米国司法省(DoJ)は、北朝鮮が画策した世界的なIT労働者の計画に関連しているとされる774万ドル相当の暗号通貨、非代替性トークン(NFT)、その他のデジタル資産を対象に、連邦裁判所に民事没収訴訟を起こしたと発表した。
「北朝鮮は長年にわたり、世界的な遠隔IT契約と暗号通貨のエコシステムを利用して米国の制裁を回避し、兵器開発計画の資金を調達してきた」と、司法省国家安全保障局長のスー・J・バイ氏は述べた。
司法省によると、資金は2023年4月に北朝鮮の対外貿易銀行(FTB)代表でIT関係者と共謀したとみられるシム・ヒョンソプ氏に対する起訴に関連して当初差し押さえられた。
同省は、これらのIT労働者は偽の身元を使って米国の暗号通貨企業に就職し、その後、シム氏を通じて不正に得た利益を洗浄し、米国財務省外国資産管理局(OFAC)と国連による制裁に違反して、北朝鮮の戦略目標の達成に役立てていたと付け加えた。
この詐欺計画は、2017年に始まって以来、大規模な作戦へと進化してきました。この不法雇用作戦では、盗まれた身元と偽の身元を組み合わせ、OpenAI ChatGPTなどの人工知能(AI)ツールの助けを借りて、デューデリジェンスチェックを回避し、フリーランスの仕事を確保しています。
WagemoleおよびUNC5267という名称で追跡されているこの活動は、朝鮮労働党と関連があると推定されており、合法的な企業にIT労働者を潜り込ませ、朝鮮民主主義人民共和国(DPRK)に安定した収入源を確保するという、綿密に練られた戦略と見られています。
身元や所在地を偽装するだけでなく、この活動の中核を成すのは、世界中でラップトップファームを運営する仲介者を募集し、ビデオ面接を実施し、複数の口座を通じて収益をロンダリングすることです。
こうしたラップトップファームの仲介者の一人がChristina Marie Chapmanで、彼女は今年2月初めに不正な収益再生スキームへの関与を認めました。ウォール・ストリート・ジャーナルは先月発表した記事で、2020年3月にLinkedInで送られたメッセージが、TikTokで10万人以上のフォロワーを持つ元ウェイトレス兼マッサージセラピストのチャップマン被告を巧妙な詐欺に引き込んだ経緯を暴露した。被告は7月16日に判決を受ける予定だ。
「北朝鮮のIT労働者は資金洗浄後、シム氏とキム・サンマン氏を介して北朝鮮政府に送金した疑いがある」と司法省は述べた。「キム氏は北朝鮮国籍で、『チンヨン』(別名『ジンヨンIT協力会社』)の最高経営責任者(CEO)を務めている。」
TRM Labsがシム氏の仮想通貨ウォレットを分析した結果、2021年8月から2023年3月までに2,400万ドル以上の仮想通貨が送金されたことが明らかになった。
| 
北韓国組織評価
「これらの資金のほとんどは、偽造ロシア身分証明書を用いて開設され、UAEとロシアで稼働する韓国語対応デバイスからアクセスされたキム氏の口座にまで遡る」とTRM Labsは述べている(https://www.trmlabs.com/resources/blog/doj-seeks-forfeiture-of-7-7-million-in-cryptocurrency-tied-to-north-korean-it-worker-laundering-network)。「北朝鮮当局者のシム氏はドバイを拠点とし、数十の資金源からロンダリングされた資金を受け取る自己ホスト型ウォレットを保有していた。」
キム氏はロシアのウラジオストクを拠点とし、IT職員とFTBの仲介役を務め、2つの口座を使って彼らから資金を集め、その収益をシム氏や北朝鮮に関連する他のウォレットに再分配していた。
サイバーセキュリティ企業DTEXは、ITワーカーへの脅威を、主に制裁回避と利益追求を目的とする国家支援の犯罪シンジケートであると特徴づけしています。脅威アクターは、ラップトップファームから、企業のBYOD(個人所有デバイス持ち込み)ポリシーの一環として、私物マシンを使用するように徐々に移行しています。
「彼らの唯一の戦術は機会を狙うことであり、あらゆるものが何らかのツールとして扱われています」と、DTEX Systemsのi3インサイダーリスク主任調査員であるマイケル・バーンハート氏はThe Hacker Newsに語りました。
「ラップトップファームに焦点が当てられている場合、その情報は広く拡散されてきましたが、当然のことながら、この日和見主義的な国家は、作戦に影響を及ぼすのであれば、より容易な道へと引き寄せられるでしょう。ラップトップファームが全く効果を発揮しなくなるまでは、依然として選択肢の一つとなるでしょう。しかし、BYODの悪用はDTEXの調査で確認されており、ファームほど広く公表されていませんでした。」
DTEXはさらに、これらのIT労働者は、収益目的のIT労働者(R-ITW)と悪意のあるIT労働者(M-ITW)の2つのカテゴリーに分類される可能性があると指摘しました。これらは北朝鮮のサイバー空間においてそれぞれ独自の役割を担っています。
R-ITWの職員は特権階級が少なく、主に政権のために金儲けをすることが目的であると言われていますが、M-ITWのアクターは、被害者の顧客から金銭を脅迫したり、暗号通貨サーバーを妨害したり、貴重な知的財産を盗んだり、環境内で悪意のあるコードを実行したりすることで、収益の創出にとどまりません。
