欧米や日本を侵食　北朝鮮「IT戦士」の最新の手口

北朝鮮のIT労働者の最新動向レポート（2025年4月）のポイント

グーグルの脅威インテリジェンスグループ（GTIG : Google Threat Intelligence Group）の主要メンバーの1人で、サイバーセキュリティの専門家であるジェイミー・コリアー（Jamie Collier）は、北朝鮮（DPRK : Democratic People’s Republic of Korea）のIT労働者に関する報告を2025年4月に公開した。一般のリモートワーカーを装って欧米の企業に潜入している北朝鮮のIT労働者（彼らは「IT戦士」と称される）が行動範囲を拡大している事態について、警告を発するものだ。

DPRK IT Workers Expanding in Scope and Scale
https://cloud.google.com/blog/topics/threat-intelligence/dprk-it-workers-expanding-scope-scale?hl=en

GTIGの最新レポートの特色は、大きく2点ある。
（1）質的な変化：北朝鮮のIT労働者は、解雇された企業を恐喝したり、企業の仮想化インフラの弱点を利用して活動したりするなど、戦術を進化させている。
（2）量的な変化：GTIGは北朝鮮のIT労働者のヨーロッパにおける動きが活発化していることを把握した。今や脅威は米国以外にも拡大している。

北朝鮮のIT労働者の活動の歴史

準備運動として、GTIGが今回のレポートに先立って2024年9月に公開した、北朝鮮のIT労働者のここ数年の動きについて概観しているレポートを振り返っておこう。

Staying a Step Ahead: Mitigating the DPRK IT Worker Threat
https://cloud.google.com/blog/topics/threat-intelligence/mitigating-dprk-it-worker-threat?hl=en

グーグル傘下のサイバーセキュリティ企業マンディアント（Mandiant）は、国家の指示を受けて活動する北朝鮮のIT労働者を2022年から追跡してきた。北朝鮮のIT労働者は、他の国籍の人物を装い、幅広い業界の組織に就職している。むろん彼らは個人的な出稼ぎをしているのではなく、北朝鮮の大量破壊兵器（WMD）および弾道ミサイル（BM）計画のための資金調達に労働を捧げている。
さらに彼らはサイバー犯罪の実行部隊も務めている可能性がある。2022年に米国政府は「北朝鮮のIT労働者が、雇用を通じて得た特権アクセスを悪用し、悪意のあるサイバー侵入を行っている」と指摘しており、マンディアントも同様の見解を示している。不用意に北朝鮮のIT労働者を雇用した企業や組織は、外貨獲得の手伝いをするだけでなく、スパイ活動やデータ窃盗、サイバー攻撃のリスクを生み出してしまっている。
国連安保理の北朝鮮制裁委員会専門家パネルの報告によると、北朝鮮のIT労働者は北朝鮮国内に約1,000人、国外に約3,000人の規模で存在すると推定される。GTIGの報告書は、北朝鮮のIT労働者たちが長年にわたり米国はじめ世界各地の企業数百社を騙して得た賃金の最大90%を北朝鮮が召し上げ、毎年数億ドルの規模で兵器開発資金に充当していると述べている。

北朝鮮のIT労働者はたいてい、北米、中国、東欧、日本、韓国といった国や地域のリモートワーカーを装い、偽造IDやダミー会社などさまざまな手段を講じて、米国のテクノロジー企業のような就職先にもぐり込む。また、「ファシリテーター（facilitator）」と呼ばれる北朝鮮国籍以外の人物が、北朝鮮のIT労働者の就職活動や業務遂行をサポートする。サポートは、マネーロンダリングや暗号資産（仮想通貨）の管理、企業から支給されるノートパソコンの受け取りとホスティング、盗んだ個人情報を使用した雇用証明、国際金融システムへのアクセスなど、多岐にわたる。

