北朝鮮のサイバー要員が米国人になりすまし、米企業でリモートワークの職を得て外貨獲得を図る事例が近年急増していると、米政治専門メディア「ポリティコ」が12日(現地時間)報じた。これは米国で情報セキュリティ人材が不足している上に、コロナ禍以降リモートワークが増加したことが背景にある。
フォーチュン500企業の中にも標的となった例が多い。グーグルクラウド傘下のマンディアント社のチャールズ・カーマカルCTOは、最近の記者会見で「フォーチュン500企業の多くの最高情報セキュリティ責任者(CISO)と話をしたが、北朝鮮のIT人材問題について話をした人のほぼ全員が、北朝鮮のIT人材を1人以上雇用したことがあると認めた。10人以上、数十人にのぼる場合もあった」と述べた。
同じ会見でグーグルクラウドのイアン・マルホランドCISOは「当社の(採用)パイプラインで、北朝鮮のIT人材を見たことがある」と語った。ただし、審査段階で発覚したのか、実際に採用されたのかは具体的に明かさなかった。
サイバーセキュリティ企業のセンチネルワンは、北朝鮮のIT人材プログラムに関連する求職申請が約1,000件に上ったと先月公表した。米国土安全保障省(DHS)傘下のサイバーセキュリティ・社会基盤安全保障庁(CISA)の元長官で、現在センチネルワンのサイバーセキュリティ戦略担当の副社長を務めるブランドン・ウェールズ氏は、北朝鮮が兵器開発資金を調達するため、前例のない「規模と速さ」でこうした偽装就職戦略を展開していると説明した。
北朝鮮のサイバー要員は、実在する米国人の社会保障番号、パスポート情報、身分証明書情報、住所などの個人情報を盗用し、なりすましてLinkedIn(リンクトイン)上に偽プロフィールを作成しているという。こうした偽「ペルソナ」は、数千に上るとされる。ただし、偽ペルソナの背後にいる北朝鮮のサイバー要員の実数は正確には把握されていない。彼らは偽の身元を使って、高給のリモートIT職に一斉に応募したり、採用担当者と接触したりすることが多い。書類審査を通過してビデオ面接に進むと、AIを使ったディープフェイク技術で、なりすまし対象の外見と声をリアルタイムで再現し面接に臨むとされる。
北朝鮮のサイバー要員がリモートワークでの採用に成功すると、実際には米国ではなく北朝鮮や中国などで働きながら、業務用に支給されたノートPCは米国内で動作するように設定する。この過程には、報酬を受け取って米国内の住所を貸し出す米国人が協力しており、彼らは1軒の家に複数台のノートPCを設置して稼働させる。こうした施設は「ラップトップファーム」と呼ばれている。
この手法により、北朝鮮のサイバー要員が1つの職のリモートワークで稼ぐ金額は、年間最大30万ドル(約4,436万円)に達するという。米国のセキュリティ専門家らは、北朝鮮のサイバー要員が稼ぎ出す資金が兵器開発に直接使用されたり、金正恩一家に渡ったりしており、その総額は数百万ドルから数千万ドルに上ると見ている。
こうした計略にだまされて北朝鮮のサイバー要員を雇用し、内部ITシステムへのアクセス権を与えてしまった米企業の多くが、被害事実を知った後も通報や公表をためらう傾向にあるとポリティコは伝えた。