- 北朝鮮出身の偽IT求職者の問題が、ほとんどの大企業で広く確認されている
- 彼らの侵入手法は、AI、ディープフェイク、偽造身元情報など多岐にわたり、内部資料の窃取や身代金要求にまで発展することもある
- 最近では米国だけでなく、欧州企業も標的となっており、その大半がリモートワーク職で発生している
- 企業は採用プロセスにおける文書確認、対面オンボーディング、指標(IoC)の共有など、多様な防御戦略を導入している
- 犯罪手口が進化し組織犯罪へと拡大しているため、セキュリティチームと採用チームの連携・教育、人的ファイアウォールの強化が不可欠である
概要と現状
- 最近、北朝鮮系の偽IT求職者の問題はグローバル大企業で一般的に発生している
- Fortune 500企業のCISOの多くがこの問題に直面したと述べており、Google、Snowflakeなどのセキュリティ担当者も社内採用プロセスで同様の事例を確認している
- 米司法省は、直近6年間のこれらによる被害額が8,800万ドルに達すると発表した
- 一部のケースでは、彼らが内部システムへのアクセスを通じてソースコード・機密情報の窃取や身代金要求に至った事例も報告されている
- 米国企業の警戒強化により、現在は欧州市場を狙った活動も急増している
採用プロセスにおける特徴的な傾向
- Socureなどの企業では、最近数千件にのぼる異常な応募書類が押し寄せている
- LinkedInプロフィールは浅くつながりの数も少ない一方で職歴は華やかであり、電話番号・メールアドレス・VPN利用などに不整合が検出される
- ビデオ面接では、西洋風の名前にもかかわらず東アジア系の外見やアクセントを持つなど、人口統計的に不自然なケースが繰り返し見られる
- 応募者の回答がChatGPTなどのAIツールの応答と似ているケースも多数検出されている
- 実際には親しみやすく正常な印象を与えるが、詳しく確認すると多くの不審な兆候が見つかる
セキュリティチーム・採用チーム連携の必要性
- 採用担当者の多くはサイバーセキュリティや本人確認に関する知識が不足しており、HRとセキュリティチームの間のコミュニケーション不足が問題となっている
- Netskopeなどは、セキュリティ・HR・法務部門の会議や現地FBIのブリーフィングなど、多者連携の体制を整えている
- リモートワーク環境では、PC受け取りのためのオフライン訪問や住所確認など、実在確認のプロセスが重要に機能する
- 書類検証を求めると、偽応募者が途中で離脱する現象も繰り返し観察されている
AIと情報共有による対応策
- AIやディープフェイクなどの新技術を悪用する事例は増えているが、SnowflakeなどではIoC(侵害指標)データセットの構築やパートナーとの情報共有を活用している
- IoCには、メールアドレス、実在住所、電話番号など、偽造に使われやすい情報が含まれる
- 人的ファイアウォール(採用担当者の教育)戦略として、履歴書の誇張、面接回答の遅延、技術的な混同、コールセンター環境などの手がかりを見抜く方法を浸透させている
- 最終的には、対面面接と、やむを得ない理由で対面が不可能だとする言い訳は、強い疑いの根拠と見なされる
- 企業、パートナー、政府機関の連携により、事前スクリーニングの段階で疑わしい応募者の流入自体を遮断している
組織化・犯罪化の拡大見通し
- 犯罪組織は、収益性の高い手口が確認されると、迅速に模倣・拡散する傾向がある
- この現象は北朝鮮主導に限定されず、他国や組織犯罪にまで拡大する可能性が高い
- あらゆる採用プロセスでセキュリティと採用チームの連携強化、および最新事例に関する教育の必要性が高まっている
1件のコメント
Hacker Newsの意見
対面での本人確認手続きを必須にすれば、こうした問題を防げると思う
LinkedInの接続数が25件しかないプロフィールで本物/偽物を見分けるという話だが、実際にはハッキングされたLinkedInアカウントもある。同僚のアカウントがハッキングされたことがあり、1,000人以上の実在する人脈がある状態だった。写真と名前は東アジア風に変えられ、CVも米国の国防契約業者での経歴に書き換えられていた。運良く自動アカウントロック機能のおかげで発覚したが、この状態で長く放置されていた可能性もあった。何千人とつながっている人でも、全員をいちいち覚えているわけではないし、名前変更の通知もないので、こうした乗っ取られたプロフィールが北朝鮮のIT人材に売られて悪用されるのは十分あり得る
