ハクソク

世界を動かす技術を、日本語で。

北朝鮮の偽IT労働者問題は普遍的である

316日前原文(theregister.com)

概要

  • 北朝鮮発の偽IT労働者問題 が世界中で拡大
  • 大手企業のCISOも被害を認識、Googleなども例外ではない
  • 偽応募者は巧妙化・AIやディープフェイクも活用
  • HR部門とセキュリティ部門の連携不足 がリスク要因
  • 採用時の本人確認や現地面接など対策が急務

北朝鮮系偽IT労働者問題の現状

  • 北朝鮮発の偽IT労働者 による詐欺がグローバル企業で常態化
  • Mandiant Consulting CTOやGoogle Cloud幹部 も自社で被害を認める
  • Snowflakeなど他社も同様の被害、米国司法省によれば被害額は6年で8800万ドル
  • 詐欺師は内部情報やソースコード窃取・恐喝 も実施
  • 米国企業の警戒強化により欧州企業も標的化
  • 応募者の多くはリモートワーク希望のエンジニアや開発者

偽IT労働者の特徴と手口

  • ディープフェイク動画やAIでの履歴詐称 も確認
  • LinkedInプロフィールが浅く、履歴書は過剰に立派
  • MetaやIvy League卒など経歴を詐称しつつ、SNSの繋がりは少数
  • 西洋風の名前と東アジア系の外見・アクセントの不一致
  • 新規メールアドレスや地理的に不一致な電話番号、VPN利用
  • 学歴・職歴の裏付けが取れないケース多数
  • ChatGPTの回答を活用した面接応答のパターンも観測

採用現場での課題とリスク

  • HR担当者はサイバーセキュリティや詐欺検出の専門家ではない
    • HR部門とCTO/CISOとの連携不足 がリスク増大要因
    • 大企業ほど部門間連携が難しく、気付きにくい構造
  • NetskopeやSocureなども被害や対策を実施
    • FBIや法務部門と連携しスクリーニング強化
    • 外部採用エージェントと不正応募者情報を共有
    • リモートワーク普及で本人確認がより困難に

有効な対策と実践例

  • 現地でのPC受け取りや対面オンボーディングの義務化
  • 応募者住所の二重・三重チェック
  • 書類確認や本人確認(ドキュメント認証)を徹底
  • 不正応募者は現地対応や追加認証で辞退する傾向
  • AIや脅威インテリジェンスを活用したIOC(侵害指標)リストの運用
    • メールアドレス・住所・電話番号のブラックリスト化
  • 「ヒューマンファイアウォール」として面接官への教育
    • 経歴が不自然に豪華、回答遅延、技術や製品の混同、コールセンター環境などの兆候を警戒
  • 最終面接は必ず対面で実施、理由なく拒否する場合はレッドフラグ

今後の展望と警鐘

  • 犯罪者は手口を進化させ模倣も拡大
  • 北朝鮮発だけでなく他の犯罪組織も同様の手法を採用する恐れ
  • 全ての企業が「自社も標的」と認識し、部門横断的な対策の強化が不可欠

Hackerたちの意見

ジェフ・ギアリングが最近、FBIに連絡を受けて、北朝鮮の偽ITワーカーが他の国から来ているように見せかけるために使うミニチュアKVMについて話してたよ。 https://www.youtube.com/watch?v=Lc2hB2AwHso

この場合、KVMは人々の地下室や予備の寝室で動かしている複数のノートパソコンに接続されているみたい。誰かが、会社から支給されたノートパソコン(アメリカの会社から)を受け取って、これらの小さなKVMを接続することで、リモートワーカーが検出されにくい形でアクセスできるように、月ごとにノートパソコン1台あたり一定の金額を得るみたい。

本当に悲しいのは、今、働いてない開発者がたくさんいるってこと。こういうことがあると、正当な人たちが雇われるのがますます難しくなるよね。これを解決する簡単な方法は、ピアソンみたいなところが認証された面接センターを設けて、両者が確認できるバーチャル面接を可能にすることだと思う。