マンディアントは、さまざまな環境であぶり出したIT労働者を「UNC5267」と識別して追跡している。一説にはUNC5267の活動の起源は2018年頃にまで遡り、現在もなお活発に動いており、脅威であり続けている。注目すべきは、UNC5267が中央集権的な組織になっておらず、北朝鮮政府から派遣された個人のIT労働者で構成されていることだ。主に中国とロシアに居住し、少数はアフリカと東南アジアに居住している。彼らの使命は、欧米企業、特に米国のテクノロジーセクターで高収入の仕事を確保することである。
UNC5267の工作員が複数の企業で業務を掛け持ちし、毎月何通りもの給与を得ていることは珍しくない。北朝鮮のIT労働者と協力するあるアメリカ人のファシリテーターは、60人以上の米国人のIDを盗み、300社以上の米国企業に影響を与え、2020年10月頃から2023年10月頃にかけて、海外にいる北朝鮮のIT労働者に少なくとも680万ドルの収益をもたらしたという。

サイバー脅威インテリジェンス統合センター（CTIIC: Cyber Threat Intelligence Integration Center）は、北朝鮮のIT労働者が用いる具体的な手口や技術を詳しく分析して紹介している。

North Korean Tactics, Techniques, and Procedures for Revenue Generation
https://www.dni.gov/files/CTIIC/documents/products/North-Korean-TTPs-for-Revenue-Generation.pdf

（i）スピアフィッシング（標的型フィッシング）
投資、求人、給与をテーマにした電子メールやソーシャルメディアのメッセージを使ったスピアフィッシングで標的の企業の従業員を騙し、マルウェアをダウンロードさせる。企業のネットワークを侵害したり、ウォレットの秘密鍵を盗み出したり、バリデーターを乗っ取ってブロックチェーン全体のセキュリティと整合性を揺るがせる
（ii）特権アクセスの悪用
請負業者として得たアクセス情報を利用して、仮想化インフラへのアクセスを共有したり、窃盗データの販売を促進したり、マネーロンダリングや暗号資産（仮想通貨）の送金を支援したりする
（iii）ソフトウェアの脆弱性の悪用
エクスプロイト（脆弱性を衝く攻撃プログラム）をブローカーから購入したり、セキュリティ研究者から盗み出したりして、パッチ未適用のネットワーク攻撃に利用する
（iv）サプライチェーン攻撃
ソフトウェア企業やサードパーティのプロバイダーをハッキングして、企業のソフトウェアに悪意のあるコードを挿入したり、侵害されたアプリケーションを通じて暗号資産（仮想通貨）の顧客を標的にしたりする。

最新の傾向（1）米国内の締め付け強化と、北朝鮮のIT 労働者の恐喝戦術

北朝鮮のIT労働者は、戦術もさまざまに進化させている。たとえば一部の企業では、BYOD（Bring Your Own Device：個人所有デバイスの持ち込み）ポリシーを導入し、従業員が仮想化ワークスペースを利用して仕事するようにしているが、これも北朝鮮のIT労働者に狙われている。企業にとってはコスト削減のメリットもあるが、個人所有のノートパソコンは企業所有のノートパソコンよりセキュリティ対策やログ記録ツールが不足しがちであり、北朝鮮のIT労働者は、BYOD環境を利用した攻撃を増やしている。

米国も手をこまねいているわけではなく、締め付けを強化している。2025年1月、米国司法省は、2018年4月から2024年8月にかけて少なくとも64社の米国企業を巻き込んだ、複数年にわたる不正なリモートITワーク計画に関与したとして、北朝鮮国籍の2人とその幇助者3人を起訴した。
ただし制裁の強化が、副作用を生んだ可能性もある。GTIGは「2024年10月下旬以降、北朝鮮のIT労働者による恐喝行為が増加し、標的となる組織もより大きなものになった」と、複数の情報ソースに基づき報告している。恐喝戦術の増加傾向は、北朝鮮のIT労働者に対して米国で法執行措置が強化された動きと軌を一にしている。強まる圧力を受けて、北朝鮮のIT労働者が、収入源を維持するため強硬な手段を講じるようになった可能性を示唆するものだ。
ある事件では、正体が発覚して解雇されたばかりの北朝鮮のIT労働者が、以前の雇用主に対し、機密データ（社内プロジェクトの専有データやソースコードが含まれていた）を公開するか競合他社に提供する、と脅迫した。以前は、解雇された北朝鮮のIT労働者は、別のペルソナを装って再雇用されようと目論むこともあったが、この事例では再雇用を断念し、より強引な手に出たのかもしれない。

