北朝鮮のIT労働者がアメリカでの制裁に直面したため世界中に規模を拡大し企業で不正に職を得ていることがGoogleの調査で明らかに

Google脅威インテリジェンスグループの調査で、北朝鮮のIT労働者が世界中の企業に潜入して北朝鮮政府に利益をもたらしていることがわかりました。こうした労働者は身分を偽り、リモートワーカーとして働いているとのことです。

DPRK IT Workers Expanding in Scope and Scale | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/dprk-it-workers-expanding-scope-scale/?hl=en

North Korean IT worker army expands operations in Europe
https://www.bleepingcomputer.com/news/security/north-korean-it-worker-army-expands-operations-in-europe/

Googleによると、北朝鮮のIT労働者が複数の国にまたがって活動しており、今や世界的な脅威となっているとのこと。重要な標的は依然としてアメリカですが、ここ数カ月間、北朝鮮労働者はアメリカ国内での活動がやりにくくなっているそうです。これは、北朝鮮労働者が潜入しているという報道等で脅威に対する世間の認識が変わったからだと考えられます。

セキュリティ企業が雇ったリモートワーカーが実は北朝鮮のハッカーだった - GIGAZINE

アメリカでの活動を阻害されているためか、北朝鮮労働者はヨーロッパやアジアで規模を拡大しています。

Googleによると、北朝鮮のIT労働者が仕事を得たり、身元確認を突破したり、不正に資金を受け取ったりするための手続きを行う人物がさまざまな場所で見つかっており、UpworkやTelegramなど各種サービスを使って各国で労働者が募集されていることが判明しているそうです。

関与が疑われる人物が使用していたインフラをGoogleが調査した結果、特にヨーロッパへの関心の高さが浮き彫りになりました。調査で発見された資料には、セルビアのベオグラード大学の学位やスロバキアの住居が記載された履歴書などをでっちあげたものや、偽のパスポートを専門に扱うブローカーの連絡先も発見されたため、不正な身分証明書を入手するための組織的な活動が背後にあると考えられています。

世界的な規模の拡大とともに、北朝鮮労働者もその手口を進化させています。とある例では、解雇されたばかりのIT労働者が「機密データを公開する」と脅していました。こうした手口を取ることで、金銭を巻き上げている可能性があります。

2024年後半には、1人の北朝鮮労働者がヨーロッパとアメリカで少なくとも12人分になりすまし、ヨーロッパ内の複数の組織、特に防衛産業基盤や政府部門に対して積極的に就職活動を行っていました。この人物はでっち上げた推薦状を提出し、求人担当者と親密な関係を築くという行動パターンを示しました。

北朝鮮労働者はさまざまなプロジェクトに携わっています。Googleによると、確認されただけでもウェブ開発、ボット開発、コンテンツ管理システム開発、ブロックチェーン技術などが含まれており、伝統的なウェブ開発から高度なブロックチェーンやAIアプリケーションに至るまで、幅広い技術的専門知識があることを示しているとのことです。

具体的には、Next.js、React、CosmosSDK、Golangを使用したNodexaトークンホスティングプランプラットフォームの開発、Next.js、Tailwind CSS、MongoDB、Node.jsを使用したジョブマーケットプレイスの構築、SolanaとAnchor／Rustスマートコントラクトの開発、Electron、Next.js、AI、ブロックチェーン技術を活用したAIウェブアプリケーションの開発などです。

これらのポジションを確保するために、北朝鮮労働者は日本、イタリア、マレーシア、シンガポール、ウクライナ、アメリカ、ベトナムなど、さまざまな国の国籍を偽りました。

以下が、北朝鮮のIT労働者が関与した国のリストです。

Googleは2024年9月にも同種の調査結果を公表していましたが、今回に至るまで範囲と規模が拡大し続けているそうです。

北朝鮮のIT労働者「UNC5267」が複数の「フォーチュン100」企業に潜り込んだ事例があることが調査により判明 - GIGAZINE

北朝鮮労働者が企業に入り込みやすくなっている要因の1つとして、GoogleはBYOD(Bring Your Own Device)のポリシーの存在を挙げています。BYODとは「私物のデバイスを持ち込む」というポリシーですが、これを利用すると、仮に問題が生じた場合、監視が可能な企業のノートパソコンとは異なり、アクティビティを追跡して潜在的な脅威を特定することが困難になりかねません。Googleは「従来のセキュリティ対策がないため、企業のノートPCから得られるような証拠が利用できません。こうしたことが、悪意のある活動が発見されないリスクを高めているのです」と指摘しました。

Googleは「北朝鮮労働者は、合法的なリモートワーカーを装って企業に潜入し、政権に利益をもたらしています。こうした人々を雇っている組織はスパイ活動やデータ窃盗、混乱などのリスクにさらされています。アメリカ国内で脅威に対する意識が高まったことを受けて、北朝鮮労働者は世界的なネットワークを確立しました。各国で発見された情報から、こうしたネットワークが急速に形成されていることが示唆されています」と述べました。