身分を偽って企業に雇用された北朝鮮のIT労働者が機密情報を盗み出し雇用元を脅迫しているとFBIが警告

現地時間の2025年1月23日(木)、アメリカ司法省が北朝鮮国籍のチン・ソンイルとパク・ジンソン、メキシコ国籍のペドロ・エルネスト・アロンソ・デ・ロス・レイエス、アメリカ国籍のエリック・ンテケレゼ・プリンスとエマニュエル・アシュトールの5人を、詐欺行為の罪で起訴すると発表しました。アメリカとメキシコ国籍の3人は、アメリカ企業をだまして北朝鮮国民を雇用させる「ラップトップファーム」のサービス提供者とされています。

Revenue for the Democratic People’s Republic of Korea | United States Department of Justice
https://www.justice.gov/opa/pr/two-north-korean-nationals-and-three-facilitators-indicted-multi-year-fraudulent-remote

DoJ Busts Up Another Multinational DPRK IT Worker Scam
https://www.darkreading.com/threat-intelligence/doj-multinational-dprk-it-worker-scam

US indicts five over lucrative six-year DPRK IT worker fraud • The Register
https://www.theregister.com/2025/01/24/north_korean_devs_and_their/

アメリカ司法省の国家安全保障局で監督官を務めるデビン・デバッカー氏によると、アメリカ司法省は、制裁を回避して北朝鮮政権の優先課題である「兵器計画」の資金を調達するため、アメリカ企業をだまそうとするサイバー犯罪者の取り締まりに尽力しているそうです。この取り組みの一環として、北朝鮮のサイバー犯罪者だけでなく、北朝鮮のサイバー犯罪者に物質的支援を行う仲介者の取り締まりも強化しているとのこと。加えて、アメリカ司法省は被害を阻止するだけでなく、将来的なサイバー犯罪を検知・防止するための取り組みにも尽力しているそうです。

FBIのサイバー部門で副局長を務めるブライアン・ヴォンドラン氏は、「FBIの捜査で、北朝鮮のIT労働者をリモート従業員として(知らずに)雇用してしまうことで、(意図せず)北朝鮮政権に資金提供を行い、(北朝鮮が)制裁を逃れてしまうという長年にわたる計画の存在が明らかになりました」と言及しました。

起訴状によると、2018年4月頃から2024年8月頃までの6年間にわたって今回起訴された5人と起訴されていない共謀者が、少なくとも64社のアメリカ企業から仕事を獲得し、北朝鮮のIT労働者に仕事をあっせんしていた模様。このうち、少なくとも10社が86万6255ドル(約1億3500万円)の支払いを行っており、起訴された5人は中国の銀行口座を用いてマネーロンダリングを行っていたことも明らかになっています。

FBIは今回起訴された5人のうち、ンテケレゼとアシュトールを逮捕しており、ノースカロライナ州にあるアシュトールの自宅も捜査しています。アシュトールは企業が提供するノートPCをホストし、アメリカ在住の労働者を雇ったと企業に思わせるラップトップファームを運営していました。なお、アロンソは2025年1月10日にアメリカの逮捕状に基づいてオランダで逮捕されています。上記の3人は盗まれたアメリカ人の個人情報を利用して、ソンイルおよびジンソンを含む、複数人の北朝鮮国籍の労働者を身元を隠してアメリカ企業に雇用させました。

5人は共謀罪、通信詐欺罪、郵便詐欺罪、マネーロンダリング、偽造身分証明書の譲渡などの罪で起訴されています。また、ソンイルおよびジンソンは国際緊急経済権限法に違反したことでも起訴されており、有罪判決が下れば最大で懲役20年の刑に処される可能性があるそうです。

北朝鮮はアメリカなどの制裁を回避するため、中国やロシアに派遣した自国の熟練したIT労働者を企業をだまして雇用させています。これらの北朝鮮IT労働者は、北朝鮮国防省や北朝鮮の大量破壊兵器プログラムに直接関与するその他の指定団体に代わって、個人で年間最大30万ドル(約4700万円)を稼ぎ、多額の収益を生み出しているそうです。

北朝鮮のIT労働者「UNC5267」が複数の「フォーチュン100」企業に潜り込んだ事例があることが調査により判明 - GIGAZINE

アメリカ司法省の発表に合わせて、連邦捜査局(FBI)は身分を偽って働く北朝鮮のIT労働者が企業の機密データを盗み、恐喝などを行っていると警告しました。

Internet Crime Complaint Center (IC3) | North Korean IT Workers Conducting Data Extortion
https://www.ic3.gov/PSA/2025/PSA250123

北朝鮮が自国民の身分を偽ってアメリカ企業などでリモートワーカーとして働かせていることは以前から明らかになっており、FBIは2023年10月時点でこの事態について警告しています。

数千人の北朝鮮人が身分を偽って他国でリモートワーカーとして働いているとFBIが警告、賃金は北朝鮮に送金してミサイル計画に - GIGAZINE

当初は北朝鮮政府に資金提供するための活動とされていましたが、最新の事例では北朝鮮のIT労働者が雇用された企業から機密データを盗み出し、脅迫していることも明らかになっています。FBIは「ここ数か月、FBIはデータの強奪に加えて、北朝鮮のIT従事者が企業ネットワークへの違法アクセスを利用して、専有データや機密データを盗み出し、サイバー犯罪活動を促進し、政権に代わって収益を生み出す活動を行っていることを確認しています」とも警告しました。

機密データの恐喝と盗難の具体例として、FBIは以下の3つを挙げています。

・北朝鮮のIT労働者は、企業のネットワーク上で発見されると、企業が身代金要求に応じるまで盗んだ独自のデータやコードを人質にして脅迫します。北朝鮮のIT労働者が被害企業の独自コードを公開した事例もあります。
・北朝鮮のIT労働者は、GitHubなどの企業コードリポジトリを自分のユーザープロファイルや個人のクラウドアカウントにコピーしています。ソフトウェア開発者の間では珍しいことではありませんが、この行為は企業コードの盗難の大きなリスクを表しています。
・北朝鮮のIT担当者は、機密性の高い会社の認証情報やセッションCookieを収集し、社外のデバイスから作業セッションを開始し、さらなる侵害の機会を狙う可能性があります。

FBIはこれらの攻撃からビジネスを守るためのヒントとして、以下の4点を挙げました。

・ネットワーク上で最小権限の原則を実践し、ローカル管理者アカウントを無効にし、リモートデスクトップアプリケーションをインストールするための権限を制限する。
・デバイスへのリモート接続や、禁止されているリモートデスクトッププロトコルまたはソフトウェアのインストールなど、異常なネットワークトラフィックを監視および調査する。北朝鮮のIT労働者はさまざまな国に関連付けられているさまざまなIPアドレスから、短期間に1つのアカウントに複数回ログインするケースが頻繁に検知されている。
・ネットワークログとブラウザセッションアクティビティを監視し、共有ドライブ、クラウドアカウント、プライベートコードリポジトリなどの簡単にアクセスできる手段を介したデータの流出を特定する。
・複数の音声・ビデオ通話を同時に実行できるソフトウェアの使用について、エンドポイントを監視する。