北朝鮮のIT詐欺師の日常生活がリークで明らかに

就職活動はまさに地獄だ。求人情報を精査し、カバーレターを微調整し、鈍感なリクルーターとのやり取りに何時間も費やし、しかも面接の可能性もある。世界で最も多くの求職者、あるいは少なくとも最も粘り強い求職者の一部は、北朝鮮の広大なIT人材育成プログラムに応募していると言えるだろう。長年にわたり、金正恩率いる抑圧的な体制は、熟練したプログラマーを海外に送り込み、遠隔地での仕事を見つけて、厳しい制裁下に置かれ孤立した北朝鮮に送金させるという任務を与えてきた。国連の推計によると、毎年何千人ものIT人材が2億5000万ドルから6億ドルの収入をもたらしている。

サイバーセキュリティ研究者が入手した膨大なデータにより、北朝鮮のIT労働者とされるグループがどのように事業を運営し、金儲けの計画に綿密な計画が練られていたのかが明らかになった。米国政府は、詐欺師IT労働者が稼いだ金が北朝鮮の大量破壊兵器開発や弾道ミサイル計画に寄与していると主張している。北朝鮮の詐欺師と関連があるとされるGoogle、GitHub、Slackのアカウントから送信されたメール、スプレッドシート、文書、チャットメッセージには、彼らが求人情報を追跡し、応募中の情報を記録し、収入を細部に至るまで綿密に記録していた様子が記録されている。

北朝鮮のIT労働者の日常生活を垣間見せるこのデータには、求職活動に使える可能性のある偽造ID、カバーレターのサンプル、ラップトップファームの詳細、オンラインアカウント作成に使用されたマニュアルなどが含まれているとされている。これは、北朝鮮の労働者がGoogle、Slack、GitHubといった米国ベースのテクノロジーサービスにいかに依存しているかを改めて浮き彫りにするものだ。

「彼らの内部のオペレーション、つまり彼らの仕事ぶりを目にするのは初めてだと思います」と、ハンドルネームSttyKを使い、プライバシーとセキュリティ上の懸念から匿名を条件に取材に応じたセキュリティ研究者は語る。本日ラスベガスで開催されるセキュリティカンファレンス「Black Hat」で調査結果を発表するSttyKは、匿名の秘密情報源からオンラインアカウントのデータが提供されたと述べている。「数十ギガバイトにも及ぶデータがあります。メールも数千通あります」と、カンファレンスに先立ちWIREDにプレゼンテーション資料を見せてくれたSttyKは語る。

北朝鮮のIT労働者は近年、フォーチュン500に名を連ねる大企業、多数のハイテク企業や暗号通貨企業、そして無数の中小企業に潜入している。すべてのIT労働者チームが同じ手法を用いているわけではないが、彼らは仕事を得るために偽名や盗難された身元を使うことが多く、デジタル上の足跡を隠す仲介者も利用している。IT労働者はロシアや中国を拠点としていることが多く、基本的人権を保障されていない何百万人もの北朝鮮の人々よりも多くの自由と権利が与えられており、プールパーティーを楽しんだり、高価なステーキディナーに出かけたりする姿が目撃されている。IT労働者として活動していたある脱北者は最近、不正に得た収入の85％が北朝鮮に送金されているとBBCに語った。「北朝鮮にいた頃よりはずっとましだ」と彼らは語った。

SttyKが入手したデータに含まれるスプレッドシートの複数のスクリーンショットには、IT担当者が12のグループ（それぞれ約12人のメンバー）に分かれている様子と、全体を統括する「ボス」の存在が示されています。スプレッドシートは、業務と予算を追跡するために体系的にまとめられており、各グループのデータを詳細に分析できる概要タブと分析タブが用意されています。行と列はきちんと記入されており、定期的に更新・メンテナンスされているようです。

これらの表は、IT人材が目指すべき潜在的な職種を示しています。毎日更新されていると思われるシートには、職務内容（「ReactとWeb3の開発者を募集」）、求人企業、勤務地が記載されています。また、フリーランスウェブサイトの求人情報や、採用担当者の連絡先へのリンクも掲載されています。「ステータス」の列には、「待機中」か「連絡済み」かが表示されています。

