北朝鮮が送り込む「IT労働者」の実態：監視で見えた攻撃者たちの“人間らしい”弱点と企業ができる対策

画面越しの「同僚」がミサイル開発を支えている

　コロナ禍を経て、世界のビジネスシーンは大きな変化を遂げた。なかでも、物理的な距離を問わない「フルリモート」の採用活動は、企業にとって優秀な人材を世界中から確保できる大きなメリットとなっている。しかし、この利便性の裏側には、北朝鮮が主導する“巨大な詐欺スキーム”が入り込んでいるという。

　Recorded FutureのACE（Advanced Cybercrime and Engagements）チームでシニア脅威インテリジェンスアナリストを務めたAlexander Leslie（アレクサンダー・レスリー）氏は、我々が日常的に利用している「リモートワーク経済」が、北朝鮮によって武器化されていると語る。

　多くの企業は、サイバーセキュリティ対策として「外部からの侵入」を警戒する。それゆえ、ファイアウォールを構築したり、エンドポイントを監視したり、不正なアクセスを遮断したりする傾向にあるだろう。

　しかし、北朝鮮が展開している戦略はその前提を根底から覆す。彼らはハッキングによって壁を乗り越えるのではなく、正規の採用プロセスを経て、正面玄関から“従業員”として入室してくるのだ。一度、社内のシステムにアクセス権を持つエンジニアとして雇用されれば、従来のセキュリティ対策の多くは無力化されてしまう。

　北朝鮮がIT労働力の提供という形態を選んだ背景には、外貨獲得と諜報活動の両立という目的がある。国際金融システムから切り離された北朝鮮にとって、ITスキルは物理的な国境を越えて現金を獲得できる強力な武器だ。

　Recorded Futureの地政学脅威インテリジェンスアナリストであるScott Kardas（スコット・カルダス）氏は、北朝鮮の攻撃活動の背景にある主要な動機が下記に集約されると指摘する。

　攻撃者たちは単独のハッカーとして活動するのではなく、5〜10人程度の小規模なチームを構成し、組織的に活動している。拠点は中国の丹東やロシアのウラジオストク、あるいはラオスなどの東南アジアなどが主だ。総人数は1万人を超えるとされている。そんな彼らの労働環境は、かなり過酷なようだ。

　「攻撃者たちは巨大なオフィスビルなどではなく、一般的な住民が住むような普通のアパートの一室で働いています。スーパーバイザー（監視役）の管理下で1日のうち12時間以上、猛烈な労働に従事しているのです」（カルダス氏）

　スーパーバイザーは、労働者たちが稼いだ外貨が政府へ送金されているかを確認するだけでなく、労働者たちが北朝鮮の指導思想「主体（チュチェ）思想」を維持しているか、あるいは亡命を企てていないかを常に監視している。

　労働者たちは、1日12時間以上という過酷なシフトで働き、プライベートな時間はほとんど与えられない。こういった「軍隊のように組織化されたIT労働力」が、金銭目的の一般的なサイバー犯罪グループとは一線を画す、国家特有の脅威を生み出しているのだ。