世界を動かす技術を、日本語で。

北朝鮮の偽IT労働者問題は普遍的である

2025年7月13日原文(theregister.com)

概要

  • 北朝鮮発の偽IT労働者問題 が世界中で拡大
  • 大手企業のCISOも被害を認識、Googleなども例外ではない
  • 偽応募者は巧妙化・AIやディープフェイクも活用
  • HR部門とセキュリティ部門の連携不足 がリスク要因
  • 採用時の本人確認や現地面接など対策が急務

北朝鮮系偽IT労働者問題の現状

  • 北朝鮮発の偽IT労働者 による詐欺がグローバル企業で常態化
  • Mandiant Consulting CTOやGoogle Cloud幹部 も自社で被害を認める
  • Snowflakeなど他社も同様の被害、米国司法省によれば被害額は6年で8800万ドル
  • 詐欺師は内部情報やソースコード窃取・恐喝 も実施
  • 米国企業の警戒強化により欧州企業も標的化
  • 応募者の多くはリモートワーク希望のエンジニアや開発者

偽IT労働者の特徴と手口

  • ディープフェイク動画やAIでの履歴詐称 も確認
  • LinkedInプロフィールが浅く、履歴書は過剰に立派
  • MetaやIvy League卒など経歴を詐称しつつ、SNSの繋がりは少数
  • 西洋風の名前と東アジア系の外見・アクセントの不一致
  • 新規メールアドレスや地理的に不一致な電話番号、VPN利用
  • 学歴・職歴の裏付けが取れないケース多数
  • ChatGPTの回答を活用した面接応答のパターンも観測

採用現場での課題とリスク

  • HR担当者はサイバーセキュリティや詐欺検出の専門家ではない
    • HR部門とCTO/CISOとの連携不足 がリスク増大要因
    • 大企業ほど部門間連携が難しく、気付きにくい構造
  • NetskopeやSocureなども被害や対策を実施
    • FBIや法務部門と連携しスクリーニング強化
    • 外部採用エージェントと不正応募者情報を共有
    • リモートワーク普及で本人確認がより困難に

有効な対策と実践例

  • 現地でのPC受け取りや対面オンボーディングの義務化
  • 応募者住所の二重・三重チェック
  • 書類確認や本人確認(ドキュメント認証)を徹底
  • 不正応募者は現地対応や追加認証で辞退する傾向
  • AIや脅威インテリジェンスを活用したIOC(侵害指標)リストの運用
    • メールアドレス・住所・電話番号のブラックリスト化
  • 「ヒューマンファイアウォール」として面接官への教育
    • 経歴が不自然に豪華、回答遅延、技術や製品の混同、コールセンター環境などの兆候を警戒
  • 最終面接は必ず対面で実施、理由なく拒否する場合はレッドフラグ

今後の展望と警鐘

  • 犯罪者は手口を進化させ模倣も拡大
  • 北朝鮮発だけでなく他の犯罪組織も同様の手法を採用する恐れ
  • 全ての企業が「自社も標的」と認識し、部門横断的な対策の強化が不可欠

Hackerたちの意見

ジェフ・ギアリングが最近、FBIに連絡を受けて、北朝鮮の偽ITワーカーが他の国から来ているように見せかけるために使うミニチュアKVMについて話してたよ。 https://www.youtube.com/watch?v=Lc2hB2AwHso

この場合、KVMは人々の地下室や予備の寝室で動かしている複数のノートパソコンに接続されているみたい。誰かが、会社から支給されたノートパソコン(アメリカの会社から)を受け取って、これらの小さなKVMを接続することで、リモートワーカーが検出されにくい形でアクセスできるように、月ごとにノートパソコン1台あたり一定の金額を得るみたい。

本当に悲しいのは、今、働いてない開発者がたくさんいるってこと。こういうことがあると、正当な人たちが雇われるのがますます難しくなるよね。これを解決する簡単な方法は、ピアソンみたいなところが認証された面接センターを設けて、両者が確認できるバーチャル面接を可能にすることだと思う。

なんでそのコメントがダウンボートされたのかよくわからないな。話の内容には関係ないように思えるし。実現可能かはわからないけど、考える価値はあると思う。

面白いアイデアだね!これはコワーキングスペースのビジネスコンセプトの自然な延長のように思える。

もう一つの解決策は、__会員認証__を含む労働組合かもしれないね。市民権(どの国の市民か?)、スキルテストやトレーニングなども含めて。競争には健康的な市場を作るために5つ以上の同じ規模の企業が必要なように、労働組合も圧倒的な市場シェアを持たない方がいいと思う。ただ、労働組合と企業の契約については、複数の企業と複数の労働組合の間で交渉されるべきだと思う。そうすれば、できるだけ公平な競争の場が作れるんじゃないかな。

アメリカの面接プロセスはすでにめちゃくちゃだけど、これが加わったらさらにおかしくなるね。正直、ライセンスの方がまだマシかも。

北朝鮮の労働者が働く権利がないとは思わないな。

面接センターが金を取って嘘をつくって問題にならない?仕事を始めるときにI-9の確認を受けるけど、そのプロセスが偽物を見抜けないなら、他の確認がどうやってうまくいくの?

ツイートは見つからないけど、どうやら彼らに金正恩を批判するように頼むことで、フィルタリングできるらしいよ。

誰かに金正恩を批判するように頼まれたら、その時点で会話は終わりだね。自分で批判するか、全くしないかだと思う。多分、偽陽性になっちゃうだろうな。

誰かがそれを試みた後もまだ真実だとしたら、ちょっと驚きだね。もし潜入捜査をしてるなら、エージェントにはカバーを維持するために必要なことを言わせるバックアップを与えるでしょ。

Hacker Newsで議論の続きを見る