Jeff Geerlingが最近FBIから連絡を受けた体験を共有していたが、その内容は北朝鮮のIT偽装求職者が戦略的に使うミニKVM機器に関するものだった。関連動画
ここでいうKVM機器は複数のノートPCに接続され、人の家の地下室や部屋のような場所で実際に運用されていると聞いた。誰かが会社支給のノートPC1台あたり月額で一定額を受け取り、そのノートPCに小型KVMを差して、リモート勤務者が接続できるようにする。この過程で追跡はかなり難しくなる
よく分かっていないのだが、KVMって正確には何をする機器なんだ? ただEthernetとHDMIポートがあって遠隔操作できる、というものなのか? それに、北朝鮮の人たちが実際に他人の家に侵入してこれを差し込むのがよくあることのように語られているが、あまり想像がつかない。FBIがなぜJeff Geerlingに連絡したのかも理解できない。正直、自分はKVMといえばLinuxのカーネル仮想化の意味でしか知らなかった
「米国のIT企業が偽の応募者を見抜くのがうまくなり始めたことで、いまや欧州企業が新たな標的になっている」という話があった。自分が米国で働いたすべての会社は、身元をかなり徹底的に確認していた。ほぼすべての会社がバックグラウンドチェックを標準で行っている。欧州企業のほうがむしろ少し緩いように思える
米国企業のバックグラウンドチェックは、私生活に踏み込みすぎるほど過剰なことがある。たとえば採用前に信用情報の調査、カード・車・家の残債、月々の返済額、過去7年間の年収まで確認を求められる。これはやりすぎだと思う。こちらの事情を全部把握されるので、年収交渉などでも不利になる
実際に企業で誰かに「あなたの身元を貸してくれないか」と持ちかける事例も報告されている。見た目上はその人を使い、実際の仕事は自分たちが処理する。給与を分け合う仕組みだ。もちろん非常に危険で違法な要素が多いが、それでも手っ取り早く金を稼ぎたい人はかなりいる
多くの欧州企業は、そもそもリモートワーク自体を提供していないか、ごくまれにしか提供していない。仮にビデオ面接や電話面接をしても、ほぼ必ず対面面接を求める。だから少なくともその国に実際に住んでいることを前提として期待しているし、現地語の運用能力を求めることもあるので、北朝鮮のIT人材がこの過程を突破するのはずっと難しい
バックグラウンドチェックも完璧ではない。履歴書が捏造された身分のものかもしれないし、米国人の身元を買って使うこともある。I-9本人確認を破れるほぼ唯一の方法だ。バックグラウンドチェックにもいろいろな種類があって、前職確認のような面倒な手続きを最初から省く会社も多い。推薦状チェックも意味がなく、推薦人自体を捏造できるからだ。結局、推薦人についても本人確認が必要になる
それは詐欺の一種だ。新しく米国に来た移民なら、バックグラウンドチェックすら問題なく通ってしまうことがある。よくある手口の一つは、偽造学位と経歴で契約プログラマーとして就職し、仕事を一晩のうちにアジアへ外注することだ。ChatGPTの助けで、モニターの写真を撮るだけですぐテキストに変換できるので、リモート作業はさらに簡単になっている。自分の業務の一部を外部委託する開発者さえ珍しくなく、こうしたやり方で複数の職場に同時に勤めている人もいる
こういう詐欺師たちが実際に就職に成功した場合、その次の目的が何なのか気になる。産業スパイのように情報だけを集めるのか、実際に任された仕事もするのか、それとも入社してすぐにできるだけ資料や金を持ち出し、見つかったら逃げるのか。IT業務の能力自体があるのかも含めて、全部気になる
どこかで見たツイートによれば、応募者に金正恩を批判させてみれば北朝鮮所属かどうか見分けられるらしい
これは1〜2回試されるだけですぐ無力化される方法だ。もし自分がスパイや秘密作戦の最中なら、組織としてどんなことでも言わせるようにすると思う
