北朝鮮ハッカー、リモートIT職に採用されるも即解雇　VPN利用に手がかり

北朝鮮人ハッカー、リモートIT職に採用されるも即解雇　VPN利用に手がかり

HackRead – March 23, 2026

セキュリティ企業LevelBlueの調査により、北朝鮮のハッカーとみられる人物が通常の採用プロセスを経てリモートIT職に就いたものの、わずか10日で正体を見破られて解雇されたことが明らかになった。Hackread.comが報じている。

この人物は2025年8月15日、ある西側企業で機微性の高いSalesforceデータを扱う業務に採用された。入社後の手続きは順調に進んでいたかと思われたが、その時点で企業のセキュリティシステムがすでに異常を検知。当該職員のEntraIDアカウントは同25日までに無効化され、被害が発生することなく脅威を排除できたとされている。

不正行為を検知できたのは、クラウドソーシングによる脅威データと行動分析を組み合わせた結果のようだ。また、このハッカーは継続的に中国からログインしていることが確認されていたにもかかわらず、8月21日に米ミズーリ州セントルイスの管理対象外デバイスからログイン試行があったためにアラートが発動されたという。

地理情報を隠す目的でAstrill VPNが使われたことも判明しているが、これが北朝鮮関連の活動を示す「高精度な指標」になったそうだ。Astrill VPNは中国のグレートファイアウォールを回避できることから、過去にLazarus GroupやそのサブグループのContagious Interviewも使用していたことが知られている。

Google、Gemini AIエージェントをダークウェブ巡回に導入

The Register – Mon 23 Mar 2026

GoogleはGeminiのAIエージェントでダークウェブを巡回し、特定の組織に関連した脅威を抽出するインテリジェンスサービスを開始した。現在はパブリックプレビュー版として提供されており、Google Threat Intelligenceに組み込まれている。

この新サービスではGeminiがオープンソースの情報を基にユーザー組織のプロファイルを作成した上、ダークウェブ上で1日あたり1,000万件以上の投稿を精査。自動的にアラートを生成し、過去7日間の潜在的な脅威を分類するとともに、ダークウェブ上のデータにタグ付けし、ベクトル比較を実行してセキュリティリスクを特定する。

例えば、攻撃者がダークウェブ上で「従業員5万人以上、運用資産500億ドルを誇る北米の大手銀行へのアクセス権を販売している」と主張した場合、Geminiは顧客プロファイルと攻撃者の主張との関連性を洗い出し、脅威の深刻度を識別する。社内テストの結果、分析精度は98％に達したと報告されており、Google脅威インテリジェンスグループの人智も活用されるそうだ。

このAIエージェントに与えられるアクセスレベルによっては、サイバー犯罪者の新たな攻撃ベクトルになる可能性も残っているという。しかし、Googleはユーザー情報保護を重視する姿勢を強調し、「利用者や顧客と緊密に連携し、情報交換の方法について最大限の透明性を確保する」と述べた。

【Eブック無料配布中：Codebook 2025 ~サイバーセキュリティ分析レポート~】

Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらから：

その他の無料配布中レポート

地政学レポート

【最新版】インテリジェンス要件定義に関するガイドブック

OSINT関連レポート

ディープ＆ダークウェブレポート