北朝鮮リモートワーカーの実態を暴く

この記事では直近のコミュニティコールから得られた知見を紐解き、北朝鮮の脅威アクターの活動の様子や、詐欺スキームを実行するために使用される技術、そして不正アクセスを発見するための実用的な戦略についてご紹介します。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2025年7月29付）を翻訳したものです。

リモートワークが世界中の労働力に変化をもたらしたことは疑いようのない事実であり、フレキシブルな働き方を生み出し、国外の人材へのアクセスを可能にしました。しかし、この変革は致命的な脆弱性を図らずも生み出し、北朝鮮のサイバー攻撃者はこの脆弱性を非常に巧妙な手法で積極的に悪用しています。正規のフリーランス開発者やITスタッフ、請負業者を装った北朝鮮の脅威アクターは、世界中の企業や組織の信頼あるワークフローに根深く入り込み、少なくとも8,800万米ドルを詐取しています。

Flashpointは先日行われたコミュニティコールにおいて、悪意ある攻撃者がアクセスを悪用し、北朝鮮の不法な兵器プログラムに資金を直接提供する方法について重要な知見を提供しました。参加できなかった方のために、この記事ではコミュニティコールから得られた重要なポイントと、次に実行すべきステップを紹介します。Flashpointが北朝鮮のシステムから直接入手した貴重なインテリジェンスを活用しつつ、脅威アクターの活動や検出の回避方法、そしてアクセスを収益化する手順といった詐欺行為の舞台裏を見ていきます。

アクセス維持に向けた偽ペルソナの作成と管理

北朝鮮の偽ITワーカー詐欺は単発的な攻撃ではなく、綿密に計画・実行された数年間におよぶキャンペーンとして展開されています。このような活動の軸になっているのは、架空人物とは思えないペルソナを作成して管理するという、非常に高度な技術です。Flashpointのアナリストはコミュニティコールの中で、北朝鮮の工作員が使用する「並行アイデンティティ（parallel identity）」と呼ばれる戦術を紹介しました。この戦術は1人の工作員が複数の仕事用プロフィールをオンライン上に作成するというもので、プロフィールに記載される情報はごく一部を除き同じ内容となっています。

多くの場合、このような工作員は1台の物理マシンで10人以上のペルソナを管理しています。ペルソナキットや「カンニングペーパー」を使って信ぴょう性のあるナラティブを維持し、シグネチャやプロキシを使い分けることであたかも複数の場所に存在する別個の人物であるように見せかけています。真のアイデンティティをベールで包み、一見すると無害なプロファイルをいくつも使うことで、従来の審査・監視システムをすり抜け、検出を極めて困難にしています。

生成AIを使った北朝鮮の新たな能力

Flashpointは北朝鮮のGoogle翻訳利用状況を分析し、これらの脅威アクターがChatGPTなどの生成AIツールを巧みに活用して欺瞞能力を強化していることも確認しました。北朝鮮工作員はこのようなAIツールを使用することで、面接での技術や行動に関する複雑な質問に対する理路整然とした回答を作成したり、自然な会話を予行演習したり、偽のペルソナに合わせてプロフィール写真を生成したりすることが可能になります。

北朝鮮のリモート詐欺を実現する技術

こうした詐欺スキームを実行するには、架空であることを気づかせないペルソナを作り上げるだけでは不十分であり、高度な技術を使用したツールキットと分散型のサポートインフラも必要です。Flashpointでは、北朝鮮工作員が見破られることなく欺瞞行為を遂行するために活用するツールや手法を具体的に記録しました。

脅威アクターは実際の位置情報を隠蔽しながら遠隔システムを制御するため、以下のような技術に大きく依存しています。

• 位置情報の難読化：北朝鮮のリモートワーカーはトラフィックのルーティングにAstrill VPNのようなVPNやプロキシを使用しているため、IPアドレスを手がかりに追跡を行うのは困難です。また、当社のアナリストはNetKeyやoConnectといった北朝鮮独自のソフトウェアを確認しました。これらは外部から北朝鮮内のネットワークへ安全に接続することを実現していると推測されます。

• リモートアクセスと制御：北朝鮮工作員は雇用主から支給されたデバイスを操作する際、仮想カメラソフトウェア（OBSやManyCamなど）を使って自身のライブ映像を偽装し、リモート管理ツール（AnyDeskやVMware Workstationなど）でシステム制御を行います。高度なセキュリティ保護が設定された企業のラップトップにPiKVMのようなIP-KVMデバイスを直接接続することで、遠隔でも物理的に操作することが可能になります。工作員が使用するシステムへの侵入を行うと、IP-KVMサービスの使用が期せずしてオンラインに公開されていることがしばしば確認できます

