James Pearson

[ロンドン ２１日 ロイター] – 北朝鮮のＩＴ技術者が外貨獲得のため、偽名やソーシャルメディア（ＳＮＳ）の偽プロフィール、偽造履歴書、模擬面接回答集を使うなど丹念に練り上げた策略を駆使し、西側ハイテク企業でリモートワークに就こうと暗躍していることが分かった。

ロイターが入手した関連文書、元北朝鮮ＩＴ労働者へのインタビュー、サイバーセキュリティ―専門家の研究で明らかになった。

米国、韓国、国連によると、北朝鮮政府は数百万ドルの核ミサイル開発資金を手に入れるべく数千人のＩＴ技術者を海外に送り込んでおり、こうした取り組みはこの４年間で加速している。

米サイバーセキュリティ―企業パロアルトネットワークスの研究者は、リモートワークに従事する北朝鮮のＩＴ技術者の活動を詳述した内部文書の一時ファイルを発見。３０ページにおよぶ模擬面接回答集は「優れた企業文化」について尋ねられた際に「アイデアや意見を自由に表現することができる」と回答するよう指示している。当の北朝鮮では、自分の考えを自由に表明すれば投獄される恐れがある。

この文書には北朝鮮の労働者がソフトウエア開発の職に応募するために使った何十件もの不正な履歴書、オンラインプロフィール、面接メモ、偽造ＩＤが含まれている。

ロイターはリークされたダークウェブ（闇サイト群）のデータからさらに証拠を入手。北朝鮮の労働者がチリ、ニュージーランド、米国、ウズベキスタン、アラブ首長国連邦（ＵＡＥ）など本国から遠く離れた国で職を得ようとする際に使用したツールやテクニックの一部が明らかになった。

こうした文書やデータから、資金不足にあえぐ北朝鮮指導部が、外貨獲得の生命線であるこの計画を成功させるために、多大な努力を払い、策略を巡らせてきたことが分かる。

北朝鮮の国連代表部はコメント要請に応じなかった。

米司法省の２０２２年の発表によると、リモートで働くＩＴ技術者は、海外で建設業など肉体労働に従事する北朝鮮の一般的な労働者の１０倍以上の収入を得ることが可能で、リモートのＩＴ技術者がもたらす収入は年間３００万ドル余りに上っている。

ロイターはこの手法がこれまでにどの程度の利益を生んだのかを特定できなかった。

模擬面接回答集にはリモートワークに就かなければならない理由も盛り込まれている。この中で組込みソフトウエアのシニア開発者「リチャード」は、両親が新型コロナウイルスに感染したため一時的にシンガポールに滞在しているが、３カ月後にはロサンゼルスに戻る予定なので、早めにリモートワークを始めることにしたと、リモートワークを希望する理由を説明している。

最近脱北した北朝鮮のＩＴ技術者は面接回答集やデータ、文書を閲覧し、本物だと確認した。使われている戦術やテクニックに見覚えがあり、自分が使ったものと全く同じだという。

米国の司法省と連邦捜査局（ＦＢＩ）は１０月、北朝鮮のＩＴ技術者が企業を欺き、１５０万ドルの資金を詐取するために使用していたとする１７のウェブサイト上のドメインを押収した。

司法省によると、米企業で働く北朝鮮の開発者は偽の電子メールやＳＮＳアカウントを使い、制裁対象となっている北朝鮮企業に代わって年間数百万ドルを生み出している。

＜狙いは外貨＞

米政府は昨年、北朝鮮のＩＴ技術者が滞在しているのは主に中国とロシアだが、一部はアフリカと東南アジアにもおり、１人当たりの稼ぎは年間で最高３０万ドルに達すると公表した。

先の脱北ＩＴ技術者の話では、１人当たりの稼ぎは少なくとも１０万ドルと想定され、うち３０─４０％が北朝鮮に送金されるほか３０─６０％が諸経費に充てられ、労働者の手元に残るのは１０─３０％。こうした労働者は海外に約３０００人、北朝鮮国内に約１０００人いると推定される。「人によって異なるが、基本的に一度リモートの仕事を得れば最短でも６カ月、最長で３─４年働くことができる」という。

パロアルトのサイバー研究部門によると、北朝鮮のハッカーとＩＴ技術者の間にはつながりがあるとされる。一方で先の脱北者は、諜報活動に携わっているのはごく一部で、「ハッカーは別に訓練を受けており、ＩＴ技術者にそうした任務は与えられていない」と証言した。

それでも両者に重なる部分はある。司法省とＦＢＩは、北朝鮮のＩＴ技術者がアクセス権を使って雇用主をハッキングする可能性を警告。流出した履歴書は、北朝鮮ハッカーが以前から標的にしている暗号資産（仮想通貨）業界の企業で活動したことを示している。

＜偽造ＩＤ＞

身元調査会社コンステラ・インテリジェンスのデータによると、北朝鮮ＩＴ技術者の１人は、米国、英国、日本、ウズベキスタン、スペイン、オーストラリア、ニュージーランドの２０余りのフリーランス求人ウェブサイトにアカウントを持っていた。この技術者は電子メールによるコメントの要請に応じなかった。

ダークウェブのリークで集めたデータからは、米国の運転免許証、ビザ、パスポートなど本物そっくりの偽造ＩＤを作成するためのデジタルテンプレートを販売するウェブサイトのアカウントも見つかった。

シンガポールでリモートＩＴの仕事を求めていた「リチャード」は、「リチャード・リー」という名の偽造プロフィールを使っていたとみられる。

ロイターはデジタル認証システムのジュミオで働いた経験があると記載された、プロフィール写真が同一であるリチャード・リー氏のリンクトインのアカウントを発見した。しかしジュミオの広報担当者は、リチャード・リー氏がジュミオに勤務したという記録はないと述べた。

ロイターはリー氏のアカウントにメッセージを送りコメントを求めたが、返答はなかった。リンクトインはロイターがコメントを求めた後、同氏のアカウントを削除した。