北朝鮮のITワーカー軍、ヨーロッパにもスキームを拡大

佐々山 Tacos

2025.10.21

北朝鮮のITワーカー軍、ヨーロッパにもスキームを拡大

BleepingComputer – April 1, 2025

北朝鮮の偽ITワーカースキームのターゲット地域が、米国だけでなくヨーロッパへ広がりつつあるとGoogleの脅威インテリジェンスグループ（GTIG）が報告。公の報道が多数なされたことや、関与するメンバーが米国で起訴されたことなどを通じて脅威の認知度が向上したことが、ITワーカーオペレーションを世界的に拡大する要因になった可能性が高いとみられている。

このスキームは、真の身元を隠した北朝鮮の偽IT技術者らが、ターゲットとなる国・地域の組織にフリーランスのIT系リモートワーカーとして雇われることによって当該組織から情報を盗み出したり、得られた報酬を祖国政府の懐へ収めようとするというもの。米国が依然として重要な標的であり続けているものの、ドイツやポルトガル、英国の企業で職を求めるケースが増加しているという。

偽ITワーカーらは、国籍をイタリアや日本、マレーシア、シンガポール、ウクライナ、米国、ベトナムなどと偽り、採用担当者を納得させるための戦術を複数使用。実在する個人のものと偽造されたペルソナとを掛け合わせた偽の身元を使い、UpworkやTelegram、Freelancerといったオンラインプラットフォーム上で雇用先を見つけて、ウェブ開発やボット開発、コンテンツ管理システム（CMS）開発、ブロックチェーン技術など、多様なプロジェクトを請け負う。こうしたサービスに対する報酬は、暗号資産やTranserSise、Payoneerなど、資金の出どころ・行き先が分かりにくい手段を通じて支払われるという。

GTIGはまた、このスキームの新たな展開として、2024年10月後半以降、偽ITワーカーが雇用先組織を恐喝しようとするケースが増加していることと、より規模の大きい組織が狙われるようになっていることを報告。これらの恐喝インシデントでは、解雇されたばかりのITワーカーが当該組織の機微なデータ（専有データや内部プロジェクトのソースコードなど）をリークするか、競合他社に受け渡すなどと脅しをかけていたという。

この脅威に対するリスクを高める重要な要因の1つとして、BYOD環境が挙げられるとGTIGは指摘。会社支給の端末とは異なり、BYOD端末では偽ITワーカーに典型的な形跡を追うことができず、悪意ある活動が検出されないままになる危険性が高まると注意喚起した。