Amazonに北朝鮮のリモートワーカーが潜入するも「キーボードの入力遅延」で正体がバレる

北朝鮮政府と関連するIT労働者が、偽の身元情報を使用して海外企業の業務をリモート勤務で請け負いながら、勤務先のシステムに不正アクセスして情報を盗む手口が増えており、問題となっています。Amazonでシステム管理者として北朝鮮の工作員がリモート勤務していたものの、キーボードの入力遅延から潜入工作が暴かれたと報じられました。

Amazon Caught North Korean IT Worker By Tracing Keystroke Data - Bloomberg
https://www.bloomberg.com/news/newsletters/2025-12-17/amazon-caught-north-korean-it-worker-by-tracing-keystroke-data

North Korean infiltrator caught working in Amazon IT department thanks to lag — 110ms keystroke input raises red flags over true location | Tom's Hardware
https://www.tomshardware.com/tech-industry/cyber-security/north-korean-infiltrator-caught-working-in-amazon-it-department-thanks-to-lag-110ms-keystroke-input-raises-red-flags-over-true-location

北朝鮮が制裁を逃れて兵器開発プログラムなどの資金を稼ぐため、主にリモートワークを利用して身分を隠したIT労働者を他国の企業に潜りこませている問題は、これまでにもたびたび報告されています。Amazonでは2024年4月以降、こうした採用の試みを1800件以上阻止してきたとのこと。

数千人の北朝鮮人が身分を偽って他国でリモートワーカーとして働いているとFBIが警告、賃金は北朝鮮に送金してミサイル計画に - GIGAZINE

Bloombergによると、今回問題となった人物は外部の請負業者を通じてシステム管理者として採用されたとのこと。採用にあたってAmazonは、アメリカ・アリゾナ州の住所に会社用ノートPCを送付しましたが、これは実際には北朝鮮側の身代わりとして協力していた女性の住所でした。

2025年の初め、このノートPCに導入されていた監視システムが異常な挙動を検知し、セキュリティスタッフが詳細な調査を開始しました。そこで決定的な証拠となったのが、キーボードの入力データが本社に届くまでの遅延時間です。アメリカ国内のリモートワーカーであれば数十ミリ秒程度でデータが届くところ、問題の人物のノートPCは110ミリ秒を超えていました。

このわずかなラグから、作業員が地球の反対側にいる可能性が浮上。さらに追跡調査を行った結果、通信は中国まで遡れることが判明しました。また、提出された履歴書や申し込み内容が、過去に見つかった北朝鮮の工作員のパターンと一致していたことや、英語の慣用句や冠詞の使い方に不自然な点があったことも、正体を見破る裏付けとなったとのこと。

その後、Amazonはこのリモートワーカーを特定から数日以内にシステムから追放。また、このスキームを支援していたアリゾナ州の女性については、2025年7月に数年の禁錮刑を言い渡されるという法的措置が取られています。

北朝鮮労働者が309社で身元を隠しリモートワーカーとして働くことで25億円超を稼ぎ出した詐欺計画を支援した「ノートPCファーム」の運営者としてアリゾナ州の女性に懲役8年半の判決 - GIGAZINE