北朝鮮が送り込む「IT労働者」の実態：監視で見えた攻撃者たちの“人間らしい”弱点と企業ができる対策

相手が攻撃者か否かを“雑談”で見分ける

　一度雇用に成功すると、北朝鮮ITワーカーは「善良なエンジニア」を演じながら、徐々にその牙を剥き始める。企業は一時的に労働力を得られるかもしれないが、その代償として支払うリスクはあまりにも大きい。

　彼らの主目的の一つは外貨獲得であるため、複数の企業と同時にフルタイム契約を結ぶことが一般的だ。なかには、1人で5〜6人分の給与を複数の企業から吸い上げているケースもある。この資金は、北朝鮮が多用する暗号通貨ミキシングサービスを通じて洗浄され、最終的に兵器開発資金へと変わる。

　調査を進めていると、皮肉なことに北朝鮮ワーカー自身のPCが別のサイバー犯罪者のマルウェアに感染したことで、彼らの作業内容や検索履歴、チャットログが流出していたこともあったという。

　「流出した検索履歴を見ると、『いかにして面接を突破するか』『どうやって複数のリモートワークを掛け持ちするか』といった質問をChatGPTに投げ続けていることがわかりました」（レスリー氏）

　ちなみに、IT労働者たちの経費報告書を見てみると、稼いだ資金はすべてが政府へ渡っているわけではないことがわかる。たとえば、「Dream」というペルソナで活動していたIT労働者の作業履歴などを特定してみると、マイケル・ジョーダンのジャージやバスケットボールシューズなどを購入しており、労働者の趣味嗜好にも資金が利用されていた。

　さて、これらを踏まえると、今後企業がリモート採用を行ううえでは「新しい標準（ニューノーマル）」を設ける必要があるだろう。 「技術的な指標」だけでなく、「人間的な指標」にも着目する必要があるとカルダス氏は語る。

　たとえば技術的指標としては、北朝鮮の攻撃者たちが使用するツールには以下のような偏りがあると判明している。

　また、人間的指標に関してカルダス氏は、最も効果的な検知方法は「雑談」にあると主張する。

　「『週末は何をしましたか？』『最近の地元のスポーツニュースをどう思いますか？』といった、現地の文化に根ざした質問を投げかけてみてください。1日に12時間近く労働し、外部情報を遮断されている彼らは、テイラー・スウィフトの話題や現地の野球の結果に答えることができません。閉鎖的な環境で思想教育を受けている彼らは、履歴書上の居住国の“当たり前の日常”を再現することができないのです」（カルダス氏）

　Recorded Futureは、北朝鮮のリモートIT労働者たちを「Purple Delta」や「Purple Bravo」といった複数のクラスターに分けて監視しているが、これらはすべて同じインフラやコマンド＆コントロール（C2）を共有しているという。つまり、1つのアカウントの不審な動きを特定できれば、業界全体で情報を共有することで、芋づる式に他の偽装アカウントを特定できる可能性があるということだ。

　「彼らはあなたの会社をハッキングしているのではありません。あなたの会社の“一員”となり、内部から情報を吸い上げているのです。これは、従来の外壁を固めるセキュリティでは防ぐことができません。採用プロセスの厳格化、物理的なデバイスの直接受取、そして不自然なネットワークトラフィックの監視という多層的な対策が必要です」（レスリー氏）