北朝鮮の「偽IT労働者スキーム」が欧州・日本にも拡大

北朝鮮の「偽IT労働者スキーム」が欧州・日本にも拡大

Sophos – May 08, 2025

北朝鮮の脅威アクター「NICKEL TAPESTRY」が、偽のIT労働者を他国の企業に送り込むキャンペーン「Wagemole」において、ヨーロッパや日本の企業を標的にするケースが増えているという。Sophosの調査チームCounter Threat Unit（CTU）が報告した。

Wagemoleキャンペーン

遅くとも2018年から実施されているWagemoleキャンペーンは、リモートのIT系職を探す求職者になりすました北朝鮮のアクターらが外国企業/組織の求人に応募し、雇用されることを目指すもの。職を得ることに成功したアクターらは、支給される給与を北朝鮮政府に流すほか、企業の営業秘密など機微性の高い情報を盗み出すケースもある。盗まれた情報は、その後企業を恐喝する際の手段として使われる場合があることがわかっている。

NICKEL TAPESTRYがヨーロッパ、日本にもターゲットを拡大

このキャンペーンに関与しているグループの1つがNICKEL TAPESTRYで、これまでは主に米国の企業/組織をターゲットに求職活動を行ってきた。しかしCTUは最近、ヨーロッパや日本の企業/組織を狙った活動が増加していることを観測。この背景には、米国企業の中でWagemoleをはじめとする北朝鮮の偽IT労働者スキームが広く認知されるようになったことや、米FBIによる関連ドメインの差し押さえなどの取り組みが行われてきたこと等があるとみられるという。日本や米国の企業の求人に対しては、ベトナム人や日本人、シンガポール人、米国人を装った北朝鮮アクターが応募していることも伝えられている。

女性のペルソナが使われるケースの増加

CTUはまた、NICKEL TAPESTRYが偽求職者のペルソナにも調整を加えていると指摘。従来はWeb/ブロックチェーンソフトウェア開発のスキルを売りにした求職者をでっちあげるケースが多かったものの、最近ではテクノロジー部門のみならずより幅広い業界の組織もターゲットに加え、サイバーセキュリティ関連の職などにも応募するようになっているという。さらにCTUは、同アクターが女性のペルソナを使う事例が増えていることも報告した。加えて、作り上げたペルソナをもっともらしく見せるため、文章作成ツール、画像編集ツール、履歴書作成ツールなどの生成AIツールをより多用するようになっていることもわかった。

身元確認手順の強化を

Sophos  CTUは、こうした脅威に対抗するため、採用プロセスの中でより厳格な身元確認手順を確立することを推奨。また人事部門/リクルーターには、北朝鮮のキャンペーンで用いられる最新の戦術について定期的に知識のアップデートを行うことを勧めている。加えて、正規ツールが不審な形で使用されていないかなど、インサイダー脅威のモニタリングを行うのも重要であるとのこと。同社のブログ記事では、より詳細な推奨策が提供されている。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性