• 内部の連携：工作員はチーム内でWindows版IP Messengerのようなシンプルなメッセージアプリを使用し、業務のスクリーンショットを含む機微情報のやりとりや共有を行っています。北朝鮮のITワーカーの監督者が「Classroom Spy Pro」（主に学校で用いられる画面監視ソフト）を使い、チームメンバーを監察していることも確認されました。

• 金融・物流インフラ：このキャンペーンにおいて、初期アクセスを獲得し、悪意ある行為を実行するために内部関係者を配置することはゴールではありません。より重要な目標は、そこから収益を得ることです。収益の多くはオンライン決済プラットフォームや仮想通貨を介して移動されます。注目すべきは、これらの攻撃が「ラップトップファーム」と称される複数のデバイスを管理する拠点と、米国内の仲介者という2つの物質的な支援ネットワークに依存している点です。このような協力者は、インターネットへのアクセスや会社の備品の配送、銀行口座の開設、合同会社の設立、本人確認の手助け、さらには最初のオンライン／対面の面接への立ち会いなど、詐欺スキームの実行に不可欠なサービスをいくつも提供しています。備品配送先として複数の被雇用者が同じ住所を指定しているケースは、一元管理型のラップトップファームまたは共謀する仲介者の存在を強く示唆しています

この世界的な脅威は1つの地域に限定されるものではありません。当社はポーランド・ナイジェリア・中国・ロシア・日本・ベトナムなど複数の国と地域で北朝鮮工作員の活動およびインフラを発見しています。

北朝鮮の不正アクセスを阻止

北朝鮮リモートワーカーの脅威の複雑さを考慮すると、その手法を理解するだけでなく、先手を取って不正アクセスを暴くことが効果的な防御に欠かせません。そのためには初回面接と技術的側面の継続的な監視の両方を対象とした、インテリジェンス主導型の多層的なアプローチが必要です。

面接

初回面接は、会話の内容や経歴、身元についての矛盾点を見抜くための重要な機会です。ライブビデオでのやり取りを義務付け、行動（事前に回答が用意されていないかどうか、周囲の状況を面接官に知られることを頑なに拒んでいないかどうかなど）を注意深く観察することで有益な情報が得られます。

不審な行動を精査するために、セキュリティチームは以下の点に警戒する必要があります。

• メール利用歴の一貫性：長年利用されているメールアカウントは偽造が困難です。新しく作成されたメールアドレス、とりわけ特徴のない形式のメールアドレスには用心すべきかもしれません。
• ネットワーキングでの手慣れた行動パターン：新たに作られたGitHubの「ありふれた」アカウントや、フォロワー数が少なく疑わしいプロフィールと相互につながりのあるLinkedInアカウントには細心の注意が必要です。

技術的側面の監視と制御

面接での入念な審査に加え、組織内の技術的側面を継続的に監視することも欠かせません。セキュリティチームは以下の点を優先的に確認する必要があります。

• 異常活動の検出：例えば、ニューヨークにいるはずの従業員がVPN経由で海外のIPアドレスからログインしているなど、通常とは異なるログインパターンに注目します。企業ネットワークへのアクセスにパブリックVPNが使われている場合は警戒が必要です。
• 無許可のソフトウェア：企業のデバイスに正当な理由なくリモート管理ツール（RMM）や仮想カメラソフトをインストールしようとする試みを監視します。
• デバイスの位置確認：企業所有のノートパソコンに位置情報ツールを導入し、申告された場所から移動していないことを確認します。また、すべての社内機器の配送先住所を追跡し、複数のデバイスが集中している場合はラップトップファームである可能性を考慮します。
• ネットワーク行動分析：不可解なデータ抽出、機微システムへのアクセスパターン、予期しない方法でソースコードに変更を加える試みなどに注目します。

Flashpointを活用して北朝鮮の脅威アクターから組織を守る

北朝鮮のリモートワーカーによる脅威は複雑かつ執拗で、金銭的な動機に基づいたものである上に、敵対国家へダイレクトに資金を提供しています。知的財産や金融資産に加えて組織全体のセキュリティを保護するには、注意深い観察、複数部門間の連携、そしてインテリジェンスに基づく防御が欠かせません。

北朝鮮のリモートワーカーの戦術・技術・手順に関するさらに詳しい調査結果と、Flashpointのインテリジェンスを使った組織の防御体制の強化方法を確かめるには、今すぐデモをお申し込みください。これらのスキームから組織を守るための詳細なガイダンスについては、FBIのアラート「North Korean IT Worker Threats to U.S. Businesses（北朝鮮ITワーカーが米国企業にもたらす脅威）」（I-072325-4-PSA）をご覧ください。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb（DDW）に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。