ビデオ面接を4回突破して入社したシニア開発者、会社のノートPCを受け取るや25分でマルウェアをインストール

米司法省が4月15日、北朝鮮のIT人材による米企業への侵入を支援した米国市民2人に、それぞれ108か月、92か月の実刑判決を言い渡した事件

中核的な手口は、米国内の住宅に会社のノートPC数十台を集め、KVMスイッチを使って中国・丹東や瀋陽にいる北朝鮮のIT人材がリモート勤務できるようにした構図

表向きは米国のIP、米国の口座、米国のノートPC、米国人の身元に見えていたが、実際の作業者は北朝鮮のIT人材だった

司法省の発表によれば、80人以上の米国人の身元が盗用され、100社以上の米企業が被害を受け、約500万ドルが北朝鮮に渡った

一部の事件では、カリフォルニアのAI防衛産業企業のITAR統制データにまで海外の共謀者がアクセスしたとされ、単なる就職詐欺ではなく防衛技術流出の問題へと拡大

セキュリティ業界は、この問題がはるかに広範囲に及ぶと見ている

MandiantのCTOはRSAC 2025で、ほぼすべてのCISOが北朝鮮のIT人材を少なくとも1人、多い場合は数十人採用してしまった経験を認めたと述べた

Googleも自社の採用パイプラインで北朝鮮のIT人材の応募者を検知したと明らかにしており、一部の暗号資産スタートアップは、米国人を装う北朝鮮人エンジニア応募者が圧倒的に多いと主張している

セキュリティ意識向上トレーニング企業KnowBe4も被害事例を公開

バックグラウンドチェック、ビデオ面接4回、写真確認まで実施したにもかかわらず応募者は通過し、会社が送ったMacワークステーションが到着してから25分でマルウェアが実行された

最近では、解雇後にソースコードや内部データを人質に取ってビットコインを要求する手口へと進化している

単に給与をだまし取る構図ではなく、内部脅威、ランサム、国家系ハッキング組織とのつながりに発展しうる複合攻撃へと変質している

重要な変化は、北朝鮮がハッキングや暗号資産の窃取だけで資金を得るのではなく、米企業の正式な給与システムに「従業員」として入り込み収益を生み出した点にある

従来の対北朝鮮制裁の執行が金融機関、海運会社、ペーパーカンパニーの追跡に重点を置いていたとすれば、今回の事件はHR、採用、リモートワーク基盤そのものが制裁回避の経路になりうることを示している

この事件の本質はセキュリティチームだけの問題ではなく、採用市場全体が攻撃面になったということ

面接、本人確認、機器配送、社内ネットワーク接続まですべて通過した応募者が、実際には米国内にいない開発者である可能性があるという点で、リモート採用時代の新たなサプライチェーン攻撃に近い