北朝鮮の危険な求職者はどうやってIT企業に紛れ込むのか

戦略情報サービスを提供する企業によれば中国企業が北朝鮮のIT技術者を先進国の企業に売り込んでいるという。このような事態を回避するにはどうすればよいのだろうか。

[Eric Geller，Cybersecurity Dive]

　戦略情報サービスを提供するStrider Technologiesの報告書によると（注1）、中国のフロント企業が北朝鮮のIT従業員の就職と国際制裁の回避を支援しているという。

北朝鮮の危険な求職者はどうやってIT企業に紛れ込むのか

　同社は2025年5月13日（現地時間、以下同）に発表した報告書の中で「中国政府に関連する企業が北朝鮮のIT従業員に機器を供給している」と述べた。

　報告書によると、北朝鮮のIT従業員はランサムウェア攻撃を実行して、暗号通貨市場を操作し、ときには悪質なコードを含む商用ソフトウェアを開発しているという。

　北朝鮮のIT従業員を誤って雇用することは（注2）、今日のグローバルテクノロジー企業が直面する最大のリスクの一つだ（注3）。Strider Technologiesは平壌の組織の背後にあるインフラや、そこで働く従業員の活動内容、これらの従業員を知らずに採用した企業が被る可能性のある影響に関する詳細な解説を公開した。

　Strider Technologiesによれば、北朝鮮のIT従業員は同国政府の技術的な進歩を支援する目的で知的財産を盗むことがあると警告している。機密データを盗み、スパイ活動に使用するために本国に送るケースもある。さらに、それらの情報をダークWebで販売することもあるようだ。

　報告書によると、こうした従業員を雇用する企業は風評被害について懸念する必要がある。報告書では「このリスクは防衛や金融、技術などの機密性の高い業界で事業を展開する企業にとって特に深刻だ」という。

　IT従業員を装った平壌の欺瞞（ぎまん）キャンペーンは中国の支援を受けている。Strider Technologiesは米国の制裁対象となっている中国企業が（注4）、北朝鮮の人民武力部第53局にIT従業員用の機器を出荷していることを特定した。同局は軍事的な偵察や情報収集、特殊作戦などを担当しており、武器取引にも関与している。Strider Technologiesの報告書には「出荷品にはコンピュータやグラフィックスカード、HDMIケーブル、ネットワーク機器が含まれている」とある。

　Strider Technologiesは自社のサードパーティー・デューデリジェンスプラットフォームを用いて、この中国企業に関連する35の他の組織を特定しており、「これらの組織も北朝鮮を支援している可能性がある」と述べた。

　Strider Technologiesは報告書の中で次のように警告した。

　「このようなネットワークは西側企業に重大なリスクをもたらす。西側企業は北朝鮮の活動に関連する組織と知らずに取引したり、依存したりする可能性がある。その結果、制裁違反や深刻な風評被害に至る可能性がある」

　IT従業員を装った北朝鮮の巧妙な手口は、脅威インテリジェンス研究者たちの注目を集めている。サイバーセキュリティ事業を営むFlashpointは2025年5月12日、典型的な作戦の各段階を詳細に解説した報告書を発表した（注5）。報告書には、偽の就労証明書や企業のノートPCの発送先などの情報を含めて、多岐にわたる内容の解説がある。Flashpointは、北朝鮮の工作員が作戦の一環として外国人に指示を出していることを示すメッセージも発見した。

　サイバーセキュリティサービスを提供するPalo Alto Networksは北朝鮮の手口に関する報告を発表した（注6）。同社のセキュリティチーム「Unit 42」のインテリジェンスチームに所属するエヴァン・ゴーデンカー氏（コンサルティングシニアマネジャー）は、次のように述べた。

　「企業は北朝鮮のIT従業員による詐欺の被害を防ぐために、人事部門とセキュリティチームの連携を強化すべきだ」

　また、ゴーデンカー氏は「Cybersecurity Dive」に対して、次のように語った。

　「こうした工作員は採用時と採用後のセキュリティの間に生じる隙を突いて侵入することが多いと分かっており、実際に効果のある対策も確認されている」

　セキュリティチームは人事の面接官に対して、注意すべき兆候を見極める訓練を実施し、応募者の身元を徹底的に確認するとともに、匿名化サービスの利用や許可されていないリモートアクセス技術の使用など、疑わしい活動を検知するための「トリップワイヤー（警戒線）」を設定するべきだ。

　Googleの「Threat Intelligence Group」に所属するベン・リード氏（シニアマネジャー）も「採用と人事、IT、セキュリティが一体となった対応が必要だ」とこの意見に同意した（注7）。

　「人事部門に応募者の矛盾点を見抜く訓練を施し、危険なIT従業員の戦術と手法、手順を幅広く伝えよう。シンプルで個別化された面接質問によってこのような求職者の矛盾を素早く見抜けるケースは多くある」（リード氏）

出典：China helps North Korean operatives land IT roles, bypassing sanctions（Cybersecurity Dive）
注1：Inside-Shadow-Network（Strider Technologies）
注2：Major companies keep hiring North Korean IT workers（Cybersecurity Dive）
注3：Tech companies have a big remote worker problem: North Korean operatives（Politico）
注4：Treasury Targets IT Worker Network Generating Revenue for DPRK Weapons Programs（U.S. Department of the Treasury）
注5：Flashpoint Investigation: Uncovering the DPRK’s Remote IT Worker Fraud Scheme（FLASHPOINT）
注6：Global Companies Are Unknowingly Paying North Koreans: Here’s How to Catch Them（Unit 42）
注7：The ultimate insider threat: North Korean IT workers（Google Cloud Blog）