なんでそのコメントがダウンボートされたのかよくわからないな。話の内容には関係ないように思えるし。実現可能かはわからないけど、考える価値はあると思う。

面白いアイデアだね!これはコワーキングスペースのビジネスコンセプトの自然な延長のように思える。

もう一つの解決策は、__会員認証__を含む労働組合かもしれないね。市民権(どの国の市民か?)、スキルテストやトレーニングなども含めて。競争には健康的な市場を作るために5つ以上の同じ規模の企業が必要なように、労働組合も圧倒的な市場シェアを持たない方がいいと思う。ただ、労働組合と企業の契約については、複数の企業と複数の労働組合の間で交渉されるべきだと思う。そうすれば、できるだけ公平な競争の場が作れるんじゃないかな。

アメリカの面接プロセスはすでにめちゃくちゃだけど、これが加わったらさらにおかしくなるね。正直、ライセンスの方がまだマシかも。

北朝鮮の労働者が働く権利がないとは思わないな。

面接センターが金を取って嘘をつくって問題にならない?仕事を始めるときにI-9の確認を受けるけど、そのプロセスが偽物を見抜けないなら、他の確認がどうやってうまくいくの?

ツイートは見つからないけど、どうやら彼らに金正恩を批判するように頼むことで、フィルタリングできるらしいよ。

誰かに金正恩を批判するように頼まれたら、その時点で会話は終わりだね。自分で批判するか、全くしないかだと思う。多分、偽陽性になっちゃうだろうな。

誰かがそれを試みた後もまだ真実だとしたら、ちょっと驚きだね。もし潜入捜査をしてるなら、エージェントにはカバーを維持するために必要なことを言わせるバックアップを与えるでしょ。

ここではプロファイリングに気をつける必要がありそうだね。人種や移民ステータスに関係なく、すべての候補者にこの質問をしている証拠を用意しないといけないかも。それに、北朝鮮の人じゃない人にも聞かなきゃいけないってことだよね(でも、これは一般的にはいいことかも。北朝鮮の体制が広まったら、アジア人じゃない人やアメリカのアクセントを持つ人を面接に使うようになるかもしれないし)。

政府がオンラインで超シンプルな「身分確認」サービスを提供できればいいのに。今の時代、これくらいは基本的なサービスだと思う。

その問題が解決するかは分からないな。10年くらい前、LinkedInで「名前と顔を貸してほしい」って中国のリモートワーカーのチームから連絡が来たことがあった(多分そんな言葉じゃなかったけど)。詳細を聞かずにそのオファーを断った。実際に中国からだったかは分からないけど。

政府がオンラインで超シンプルな「身分確認」サービスを提供できればいいのに。今の時代、これくらいは基本的なサービスだと思う。スロベニアでは個人証明書を発行して、オンラインで自分を確認できるんだ。主に銀行や電子政府で使われてる。商業分野では面倒すぎるってことになったらしい。素晴らしいアイデアだよ。15年前に大学にいたときに導入が始まった。政府のIDを発行する場所に行けば、政府が発行するSSH証明書のようなものももらえるんだ。それで自分の身分が確認されるってわけ。残念ながら、SSHと同じくらい使いづらいんだよね。オタクにはいいけど、ただ銀行にログインして税金を払いたい普通の人には面倒すぎる。最後に覚えてるのは(約10年前にアメリカに引っ越した)、彼らの電子署名用ブラウザウィジェットや拡張機能が非Windowsマシンでちゃんと動くのが地獄だったこと。ほとんどのMac/Linuxユーザーは、年に一度の税金のためにVMWareのVMを丸ごと動かしてたよ。

E-Verifyシステムって、そういうものでしょ?今、いくつかの会社が、ICEが突然来るってことに気づいて、あんまり期待できないって感じてるみたい。

そうだね、ファシストに完全な身元追跡ツールを与えようってわけか。

提供してるよね?ロシアには「gosuslugi」っていう政府サービスがあって、銀行や他の組織が身元確認に使えるんだ。ただ、登録するとアプリを通じて徴兵通知が来るから、登録しない方がいいよ。

なんかおかしいよね…開発者は返事すらもらえないのに、面接なんて夢のまた夢…一方で、ほとんど英語ができない北朝鮮のIT労働者が仕事をゲットしてるってどういうこと?LinkedInで最高指導者を称賛する時かな?