誰かに「金正恩を批判してみて」と言われたら、自分はその時点で会話を終える。批判なら自分がしたいときに自由にする。そんなやり方では、むしろ本物の応募者がふるい落とされるかもしれない
実際にこうしたスクリーニングが増えれば、「ああ、自分は見破られたな」と思ったり、リスクが高くなったと判断して、自分から離脱する傾向もあるだろう。メール詐欺師がわざと稚拙な文法を使う理由と同じで、最初から難しい相手は早くふるい落とし、簡単なケースだけを狙う戦略だ
こういう質問は慎重に扱う必要がある。人種や移民ステータスに関係なく、すべての応募者に同じ質問をしたという証拠が残らなければならない。実際にはアジア人でない人や英語圏ネイティブにもこうした質問をしたほうが安全だ。なぜなら北朝鮮も今後、こうした代理人や外部協力者を使って応募してくる方向に進むかもしれないからだ
こういう事例が次々に出てくるのが不思議だ。自分のような普通の善良な人間ですら、まともな仕事を見つけるのは難しいのに、こうした偽の応募者は次々に採用されている。いったい企業は何をしているのかと思う
入社初週を丸ごと対面勤務にすればどうだろう? オンボーディング名目で簡単に正当化もできるし、それでこういう問題は解決すると思う
すべての会社にオフィスがあるわけではない。自分がいた前の職場では、入社から6か月経ってようやくオフィスができたし、国内の半数以上の社員にとってはオフィスまで3〜4時間かかる距離だった。実際、対面で会ったことがあるのはチームの一部だけで、残りは世界3大陸に散らばっている
コロナ以降、完全リモート勤務・完全リモート採用が一般化したので、現実には対面オンボーディングは急速に消えた。だが、こうした問題への認識が高まるにつれて、対面面接と出社が再び標準に戻る可能性は高い
可能ではある。みんなが強力なパスワードを使えばセキュリティに良いのと同じだ。現実には多くの会社がまだそうしていない。もう一つの理由は、初週の対面勤務を強制すると人材プールが狭まるからだ。最近は強制出社や100時間労働のような雰囲気もあるが、それでも欠点はある
自分がいた職場では、3か月間は無条件で対面出社しなければならなかった。オフィスといっても小さなワンルーム程度だったが、目的を達成するには十分だった
初週の対面勤務を義務化すれば、より改善されると思う。もちろんそれでも言い訳を並べ立てたり、特定の食べ物だけDoorDashで頼むなど、口実はたくさん出てくるだろう
同僚の一人くらい、むしろこういう人だったほうがよかったと思ってしまう
何かおかしい。開発者たちは何百社も応募してやっと面接1回あるかないかというのに、いざ英語もたどたどしい北朝鮮のIT人材は仕事を取り続けている。LinkedInでも、もう最高指導者を称賛でもしないといけないようなものだ
詐欺は本当にうまい人がやってこそ成功する。徹底的に嘘をつくことに特化し、応募者パイプラインを探す役、合格させる役、面接対応など、複数の役割に分かれている。自動化も多用していて効率も大幅に高い。個人の開発者は応募ポイント、履歴書、面接などで何十回も落とされるばかりで、嘘をつこうともしないから成功確率が低い。だが、こうした詐欺組織は一日中ひたすらこの仕事だけをしているので、どんどん上達する。実際の開発者は就職に成功すればもう求職しないが、詐欺師はずっと求職スキルを磨き続ける
彼らは現実の制約を気にしない。履歴書にはハーバード卒、Meta在籍経験など、ありとあらゆる経歴を盛り込む。そして採用担当者はそうした経歴に目を引かれて、自分の履歴書より上に置いてしまう
自分も怪しいメールアドレスから「仕事は自分が取ってやるから、面接だけあなたがやって、あとは全部こちらでやる。偽名と大金を保証する」というメールを何度も受け取ったことがある。ここまで来ると、自分の履歴書がそれなりに良いから、こういうタイプの詐欺に引っかかりやすい対象だと判断されたのだろうと思う。ただ、このやり方はあまりにも雑に作られた詐欺だ。エンジニアの99%はこんなメールを気にも留めないか、すぐ無視する
実際には、こういう人たちは本当に仕事を得るというより、面接までは通るという程度なのではないか
おそらくこういう人たちは、複数のアイデンティティを使い分けているのだと思う