同僚は北朝鮮の“スパイエンジニア”？　専門家もだまされる巧妙な潜入手口：北朝鮮の潜入エンジニアを見抜くには【前編】

　マイヤーズ氏は採用面接の最中に、候補者に対して北朝鮮の指導者の体形をやゆする問いを投げ掛けるという。同氏によると、この問いを聞いた候補者の中で、何も答えずWeb会議から退出する者は少なくない。

　米国財務省の情報では、北朝鮮出身で高度なスキルを持つITエンジニア数千人が、米国民の個人情報を盗み、米国人になりすまして欧米の企業でテレワークをしながら高額な給与を得て、本国政府に不正送金している。こうして得た資金は年間で数億ドルに及ぶとの報告があり、その大半が違法な兵器の開発に充てられている。

　FBIの特別捜査官、エリザベス・ペルカー氏によると、北朝鮮のITエンジニアは、ソフトウェア開発やフロントエンド開発、フルスタック開発などの職種を狙ってテレワークの機会を探っている。フロントエンド開発はエンドユーザーの目に見えない部分を扱う開発、フルスタック開発はエンドユーザーの目に見える部分から目に見えない部分までにわたるシステム全体を扱う開発のことだ。続けてベルカー氏は、その活動は企業の規模を問わず広がっていることも指摘する。

　米国司法省の調査では、北朝鮮国籍のITエンジニアが、経済誌「Fortune」による企業ランキング「Fortune 500」に名を連ねる複数の大手企業に雇用されていたことが明らかになった。

　Microsoftのシニア脅威インテリジェンス担当、グレッグ・シュローマー氏は、従業員5人の企業が、意図せず北朝鮮のITエンジニアをテレワーカーとして雇用していた事例を目にしたことがある。「大規模な企業だけでなく、どのような規模の企業も標的になり得る」とシュローマー氏は警鐘を鳴らす。

米国企業に北朝鮮のITエンジニアが潜入する手口

　北朝鮮のITエンジニアも、一般的なITエンジニアと同じようにソーシャルメディアを使って求職活動を進める。ロシアや中国を活動拠点とするITエンジニアの支援者が第三者の個人情報を盗み出し、テキストや画像を生成するAI（人工知能）技術「生成AI」を活用して偽の「LinkedIn」プロフィールを作成する。Linkedinは、ビジネス向けSNS（ソーシャルネットワーキングサービス）だ。そのプロフィールを使ってLinkedInやIndeed.comといった人材紹介サービスで求人案件を探す。

　求人検索サイト「Upwork」を運営するUpworkのシニアディレクター、クリス・ホーン氏によると、採用面接の中で、候補者が誤って言語翻訳アプリケーションを画面共有中に見せてしまうといったミスをすることはまれだ。ホーン氏は、「採用面接を受ける人物は高度な訓練を受けており、その人物が北朝鮮の関係者かどうかを見極めるのは困難だ」と説明する。生成AIやディープフェイク（AI技術を用いて事実とは異なる映像や音声、写真を合成する技術）の発達によって、この問題はいっそう深刻化している。

　マイヤーズ氏によると、CrowdStrikeは2024年、同社の顧客が運用するシステムにおいて、北朝鮮のITエンジニアの活動を初めて発見した。CrowdStrikeはこの情報をFBIと共有し、150組織以上の顧客で北朝鮮のITエンジニアによる活動を確認した。そのうち半数では、情報が流出していたことも明らかになった。

　「顧客への通知内容は衝撃的だった」。マイヤーズ氏はこう語る。顧客に「あなたのシステムに、北朝鮮と関係のあるITエンジニアが存在する可能性があります」と伝え、確認した結果、全ての調査事例でその推測が事実だったという。

　CrowdStrikeは2024年以降も顧客のシステム内で継続的に内部脅威を検出している。「カンファレンス直前の2025年1〜3月の3カ月間だけでも、米国民を装った北朝鮮のITエンジニアを90人以上確認した」とマイヤーズ氏は述べる。

　マイヤーズ氏によると、身元を偽装し続けることができれば、北朝鮮のITエンジニアは米国企業で数カ月間勤務可能だ。解雇された場合は、マルウェアを保存しておいたり、盗み出した情報を持ち帰ったりする。

　ペルカー氏は「解雇されることを見越して、事前に退職後の収益化計画を立てているケースがある」と述べる。同氏によると、一定期間にわたって少しずつ情報を流出させた事例もある。「最悪のケースでは、機密情報として扱っていたAI関連のソースコードが盗まれ、ITエンジニアを解雇した後に恐喝の材料として使われることもある」（同氏）

　次回は、北朝鮮のITエンジニアを見分けるポイントや対策を紹介する。