していると推定している。RSACパネルでは、FBIと民間部門のセキュリティ専門家が、進行中の脅威に加え、組織が北朝鮮工作員の雇用を回避し、既に北朝鮮工作員がいる場合の発見に活用できる戦略について参加者に説明した。

FBIのエリザベス・ペルカー特別捜査官によると、北朝鮮のリモートワーク労働者は一般的に、ソフトウェアエンジニア、フロントエンド開発者、フルスタック開発者の職を狙っているという。北朝鮮国籍の労働者は、高級小売チェーン、大手アメリカ自動車メーカー、シリコンバレーのトップテクノロジー企業、国内トップ5メディア企業、航空宇宙・防衛メーカーなど、フォーチュン500企業でリモートワークの職に就いている（米国司法省）。

小規模なチームも標的となっている。マイクロソフトのシニア脅威インテリジェンスアナリスト、グレッグ・シュローマー氏は、従業員わずか5人の組織が、意図せず北朝鮮のリモートIT労働者を採用しているのを目にしたことがあるという。「大規模組織は特に脆弱だと誤解されているかもしれないが、どんな組織も標的になり得る」とシュローマー氏は述べた。

北朝鮮のIT労働者にとって、求職活動は他の多くの企業と同様に、ソーシャルメディアから始まる。ロシアや中国に居住する工作員のチームは、盗んだIDと生成AI（GenAI）を駆使して偽のLinkedInプロフィールを作成し、LinkedIn、Indeed、Craigslist、サードパーティの求人サイトなどのプラットフォームで求人情報を探します。

これは高度に洗練されたネットワークであり、面接官は高度な訓練を受けています。そのため、彼らの身元を特定するのは非常に困難です。

Chris HorneUpwork トラスト＆セーフティ・インテリジェンス＆調査担当シニアディレクター

面接中に候補者がうっかりミスをしてしまうことは稀です。例えば、画面共有中に採用担当者が翻訳アプリをちらりと見てしまうなどです。しかし、そのようなミスを期待してはいけません、とフリーランス求人プラットフォームUpworkのトラスト＆セーフティ・インテリジェンス＆調査担当シニアディレクター、Chris Horne氏は警告しています。

「これは高度に洗練されたネットワークであり、面接官は高度な訓練を受けている」とホーン氏は述べた。「彼らの身元を特定するのは非常に困難だ」。GenAIとリアルタイム・ディープフェイクの進化が、この深刻な問題を急速に悪化させていると、ホーン氏は付け加えた。

北朝鮮の労働者が就職すると、通常は新しい雇用主に対し、応募書類に記載された住所とは別の住所に会社の備品を送るよう依頼する。多くの場合、家族の緊急事態やその他のもっともらしい理由を挙げて、住所変更の理由となる。その別の住所にはラップトップファームが設置されており、北朝鮮で働く米国在住者が、北朝鮮のIT労働者にリモートアクセスを提供する技術とともに、多数のデバイスを維持・管理している。

マイヤーズ氏によると、CrowdStrikeの攻撃対策チームは2024年、顧客環境における北朝鮮の活動を初めて発見した。CrowdStrikeのFalcon XDRプラットフォーム上にKVMのクラスターが出現したのに気づいたのだ。KVMはキーボード、ビデオ（モニター）、マウスの略で、ユーザーは1つのコンソールから複数のコンピューターを制御できる。CrowdStrikeはこの情報をFBIと共有し、すぐに150以上の顧客組織で北朝鮮関連の悪意のある内部関係者による活動が確認され、そのうち半数でデータ窃盗が発生した。

「顧客からの通知は非常に多く、『あなたの環境には悪意のある内部関係者である上級開発者がいます』といったものでした」とマイヤーズ氏は述べた。「被害者と話をしたところ、すべてが真の陽性反応でした。」

それ以来、CrowdStrikeは顧客の環境において悪意のある内部者による活動を発見し続けています。RSACパネルの開催までの3ヶ月間で、マイヤーズ氏のチームは90人以上の北朝鮮IT労働者が米国人を装っていることを発見したと述べています。

マイヤーズ氏によると、北朝鮮工作員は仮装を維持できれば、欧米企業で何ヶ月も働き続ける可能性があるとのことです。しかし、解雇された際には、マルウェアを残したり、盗み出したデータを持ち去ったりすることが多いとのことです。

「この脅威は非常に適応性が高い」とFBIのペルカー氏は述べています。「彼らはいつか解雇されることを承知していても、退職戦略とさらなる金銭的利益を得るための計画を持っているのです。」

ペルカー氏は、長期雇用を通じてデータ窃盗がゆっくりと着実に行われている事例を目にしてきたと述べています。「最悪のシナリオを想像してみてください。独自のAIコードが盗み出されるのです」と彼女は言います。「そして、解雇された後、データ窃盗が行われているのです。」