インサイダーリスク管理会社によると、Chinyongは、ブロックチェーンプロジェクトへの内部アクセスを悪用し、フリーランスのIT業務と仮想通貨窃盗を組み合わせた業務を行う従業員を派遣している多くのIT企業の一つです。同社は中国、ラオス、ロシアに拠点を置いています。
チンヨン関連のITワーカー活動に関与していた2人が、ナオキ・ムラノとジェンソン・コリンズのペルソナを使って北朝鮮への資金調達を行っていたことが明らかになった。ムラノは以前、2024年9月に仮想通貨企業DeltaPrimeで発生した600万ドルの強盗に関与していたとされている。
「結局のところ、北朝鮮に関連するラップトップファームやリモートワーカーの計画を検知するには、防御側は従来の侵害指標にとらわれず、インフラ、行動、アクセスなど、異なる視点から検討する必要がある」と、セキュリティ研究者のマット・ライアン氏は述べている[[https://mattysplo.it/2025/06/13/laptopfarms.html]]。「これらのキャンペーンは、マルウェアやフィッシングだけではありません。大規模な欺瞞行為であり、多くの場合、合法的なリモートワークとシームレスに融合した方法で実行されます。」
数百万ドル規模のこの大規模な詐欺事件に関する更なる調査により、IT従業員に偽の推薦状を提供するために利用された様々なフロント企業のために設定された偽のドメインに関連付けられた複数のアカウントが明らかになりました。これらのアカウントは情報窃取型マルウェアに感染しており、Flashpointは注記、これにより彼らの手口の一部が特定されました。
同社は、パキスタンのラホールにある侵害されたホストを特定し、そこにはBaby Box Info、Helix US、Cubix Tech USに関連するドメインを登録する際に連絡先として使用されたメールアカウントの認証情報が保存されていたと述べています。
さらに、別の事例では、この情報窃取型マルウェアによって取得されたブラウザ履歴から、英語と韓国語間の数十件の翻訳に関連するGoogle翻訳のURLが明らかになりました。これには、偽の職務経歴書の提供や電子機器の発送に関連するものも含まれています。
それだけではありません。最近の調査では、北朝鮮のIT担当者がアジアにいながら、ラップトップファーム内の企業支給のラップトップへの持続的なアクセスを確立するために使用していた「秘密の多層リモートコントロールシステム」も明らかになりました。
Sygniaは2025年4月に発表したレポートの中で、「この攻撃では、低レベルのプロトコルシグナリングと正規のコラボレーションツールを組み合わせてリモートアクセスを維持し、Zoomを使用したデータの可視性と制御を可能にしていました」と述べています。「攻撃チェーンには、イベントベースのアクションをトリガーするためのARPパケットの悪用、カスタムWebSocketベースのコマンドアンドコントロール(C2)チャネル、Zoomのリモートコントロール機能の自動化が含まれていました。」
ステルス性と自動化をさらに強化するために、Zoomクライアントの特別な設定が必要でした。ユーザーに表示されるインジケーターや視聴覚的な妨害を防ぐため、設定は綿密に調整されました。ユーザーはサインインしたままで、参加時にビデオと音声は自動的にミュートされ、参加者名は非表示になり、画面共有はインジケーターなしで開始され、プレビューウィンドウは無効化されました。
ライアンは、Zoomリモートコントロールシステムは、ラップトップファームのローカルエリアネットワーク(LAN)上のC2用の低価格なRaspberry Pi Zeroと組み合わせて使用され、大規模なリモートアクセスを実現し、数十台のデバイス間での実際のユーザーインタラクションをシミュレートしている可能性が高いと推測しています。
Wagemoleを補完する形で展開されているのが、Contagious Interview と呼ばれる別のキャンペーン(別名:DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi)です。このキャンペーンは主に、開発者を標的にして悪意のある活動を行い、就職ではなく企業への不正アクセスを目的としています。
「率直に言って、Gwisin GangはIT労働者であり、仕事に応募するという長いプロセスを踏む代わりに、すでに仕事を持っている人をターゲットにしています」とバーンハート氏は述べています。 「彼らは確かに、マルウェアの使用法という点で高度で独特な存在に見えます。この点も、この概念を反映したものです。しかし、ITワーカーという言葉は包括的な用語であり、そのスタイル、種類、スキルレベルは多岐にわたります。」
今後数年間でITワーカーの計画がどのように発展していくかについて、バーンハート氏は、従来の金融セクターが標的になると指摘する。
「従来の金融機関にブロックチェーンやWeb3技術が導入されるにつれ、北朝鮮のサイバー資産は、過去と同様に、これらの企業を狙う��ようになるでしょう」とバーンハート氏は指摘する。「これらの技術との統合が進めば進むほど、北朝鮮のサイバー攻撃は非常に強力であるため、より慎重にならなければなりません。」