変なメールアドレスから、面接のオファーが何通も来たことがあるよ。もし雇われたら、仕事のことは全部やってくれるって。偽名で、私にとっては大金になる。面接さえうまくいけばいいんだ。私の履歴書はピカピカだし、何度も雇われたから、こういう詐欺にはいい候補者だと思う。でも、彼らにとってはかなり不器用なアプローチだね。99%のエンジニアは、こういう突然のオファーを無視するか、真剣に受け止めないだろう。

彼らは多くの身元を使ってるんじゃないかな。

インドの同僚のほとんどはほとんど読み書きできないけど、それでもオフショアリングは全然止まらないよ。

人々は独身だけど、ロマンス詐欺は存在するよね。詐欺師は詐欺が得意なんだ。正しい嘘をつくのが上手で、チームで動くことが多い(リードを見つける人、クロージングする人、その他いろいろ)、適切なところでは自動化も使うしね。単独の開発者はリードを見つけるコードや履歴書のコード、インタビューのコードを解読するのが難しいかもしれないし、3週間後にクビになるような嘘をつかないようにするのも大変。でも、応募プロセスをフルタイムの仕事として扱うチームなら、ずっと楽だよ。開発者が仕事を見つけるのが上手くなると、もう探さなくなるけど、詐欺師はそれが得意になって、さらに上手くなり続けるんだ。

彼らが仕事を得ているとは言えないけど、面接は受けているみたいだね。

アメリカの企業が偽のIT労働者問題に気づくにつれて、求職者はますますヨーロッパの雇用主を狙うようになっている。私が働いたアメリカの会社は、何かにログインする前に私が本物かどうか確認してたから、背景チェックはどこでも普通だと思う。ただし、一番安い会社を除いてね。ヨーロッパの雇用主は、逆に…

ヨーロッパの雇用主は… 多くのヨーロッパの雇用主はリモートの仕事をほとんど提供しないから、この問題はあまりないんだ。 - たとえ事前にビデオや電話インタビューをしても、ほとんどの場合、事前にふるい落とされない限り、候補者には対面のインタビューに来てもらうことを期待してる。だから、雇用主のいる場所に簡単に旅行できる国に住んでいることが求められるんだ。 - 従業員にはその国の言語を話せること、または早く学ぶことを期待することが多い。これが北朝鮮の偽IT労働者にとっては厳しい状況を生んでる。

バックグラウンドチェックは、いつも効果的とは限らないよね。盗まれた身分証明書を使ったり、アメリカ人の身分を買ったりすることが多いから。I-9の確認を通過するためには、そうする必要があるんだ。バックグラウンドチェックにもいろんなレベルがあって、例えば前職の確認は時間がかかるから、スキップする会社もあるよ。リファレンスの確認も役に立たないことが多いし、偽造されることもあるからね(リファレンスの雇用確認をしないと、本当にその人が言ってる通りの人か分からない)。

それは詐欺の一つに過ぎないよ。アメリカに新しく来た人はバックグラウンドチェックを通過するんだ。偽の学位や経験を持った契約プログラマーを大企業に配置して、仕事をアジアに送り返して一晩でやらせるっていうのは、結構一般的な手口だよ。今はChatGPTのおかげで、画面の写真を送ってすぐにテキストを抽出できるから、もっと簡単になった。自分をアウトソーシングする人もいるし、これが複数の仕事をこなす人たちのやり方の一つなんだ。

