レポート 5384

関連インシデント

インシデント 111837 Report
Ongoing Purported AI-Assisted Identity Fraud Enables Unauthorized Access to Western Companies by North Korean IT Workers

北朝鮮の偽労働者からあなたを守る唯一の面接質問
theregister.com · 2025

RSAC は、新規採用者が北朝鮮の傀儡で知的財産を盗み、組織にマルウェアを仕掛けるのではないかと懸念している。少なくとも現時点では、答えはある。

CrowdStrikeの対敵対者対策部門の上級副社長、アダム・マイヤーズ氏によると、北朝鮮からの侵入者は年間を通じて世界中で求人を獲得している。数千人がフォーチュン500企業に侵入したとされている。

彼らはIPアドレスを隠蔽し、ラップトップファームをアメリカに輸出してそれらのマシンに接続し、アメリカで働いているように見せかけている。さらにAIも活用している。しかし、面接で必ず聞かれる質問によって、彼らは見破られ、採用プロセスから脱落せざるを得ないのだ。

「これまでかなりの数の面接官をしてきたが、私のお気に入りの質問は『金正恩はどれくらい太っているのか?』といったものだ。彼らは即座に電話を切る。それについて否定的な発言をする価値がないからだ」と、彼は月曜日にサンフランシスコで開催されたRSAカンファレンスのパネルセッションで語った。

マイヤーズ氏は、北朝鮮の担当者は生成AIを活用し、欧米企業に魅力的なリモートワークの求人広告やLinkedInプロフィールを大量に作成すると説明した。面接中は、複数のチームが面接の一部である技術的な課題に取り組む一方、「フロントマン」は面接の物理的な側面を担当するが、その対応は時にかなり不器用な場合もあるという。

「私たちが気づいたことの一つは、ポーランドから非常に複雑な名前で応募してくる人がいたということです」と彼は語った。「そしてZoomで実際に会うと、その名前の発音もできない、兵役年齢のアジア人男性だったのです」。しかし、この方法はうまく機能し、かなりの数の人が採用され、このルートを通じて数百万ドルが北朝鮮に流入している。

パネリストのFBI特別捜査官エリザベス・ペルカー氏は、切望される役職に就くと、このような労働者は社内で非常に成功していることが多いと説明した。なぜなら、彼らは複数の部下を一つの仕事に投入し、可能な限り最高の成果を上げているからだ。昇進や社内システムへのアクセス権拡大を期待している、と説明した。

「『でも、ジョニーはうちの一番のパフォーマーなのに。本当に彼を解雇する必要があるの?』というコメントをよく受けます」と彼女は言った。

こうした偽装労働者の目的は2つあると彼女は説明した。第一に、彼らは賃金を稼ぎ、そのアクセス権限を利用して被害者から知的財産を盗み出す。これは通常、セキュリティシステムをトリガーしないように、小さな単位で盗み出される。

彼女によると、緩和策の一つは、面接対象者に企業環境内でコーディングテストを実施するよう求めることだ。これにより、実際に使用されているIPアドレスを確認し、面接官は候補者がどのくらいの頻度で画面を切り替えているかを把握できるほか、すべてが見た目通りではないことを示す他の手がかりも漏れ出す可能性がある。

しかし、侵入者が摘発され解雇された場合、彼らは通常、既にログイン情報を収集し、未有効化のマルウェアを仕掛け、被害者から可能な限りの金銭をゆすり取ろうとするだろう。彼女は、偽装労働者を見つけた人は誰でも、すぐに地元のFBI支局に連絡するよう強く求めた。

レッドクイーンのレース

しかし、攻撃者はますます巧妙化しており、FBIはある意味で自らの成功の犠牲者となっている。

FBIは米国企業にアドバイスを配布しているが、これらのメモは平壌でも読まれており、職員たちは戦術を適応させている。これは、意識的な共犯者と無意識的な共犯者の両方を利用することを伴うこともある。

例えば、IPアドレスの問題を回避するために、ラップトップファームが全米各地に出現している。応募者が就職すると、企業は通常、ラップトップを送付する。その際、面接官は「引っ越した」「家族の緊急事態が発生した」「新しい住所に送ってほしい」などと説明する。

マイヤーズ氏によると、これはおそらくラップトップファームであり、米国内の誰かが正規の住所からラップトップを運用することを有料で承諾する。料金は通常、1台あたり約200ドルだという。昨年、FBIはテネシー州ナッシュビルでそのような工作員を摘発し、保護されたコンピュータへの損害を与える共謀、金融商品の洗浄を目的とした共謀、電信詐欺を企てた共謀、保護されたコンピュータへの故意の損害、加重個人情報窃盗、そして外国人の不法雇用を引き起こす共謀の罪で起訴した。

北朝鮮の工作員たちは、個人情報を作成するのではなく、欲しい個人情報を盗むか、正当な理由があれば他人を騙して個人情報を渡させるかのいずれかを行っている。ウクライナでは、ロシアを支援する中国の工作員に対抗するためという口実で、人々に個人情報を第三者に提供するよう説得するビジネスが拡大している。

「残念ながら、これは北朝鮮を支援する行為であるため、資金は北朝鮮政権に流れ込んでしまう」と、求人サイトUpworkのシニアディレクター、クリス・ホーン氏は述べた。「そして今度は、ロシア経由で帰還する兵士の支援に使われる。つまり、彼らは今、ウクライナで自らの破滅の代償を払っているようなものだ」

また、IT専門家を騙すのに十分なほど巧妙なディープフェイクの面接者も見受けられ、時には何度も騙されることもある。この技術は進化を続けており、ますます説得力を持つようになるだろうとペルカー氏は警告した。

パネリストたちは、この問題を解決する鍵は、面接プロセスに関わる全員、最下層社員に至るまで、教育を行い、警戒すべき兆候に常に注意を払うことだと同意した。可能であれば、現地の担当者に面談を依頼し、完全リモートワークの従業員の採用も避けるべきだと彼らは述べた。 ®

編集者注: この記事は、クリス・ホーンの雇用主をUpworthyではなくUpworkと正しく記載するために更新されました。この誤りをお詫び申し上げます。

情報源を読む