WIREDが確認したスプレッドシートのスクリーンショットには、IT担当者自身の実名が列挙されているようだ。それぞれの名前の横には、彼らが所有しているとされるコンピューターのメーカーとモデル、モニター、ハードドライブ、各デバイスのシリアル番号が記載されている。名前が記載されていない「マスターボス」は、34インチモニターと500GBのハードドライブ2台を使用しているようだ。

セキュリティ研究者SttyKが確認したデータの「分析」ページには、詐欺師グループが関与する業務の種類がリストアップされており、AI、ブロックチェーン、ウェブスクレイピング、ボット開発、モバイルアプリおよびウェブ開発、トレーディング、CMS開発、デスクトップアプリ開発、そして「その他」と記載されています。各カテゴリーには、想定される予算額と「支払総額」の欄があります。あるスプレッドシートには12個のグラフが掲載されており、支払われた金額、最も収益性の高い地域、そして週払い、月払い、それとも定額払いのどれが最も成功しているかを追跡できるとされています。

「これは専門的に運営されている」と、内部脅威セキュリティ企業DTEXに勤務する北朝鮮のハッキング・脅威研究の第一人者、マイケル・「バーニ」・バーンハート氏は語る。「全員がノルマを達成しなければならない。すべてを書き留め、記録する必要がある」と彼は言う。同氏はさらに、北朝鮮の高度なハッキンググループも同様のレベルの記録管理を目にしてきたと付け加えた。これらのグループは近年、数十億ドル規模の暗号通貨を盗み出しており、ITワーカーによる不正行為とはほとんど関係がない。バーンハート氏はSttyKが入手したデータを確認し、それが自身や他の研究者が追跡していたデータと重複していると述べた。

「このデータは確かに本物だと思います」と、サイバーセキュリティ企業パロアルトネットワークスの脅威インテリジェンスチーム「ユニット42」のコンサルティング・シニアマネージャー、エヴァン・ゴーデンカー氏は語る。ゴーデンカー氏もSttyKが入手したデータを確認したことがある。ゴーデンカー氏によると、同社はデータ内の複数のアカウントを追跡しており、著名なGitHubアカウントの1つが以前、IT職員のファイルを公開していたという。北朝鮮に関連するメールアドレスはいずれも、WIREDのコメント要請に回答しなかった。

WIREDがGitHubに連絡を取った後、GitHubは3つの開発者アカウントを削除した。同社のサイバーセキュリティおよびオンラインセーフティ責任者であるラジ・ラウド氏は、これらのアカウントは「スパムおよび不正な活動」に関するルールに基づいて停止されたと述べた。「このような国家による脅威活動の蔓延は、業界全体にとっての課題であり、私たちが深刻に受け止めている複雑な問題です」とラウド氏は述べている。

Googleは、アカウントのプライバシーとセキュリティに関するポリシーを理由に、WIREDが提供した特定のアカウントについてコメントを拒否した。「こうした活動を検知し、法執行機関に報告するためのプロセスとポリシーを整備しています」と、Googleの検知・対応担当ディレクター、マイク・シノ氏は述べている。「これらのプロセスには、不正行為への対策、標的となった組織への事前通知、そして官民パートナーシップとの連携による脅威インテリジェンスの共有などが含まれており、こうしたキャンペーンに対する防御力を強化しています。」

Slackの親会社Salesforceのコーポレートコミュニケーション担当シニアディレクター、アレン・ツァイ氏は、「制裁対象の個人または団体によるSlackの使用を禁止する厳格なポリシーを制定しており、これらの規則に違反する行為を特定した場合は迅速に対応します」と述べています。「当社は法律で義務付けられている通り、法執行機関および関係当局に協力しており、特定のアカウントや進行中の捜査についてはコメントを控えさせていただきます。」