1週目を対面必須にすればいいんじゃない?それをオンボーディングの一環として簡単に取り入れられるし、これで解決すると思うけど。

そうだね。ほとんどの国に入るにはビザ(またはそれに相当するもの)が必要だよ。申請して受け取るまでに数ヶ月かかることもあるし、パスポートがないって言って、まずはそれを申請するって言えば、さらに時間がかかるよ。

できるよ。誰でも良いパスワードを使えるようにね。でも、実際には多くの人がそうしてない。あと、最初の週に対面でやる必要がない理由もあるよ。才能へのアクセスを減らしちゃうからね。みんなが「全員出社」や「週100時間働く」っていうビジネスサイクルの中にいるのは分かるけど、やっぱりそれでもね。

そもそもオフィスがあるかどうかも怪しいよね。前の会社は、私が雇われてから6ヶ月後までオフィスすらなかったし、国内の従業員の半分は最低でもオフィスから3〜4時間の距離にいたよ。チームのメンバーに直接会ったのはほんの数人だけ。残りの従業員は3つの異なる大陸に分かれてた。

確かにそうだね。最初の3ヶ月はオフィスに出社するのが義務だったよ。オフィスは基本的にアパートの一室で、すごく狭かったけど、仕事はできたよ。

COVIDの影響で、完全にリモートの会社が増えたし、リモート面接も普通になったよね。多くの会社がCOVIDが収束した後もそのまま続けているのは、うまくいってるからなんだ。でも、これからは変わるかもしれないね。対面の面接やオンボーディングが、リモートチームの標準になる可能性が高いと思う。リスクを意識する会社が増えてきてるから。

彼らは25人のコネクションがあるLinkedInプロフィールを簡単な見分け方として挙げてるけど、ちょっとお知らせがあるよ:ハッキングされたLinkedInプロフィール。私の同僚にも起こったことがある。1000人以上の本物で信頼できるコネクションがあるプロフィールがハッキングされたんだ。写真と名前が東アジアっぽいものに変わって、履歴書もアメリカの防衛契約に変更されてた。幸運なことに、自動的にアカウントがロックされたから、しばらくの間は気づかれなかったかもしれない。誰もがLinkedInのコネクションを全部覚えてるわけじゃないし、名前変更の通知もメッセージにはないからね。このプロフィールは北朝鮮の偽IT労働者に売られた可能性が高い。

それに、私みたいにLinkedInのプロフィールすら持ってない人も多いんだよね。「仕事用のパソコンを直接取りに行く」ってアイデアの方が、ずっと信頼できる方法に思える。

少なくとも1人の同僚がこうだったら、もっと良かったかも。

証拠もなしに他国についてそんな主張をするのが許されるのが嫌だな。同じことが中国やロシアのハッカーにも言えるし、要するにアメリカ政府が不満を持っている相手ってことだよね。

ここで何の証拠が足りないの?

「要するにアメリカ政府が不満を持っている相手ってことだよね。」同様に、君もこれに対する証拠はないよね。

俺はこの人たちにインタビューしたことがあるんだ。実在するよ!彼らが北朝鮮の人だとは知らなかったけど、驚きはしないな。

証拠もたくさんあるし、大規模な調査や逮捕も進んでるよ。 「司法省が北朝鮮のリモートIT労働者による不正収益生成スキームに対抗するための全国的な行動を発表」 (justice.gov) https://www.justice.gov/opa/pr/justice-department-announces-... (12日前) https://news.ycombinator.com/item?id=44431853 16州での法執行活動により、29の金融口座、21の詐欺的なウェブサイト、約200台のコンピュータが押収され、起訴や逮捕が行われた。 今日、マサチューセッツ州のアメリカ合衆国検事局と国家安全保障部門が、ニュージャージー州のアメリカ国籍のZhenxing「Danny」Wangを5件の起訴に基づいて逮捕したことを発表した。この起訴は、Wangとその共謀者による、アメリカの企業でリモートITの仕事を得るための数年にわたる詐欺スキームを説明していて、5百万ドル以上の収益を上げていたんだ。