北朝鮮が送り込む「IT労働者」の実態：監視で見えた攻撃者たちの“人間らしい”弱点と企業ができる対策

アメリカ兵士が偽装に“協力”してしまった事案も……攻撃者たちの具体的な手口とは

　北朝鮮のITワーカーが企業に潜り込むためのプロセスは、IT技術と心理的な欺瞞を組み合わせた「ソーシャル・エンジニアリング」の極致といえる。レスリー氏とカルダス氏は、そのプロセスを「身元の獲得」「インフラの構築」「採用の突破」の3段階に分けて説明した。

1. 身元の獲得：盗まれたIDと協力者

　彼らが活動を始めるためにまず必要なのは、制裁対象ではない国の「クリーンな身分」だ。これを入手する方法は、主に3つある。1つ目は、ダークウェブでの盗難情報の購入。2つ目は、他人のIDを不正に借用すること。そして3つ目は、金銭と引き換えに身分を貸し出す“協力者”の存在である。

　最近では、米国の兵士が自身の身分情報を売ってしまい、それが北朝鮮側に悪用されたことで起訴されるといった事例も発生している。こうして得た実在の人物のID（社会保障番号、運転免許証など）をもとに、LinkedInやGitHubのプロフィールを精巧に作り上げていく。

2. インフラの構築：物理的拠点の偽装

　北朝鮮から直接企業のネットワークにアクセスすれば、IPアドレスによって即座に不審なアクセスとして検知される。これを回避するために彼らが利用するのが「ラップトップファーム」という手法だ。

　ターゲットとなる国（たとえば米国）に住む協力者の自宅などに、多数のノートパソコン（ラップトップ）を設置する。協力者はラップトップを常に電源につなぎ、オンライン状態を維持。北朝鮮のワーカーは、AnyDeskやChromeリモートデスクトップなどのツールを使い、遠隔地からこれらのラップトップにログインする。企業から見れば、通信は米国内の一般家庭のIPアドレスから発信されているように見えるため、地理的なブロッキングを潜り抜けることが可能だ。

　講演では、Christina Lee Chapman（クリスティーナ・リー・チャップマン）という女性の事例が紹介された。彼女は自宅でラップトップファームを運営し、3年間で約1700万ドルの収益を北朝鮮側にもたらしていた。18人以上の個人情報を使い分け、企業からの給与を受け取るための銀行口座も管理していたという。

3. 採用の突破：AI技術の武器化

　企業に採用されるための面接を突破するために、攻撃者たちはAI技術を積極的に活用している。たとえば、契約内容にあわせた履歴書を作成する際は、ChatGPTやEnhancv（レジュメ作成サービス）などを活用する。また、AI生成の顔写真も使用されており、『NARUTO』や『BLEACH』、『ドラゴンボール』などの日本作品がプロフィール画像に使われているケースも多数確認されているとのことだ。

　そのほか、彼らは面接中にChatGPTを裏で起動させているという。面接官の質問を入力し、生成された回答をそのまま読み上げる。その際、数秒の回答の遅れを「通信のラグ」や「熟考している仕草」としてカモフラージュするのだ。

　ディープフェイクの技術も操っている。ビデオ面接においては、盗用したIDの顔に自身の顔をリアルタイムで置き換えているという。調査されたログの中には、AIによる顔画像生成ツールを常用していた形跡が多数見つかっている。

　また、「Mike Lemonis（マイク・レモニス）」という実在の人物になりすましたワーカーが、27個もの異なるGitHubアカウントを所持していた事例が確認されている。そのワーカーは、アメリカ・カナダ・EU全域で数百の職に応募しており、約50万ドル相当の契約業務を完了していた。なお、攻撃者はまったく同じ経歴や特定の絵文字（手を振る絵文字など）を複数のプロフィールで使い回すという、人間らしい“手抜き”をすることもあり、それが特定の手がかりとなったそうだ。

　北朝鮮のIT労働者がよく使う偽名は、欧米の名前を組み合わせているケースが多いという。Recorded Futureの調査によると、IT労働者の約50％のうち、北米をターゲットにする場合は欧米の名前、ヨーロッパの組織をターゲットにする場合はスラブ系の名前、特にウクライナ系を装う名前を使用している。また、25％のIT労働者はアジア太平洋地域の組織をターゲットにする際に、日本人の名前を使用しているとのことだ。