パネリストたちは、北朝鮮のIT労働者による悪意ある内部活動の兆候となる可能性のある以下の兆候に雇用主が警戒するよう強く促しました。

1. 配送先住所の直前変更。 新入社員が正式な雇用書類に記載されている住所とは異なる住所で会社の機器の受け取りを希望した場合、その住所はラップトップファームである可能性があります。
2. 会議出席に関する問題。 北朝鮮工作員は、特に事前の通知がない場合、会議を欠席する言い訳を頻繁に行う可能性があります。
3. 通話中の雑音。 北朝鮮のIT労働者はチームで作業するため、従業員が自宅ではなくコールセンターで作業しているように聞こえる場合があります。
4. インターネット接続の遅延。 米国外で秘密裏に勤務する従業員は、インターネット接続が異常に遅い場合があります。
5. *VPNの使用。 北朝鮮のリモートワーカーは、位置情報を隠すためにVPNサービスを使用することがあります。
6. *KVMまたはリモート監視・管理ツールの使用。 KVMやRMMツールの許可されていない使用は、組織を新たな脅威ベクトルにさらす可能性があり、最悪の場合、違法行為を示唆する恐れがあります。
7. パフォーマンスの問題。 北朝鮮の労働者は、例えば政権の収益を最大化するために複数の役割を同時にこなしている場合など、職務遂行能力に問題を抱えている可能性があります。しかしペルカー氏は、FBIは北朝鮮の労働者がチーム内で最も高いパフォーマンスを発揮している事例も確認していると警告しました。
8. デバイスの予期しない言語設定。 多言語設定（例えば、英語と中国語しか話せないと主張するユーザーのデバイスに韓国語が設定されているなど）は、警戒すべきです。

FBIと民間のセキュリティ専門家は、北朝鮮のサイバー工作員が防御側の裏をかくために戦略を絶えず変化させており、リモートワーカーの脅威への対処が困難になっていると警告しています。組織は、検知と対応において機敏性を維持する必要があります。専門家は、以下の緩和戦略から始めることを推奨しています。

• スキルテストを監視する。 ペルカー氏は、応募者に企業のIT環境で技術スキルテストを受けるよう求めることを提案しました。応募者のデジタルアクティビティに、予期しないIPアドレス、複数の言語設定、過度な画面切り替えなど、不審な点がないか確認しましょう。
• 採用プロセスの可視化を図る。 マイクロソフトのシュローマー氏によると、リモートワークを求める北朝鮮のIT労働者にとって、サードパーティの人材紹介会社は最大の攻撃経路の一つとなっています。外部のリクルーターと提携している組織は、悪意のある内部関係者に関する懸念を共有し、サードパーティのリクルーターがどのように人材を見つけ、審査しているかについて情報を求めるべきです。
• 従業員の教育と研修。 すべての従業員、特に最前線の採用担当者、人事担当者、サイバー脅威調査担当者は、北朝鮮の脅威、注意すべき点、懸念事項の報告方法を理解する必要があります。Upworkのホーン氏は、悪意のある内部活動の兆候は目に見えにくく、単独では取るに足らないものに見えることが多いと付け加えました。そのため、従業員の意識、直感、そしてコミュニケーションが、組織が点と点を結びつける上で鍵となります。
• 経営幹部および取締役レベルの賛同。 セキュリティリーダーは、上級経営幹部や取締役に対し、北朝鮮の潜入IT担当者が欧米企業全体に及ぼすリスクについて教育する必要があります。「これは特定の企業だけの問題ではないことを、彼らに理解してもらう必要があります」とホーン氏は述べました。「これは私たち全員が取り組むべき、まさに業界全体の問題です。」
• 社内外のパートナーシップ。 北朝鮮のサイバー攻撃は狡猾で高度な性質を持つため、チーム間の連携が不可欠です。「特に大規模な組織では、少人数の担当者がさまざまな角度からこの脅威に取り組んでいる可能性があります」とシュローマー氏は述べています。効率性と有効性を最大限に高めるため、情報、知見、そしてノウハウの共有を確実に実施してください。民間組織と連邦法執行機関の外部連携も重要です。
• インシデント対応計画 組織のインシデント対応計画に、悪意のある内部関係者への対応策を盛り込んでください。悪意のある内部関係者がアクセスしたデータやシステム、そして作成された可能性のあるコードを評価するためのプロセスを確立してください。法執行機関からの支援については、FBIの現地事務所に連絡し、北朝鮮のIT労働者に対する脅威の専門家にご相談ください。

専門家によると、今後数ヶ月から数年の間に、北朝鮮のリモートワーカーの脅威は変化し続け、進化していくと予想されます。米国企業の間でこの問題への意識が高まるにつれ、グループはすでにヨーロッパやオーストラリアなどの新たな地域を標的にし始めています。

マイクロソフトのシュローマー氏のチームは、北朝鮮から発信されるあらゆる悪意あるサイバー活動を追跡しており、今回のリモートワーカー詐欺はその一部に過ぎません。北朝鮮による他のサイバー犯罪活動は、暗号通貨の窃取、知的財産および防衛機密の窃取を狙っています。攻撃手法は多岐にわたり、脅威アクターが雇用主ではなく求職者を標的とするケースもあります。これは、リモートワーカー詐欺とは逆のケースです。シュローマー氏は、北朝鮮の異なる脅威グループ間の関係がどのように発展し、最終的に彼らの利益がどのように収束していくのかを懸念していると述べています。

「今こそ、強力な検知と対応のための推奨事項を策定し、先手を打つ必要があります」と彼は述べた。「IT従事者の雇用によって、極めて機密性の高い重要な国家安全保障情報が盗まれるような事態に陥ってほしくないのです。」

アリサ・イレイは、Informa TechTargetのSearchSecurityサイトのシニアサイトエディターです。