北朝鮮とつながりのあるIT技術者が、当局の監視強化を受けて、米国外のブロックチェーン企業への侵入活動を活発化させている。イギリスの仮想通貨プロジェクトに従事していたケースも確認されており、グーグルが警鐘を鳴らしている。
グーグルの脅威分析部門であるグーグル脅威情報グループ(GTIG)のアドバイザー、ジェイミー・コリアー氏は、4月2日に発表したレポートの中で、米国が依然として主要な標的である一方、就労資格の確認が厳格化したことで、北朝鮮のIT技術者らが米国外の企業に職を求める動きが強まっていると指摘した。
「米国内での脅威認識が高まる中で、彼らは不正なペルソナを活用し、より機動的な作戦を展開するためのグローバルなエコシステムを築いている」とコリアー氏は述べた。
イギリス国内でも協力者が発見されており、北朝鮮のネットワークが急速に国際的な基盤を築いている可能性があるという。
北朝鮮のIT技術者の活動範囲が拡大. Source: Google
対象となるプロジェクトは、従来型のウェブ開発から、ソラナやアンカーのスマートコントラクト開発など高度なブロックチェーンアプリケーションにまで及んでいる。ブロックチェーン技術を活用したAIアプリケーションや求人プラットフォームにも、北朝鮮の関与が確認された。
「これらの技術者は合法的なリモートワーカーを装い、企業に潜入して北朝鮮のために収益を確保している」とコリアー氏は警告している。「北朝鮮のIT人材を採用することは、諜報活動、データ窃取、業務妨害のリスクを企業にもたらすことになる」。
欧州市場へのシフトが加速
グーグルの調査によれば、イギリスに加えて、北朝鮮のIT技術者は欧州市場にも注力しており、ある人物はヨーロッパ各地で12以上の偽装した身分を使い分けていた。また、セルビア・ベオグラード大学の学位やスロバキアの居住歴を記載した履歴書も確認された。
別のGTIGの調査では、ドイツやポルトガルでの就職活動、欧州の求人サイトへのログイン情報、利用手順のマニュアル、さらには偽造パスポートを専門に扱うブローカーの存在までもが明らかになっている。
さらに2023年10月以降、こうした北朝鮮のIT人材は脅迫行為を増やし、大手企業を標的にする傾向が強まっている。GTIGは、米国での締め付け強化によって資金源の維持に焦りが出ているためと分析している。
「解雇された技術者らが、かつての雇用主に対し機密データの流出をほのめかすなど、脅迫行為に及んでいる」とコリアー氏は述べた。流出が危ぶまれる情報には、社内プロジェクトのソースコードや機密仕様などが含まれているという。
2024年1月には、米司法省が2018年4月から2024年8月までに少なくとも64社に関与した不正IT就労スキームに関して、北朝鮮国籍の2名を起訴している。さらに米財務省外国資産管理局(OFAC)は、北朝鮮のリモートIT就労スキームを運営するフロント企業を制裁対象に指定した。
仮想通貨プロジェクトの創業者らも、北朝鮮のハッカーによる活動が活発化していると報告しており、3月13日には少なくとも3名の創業者が、偽のZoom通話を用いた機密情報の窃取未遂を阻止したと明かしている。
2023年8月には、ブロックチェーン調査者のZachXBT氏が、月間50万ドルを稼ぐ北朝鮮開発者のネットワークを突き止めた。これらの開発者の多くは「有力な仮想通貨プロジェクト」に所属していたという。