別のスプレッドシートには、メンバーが「KUT」と呼ばれる「ユニット」の一員であると記載されている。これは、北朝鮮の金策工科大学の略称である可能性が高く、米国政府が北朝鮮関連のIT労働者に関する警告で言及している。スプレッドシートの1つの列には「所有者」として「Ryonbong」と記載されているが、これはおそらく、2005年から米国、2009年から国連から制裁を受けている防衛企業、韓国龍峰総合株式会社を指していると思われる。「彼ら（IT労働者）の大多数は、国連が禁止する北朝鮮の大量破壊兵器および弾道ミサイル計画、ならびに先進通常兵器の開発・貿易部門に直接関与する組織に従属し、その組織のために働いている」と、米国財務省は2022年5月の報告書で述べている。

近年、研究者が特定したIT労働者と関連のあるGitHubやLinkedInのアカウント、履歴書、ポートフォリオウェブサイトには、しばしば明確なパターンが見られる。メールアドレスとアカウントで同じ名前が使われ、履歴書も全く同じに見えることがある。「履歴書の内容の使い回しも、彼らのプロフィールで頻繁に見られることです」と、サイバーセキュリティ企業Nisosで北朝鮮のIT労働者のペルソナを追跡してきた上級研究員、ベンジャミン・レーセンバーグ氏は述べる。レーセンバーグ氏によると、詐欺師たちは画像操作、ビデオ通話、そして使用するスクリプトの一部としてAIを活用するケースが増えているという。「ポートフォリオウェブサイトでは、テンプレートが使用され、同じテンプレートが何度も繰り返し使用されているのを確認しています」とレーセンバーグ氏は言う。

これらすべては、金正恩政権のために犯罪計画を実行する任務を負っているIT職員たちの日々の重労働を物語っている。「コピー＆ペーストの連続です」と、ユニット42のゴーデンカー氏は言う。ゴーデンカー氏が追跡しているあるIT職員は、119ものIDを使い分けていたことが確認されている。「彼は日本語の名前ジェネレーターをグーグルで検索し（もちろんスペルは間違っていますが）、約4時間かけて、名前と標的となる可能性のある場所を詰め込んだスプレッドシートを作成するのです。」

しかし、詳細な記録には別の目的もある。IT従業員とその行動を追跡することだ。「資金が実際に経営陣の手に渡ると、多くの要素が動くため、正確な数字が必要になる」とDTEXのバーンハート氏は言う。詐欺師のマシンには従業員監視ソフトウェアがインストールされているケースも確認されており、研究者たちは、北朝鮮出身の人は就職面接で金正恩氏に関する質問に答えないと主張している。

SttyK氏によると、Slackチャンネルで従業員の日々の活動を示す数十件の画面録画を確認したという。Slackインスタンスのスクリーンショットでは、「ボス」アカウントが「@channel: 全員、1日14時間以上働くように努めるべきです」というメッセージを送信している。次のメッセージには、「ご存知の通り、この時間管理にはアイドル時間も含まれています」と書かれている。

「興味深いことに、彼らのコミュニケーションはすべて英語で、韓国語ではありませんでした」とSttyK氏は言う。研究者は他の研究者と共に、これにはいくつかの理由があるのではないかと推測している。第一に、合法的な活動に溶け込むため、第二に、応募や面接に備えて英語力を向上させるためだ。SttyK氏によると、Googleアカウントのデータを見ると、彼らはメッセージを処理するためにオンライン翻訳を頻繁に使用していたことが分かる。

SttyKが入手したデータは、IT従業員がどのようにパフォーマンスを追跡しているかを垣間見せるだけでなく、個々の詐欺師たちの日常生活についても限定的な手がかりを与えてくれる。あるスプレッドシートには、IT従業員たちが企画したと思われるバレーボール大会のリストが載っていた。Slackのチャンネルでは、誕生日を祝ったり、人気Instagramアカウントからインスピレーションを得たミームを共有したりしていた。SttyKによると、いくつかの画面録画には、彼らがカウンターストライクをプレイしている様子が映っているという。「メンバーの間に強い結束力を感じました」とSttyKは言う。