「北朝鮮のIT労働者が大規模な組織に侵入し、機密データを盗み出し、脅迫を実行するケースが増えています」と、マンディアントの上級アナリストであるマイケル・バーンハート（Michael Barnhart）は、2025年1月の『BleepingComputer』の取材に対してこう語った。

North Korean IT worker army expands operations in Europe
https://www.bleepingcomputer.com/news/security/north-korean-it-worker-army-expands-operations-in-europe/
「彼らがその成功モデルを再現するため、ヨーロッパに活動を拡大していることも驚くにはあたりません。彼らの手口を知らない欧州企業を罠にかけるのは容易だからです」

最新の傾向（2）北朝鮮のIT 労働者は欧州中心に拡散開始。ファシリテーターも暗躍

北朝鮮のIT労働者の主要なターゲットは依然として米国だが、米国司法省による起訴や就労資格証明の締め付け強化などによって、この数か月で、米国内にいる北朝鮮のIT労働者は雇用の獲得や維持に困窮するようになった。これが、北朝鮮のIT労働者の活動が世界中に拡散することを後押ししており、特に現在、ヨーロッパへの侵入が顕著になっている。

GTIGは、北朝鮮のIT労働者が英国で参加しているプロジェクトポートフォリオも確認している。オーソドックスなWeb開発から高度なブロックチェーンやAIアプリケーションに至るまで、幅広い専門知識が求められる内容となっていた。
北朝鮮のIT労働者は、ヨーロッパにおいても、米国と同様に、さまざまな国籍を偽装している。2024年後半、1人の北朝鮮のIT労働者が欧州と米国で少なくとも12のペルソナを使い分けていた。この人物は、欧州の複数の組織（特に防衛産業と政府機関）への就職を懸命に模索して、偽造した推薦状を提出し、求人担当者と信頼関係を築くことに力を注ぎ、別のペルソナのアカウントを操って自分の信頼性を保証しようとしていた。

仕事の獲得、本人確認の回避、不正な資金受領を支援するために北朝鮮のIT労働者が利用するファシリテーターは、ヨーロッパでも確認されている。ある事件では、北朝鮮のIT労働者が米国と英国の両方に拠点を置くファシリテーターを利用していた。注目されたのは、ニューヨークで使用することを想定されていた企業用ノートパソコンが実際はロンドンで動作していたのが判明したことで、北朝鮮のIT労働者の活動を支える支援と物流のネットワークの構築が急速に進んでいる状況を示唆している。

日本にも入り込んでいる北朝鮮のIT労働者

日本でも、フリーランスの技術者やクリエイターが企業から仕事を受注するプラットフォームに、北朝鮮のIT労働者が身分を偽ってもぐり込んでいる。2024年3月には外務省、警察庁、財務省、経済産業省が、「北朝鮮IT労働者に関する企業等に対する注意喚起」を公表し、注意を促した。

https://www.npa.go.jp/bureau/security/NK_it.pdf

資料の中では北朝鮮のIT労働者のポピュラーな手口が例示され、注意を喚起している。
（例の一部）
・同一の身分証明書で複数のアカウントを作成している
・日本語があやしい。それもあってテレビ会議などに応じたがらない
・プラットフォームを介さず、一般的な相場より安い価格で業務を受発注しようとする
・報酬を暗号資産で受け取りたがる

こうした注意喚起を受けて、北朝鮮IT労働者との関わりが疑われる企業等への送金を断る旨を宣言する金融機関の登場も相次いでいる。

2025年4月7日には、日本人2名が、自身の個人情報を北朝鮮のIT労働者に提供して「なりすまし就労」を支援した疑いで書類送検された。日本における、北朝鮮のIT労働者の活動の一端が明らかになりつつある。
政府機関や大企業だけでなく、たとえば中小企業の小規模な制作業務やシステム開発といった案件であっても、北朝鮮と国交のある第三国を経由して資金が流れる可能性などを除外して考えるわけにはいかない。日本においても、顔の見えない相手に安易な気持ちで業務を委託することは許されない時代になっているのだ。