「恐喝やスパイ行為が横行」 暗躍する北朝鮮IT労働者の脅威をGoogleが警鐘：セキュリティニュースアラート

Googleは北朝鮮IT労働者の活動が欧州に拡大していると警告した。彼らは複数の身分を偽装し、企業に潜入して収益を得ることで北朝鮮政権を支援している。過去には同労働者が日本企業でも雇用されている事実が明らかになっている。

[後藤大地，有限会社オングス]

　Googleは2025年4月2日（現地時間）、北朝鮮に関連するIT労働者の活動が欧州を中心に拡大していると発表した。Googleの脅威インテリジェンスグループ（GTIG）によると、これらのIT労働者は正規のリモートワーカーを装い、企業に潜入して収益を生み出し、同国の政権を支援しているという。雇用した企業はスパイ行為やデータ窃取、業務妨害といったリスクにさらされる可能性がある。

企業を狙う恐喝行為も発生　北朝鮮IT労働者の雇用に要注意

　これまで主に米国で活動していた北朝鮮IT労働者が2024年後半から欧州各国へと活動の範囲を広げていることが分かった。これは米国における警戒レベルの向上や法的対策の強化によるものとされ、米国内での雇用獲得が困難になったことが一因と考えられている。2024年後半には、1人の北朝鮮IT労働者が欧州や米国で少なくとも12の異なる身分を使い分けて活動していたことが判明している。この北朝鮮IT労働者は複数の防衛産業基盤や政府関連の組織に対して積極的に就職を試みていた。

　この他、ドイツやポルトガルで別の北朝鮮IT労働者による就職活動が実施されていた他、欧州の求人サイトや人材管理プラットフォームのアカウント情報も発見されている。北朝鮮IT労働者による多様な活動が英国でも確認されている。これらの活動にはWeb開発やbot開発、CMS開発、ブロックチェーン技術などが含まれ、幅広い技術的専門知識を有していることが明らかにされている。

　北朝鮮IT労働者はイタリアや日本、マレーシア、シンガポール、ウクライナ、米国、ベトナムなどさまざまな国籍を装い、雇用企業を欺いていたことも判明している。彼らの採用活動は「Upwork」や「Telegram」「Freelancer」といったオンラインプラットフォームを通じて実施され、報酬の受け取りには暗号資産（仮想通貨）や「TransferWise」「Payoneer」などの送金サービスが利用されていたという。

　北朝鮮IT労働者の活動を支援する仲介者の存在も確認されている。これらの支援者は偽造身分証の取得や資金の移動を手助けしていることが分かった。例えば、ある北朝鮮IT労働者は、米国と英国にいる仲介者に支援してもらい、ニューヨークの企業で使用される予定だったノートPCがロンドンで使われていたことが判明している。また、セルビア・ベオグラード大学の学位をもつスロバキア在住の人物名を偽装する履歴書など、欧州での就職活動を円滑に進めるための細かい偽装工作が確認されている。

　GTIGの分析によると、2024年10月以降、北朝鮮IT労働者による恐喝行為が増加し、大企業を標的とするケースも確認されている。これらの北朝鮮IT労働者は解雇された際に企業の機密データやソースコードを漏えいさせると脅迫し、場合によっては競合他社に提供することで利益を得ようとするケースが確認されており、このような恐喝行為の増加は米国における法執行機関の摘発強化と関連があると考えられている。

　最近では企業が従業員に支給するノートPCの代わりに、個人所有のデバイスを使用するBYODポリシーを採用するケースが増えている。BYODでは企業用デバイスに搭載されているセキュリティ監視ツールが欠如していることが多く、不正行為の検出が困難になる。北朝鮮IT労働者はセキュリティの甘さを悪用し、企業の仮想化インフラを通じて活動している。

　北朝鮮IT労働者の活動は、もはや米国だけでなく欧州を含むグローバルな問題となっている。法的対策が進む米国から逃れる形で欧州へのシフトが進んでおり、技術的な専門知識を駆使してさまざまな業界に潜入している。恐喝行為の増加や仮想化インフラの悪用といった新たな戦術が登場し、企業にとってさらなる脅威となっている。Googleは企業がこれらのIT労働者を雇用しないよう注意喚起するとともに、セキュリティ対策の強化を呼びかけている。