“ITスパイ”が社内に？ 北朝鮮の潜入エンジニアが示す8つの兆候と撃退法：北朝鮮の偽装エンジニアを見抜くには【後編】

身分を偽った北朝鮮のITエンジニアが外国企業で就業し、北朝鮮政府に送金する動きがある。自社に北朝鮮のITエンジニアが潜んでいるかどうかを見抜く上で役立つ兆候と、採用した場合に取るべき対策とは。

[Alissa Irei，TechTarget]

　一緒に働くITエンジニアが北朝鮮政府と関わりがある人物だった場合に備えて、企業はどのような対策を取る必要があるのか。2025年4月、セキュリティカンファレンス「RSA Conference 2025」で、CrowdStrikeのシニアバイスプレジデントを務めるアダム・マイヤーズ氏を含むセキュリティベンダーの専門家と米連邦捜査局（FBI）の職員が登壇し、身分を偽って働く北朝鮮のITエンジニアの問題を取り上げた。以下ではそうした専門家の警告や助言を踏まえた、北朝鮮のITエンジニアの動向や、企業が注意すべき要素を紹介する。

北朝鮮のエンジニアかも？　注意すべきITエンジニアの行動8選

併せて読みたいお薦め記事

連載：北朝鮮の偽装エンジニアを見抜くには

• 前編：同僚は北朝鮮の“スパイエンジニア”？　専門家もだまされる巧妙な潜入手口

北朝鮮系のIT人材の動向を把握する

• 北朝鮮ハッカー、身分を装い米国企業に「入社」　AIでできる驚きの攻撃とは
• 北朝鮮ハッカー「Lazarus」、Bybitから15億ドル　どうやって盗んだの？

　RSA Conference 2025の登壇者は、採用したITエンジニアの行動の中で特に警戒すべきものを8つ紹介した。

1. PCの配送先を直前に変更する
   • 採用後、PCを発送する直前になって、ITエンジニアが「申請した住所ではなく別の住所に送ってほしい」と依頼してくることがある。その理由として、家族の緊急事態など、納得しやすい説明を添える場合もある。
   • こうして指定された別の住所には、「ラップトップファーム」が設けられている恐れがある。ラップトップファームは、北朝鮮の工作員が複数のPCを管理、運用し、北朝鮮のITエンジニアが遠隔操作できるようにする拠点を指す。
2. 頻繁に会議を欠席する
   • 特に、会議開催の直前で会議を欠席する言い訳を繰り返す。
3. 通話中の背景音に違和感がある
   • 北朝鮮のITエンジニアは通常チームで活動するため、通話時の背景音に家庭ではなくコールセンターのような音が含まれる場合がある。
4. インターネット接続の遅延がある
   • 米国外で勤務している場合、異常に遅いインターネット回線を利用していることがある。
5. VPN（仮想プライベートネットワーク）を使っている
   • 北朝鮮のITエンジニアは地理的な所在を隠すためにVPNを利用することがある。
6. 許可されていないツールを使っている
   • KVM over IP（Keyboard, Video, Mouse over IP：IPネットワークを経由して遠隔地から複数のサーバやPCを操作できる仕組み）やRMM（Remote Monitoring and Management：リモート監視と管理）ツールを無許可で使っている場合、不正行為を働いている根拠になり得る。
   • Crowdstrikeが2024年に北朝鮮のITエンジニアの活動を発見した際には、同社のエンドポイントセキュリティツール「CrowdStrike Falcon」でKVM over IPを使用している証拠が複数検出されたという。
7. 業務パフォーマンスに問題がある
   • 北朝鮮のITエンジニアは、複数の職務を掛け持ちして収益を最大化しようとするため、業務に支障を来す場合がある。
   • ただしペルカー氏は、北朝鮮のITエンジニアが従業員として優れた業績を上げていたケースもあると警告する。
8. デバイスの言語設定に不自然な点がある
   • 英語と中国語しか話さないと申告している従業員のデバイスに韓国語が設定されている場合、警戒が必要だ。

北朝鮮のITエンジニアにどう立ち向かう？

　この脅威に対抗するためにはどのような対策があるのか。登壇者は以下を紹介する。

• 実技試験の様子を直接監視する
  • 応募者に、自社システムでの実技試験に回答してもらう。
  • 応募者のIPアドレスや言語設定、画面の切り替え回数に不審点がないかどうかを確認する。
• 採用過程を透明化する
  • シュローマー氏によると、北朝鮮のITエンジニアは企業に直接雇われるのではなく、人材派遣会社を使って企業に潜入する場合がある。
  • 人材派遣会社を利用している採用担当者は、悪意のあるITエンジニアに関する情報を人材派遣会社と共有するだけではなく、人材派遣会社が採用候補者の出自や身元確認をどのように実施しているのかも確認する。
• 従業員教育を徹底する
  • 特に人事、採用、セキュリティ担当者には、ITエンジニアのどのような行動に注意すべきか、懸念があった場合はどのような手順で報告するのかを把握しておく。
  • ホーン氏によると、北朝鮮のITエンジニアの兆候は明白ではなく、兆候一つ一つは取るに足らないものに見える場合がある。兆候を関連付けて不正行為の可能性を見抜く上では、従業員の意識や直感、コミュニケーションが重要な鍵になる。
• 経営層や取締役会からの理解と支持を得る
  • 北朝鮮のITエンジニアがもたらすリスクについて、経営層や取締役に周知しておく。
  • 「特定の企業だけの問題ではなく、IT業界全体が取り組むべき課題だと認識する必要がある」とホーン氏は語る。
• 社内外の連携を強化する
  • 北朝鮮のサイバー攻撃に立ち向かう上で、部門間の連携は不可欠だ。「従業員同士が情報、知見、対策手法を共有し、防御の効率性と効果を最大限に高めなければならない。企業間や法執行機関との連携も重要だ」とシュローマー氏は説明する。
• インシデント発生時の計画を整備する
  • インシデント発生時の計画に、社内の攻撃者に関する対処方法を含める。
  • 社内の攻撃者が入手した可能性があるデータ、侵入した可能性があるシステム、実行した可能性があるソースコードを特定する手順を確立する。
  • 地域の法執行機関や公的機関に連絡し、専門家を紹介してもらうことも一つの手だ。

北朝鮮のIT人材の活動は拡大する？

　北朝鮮のITエンジニアは、米国だけではなく欧州やオーストラリアなどにも標的を広げつつあるという見方がある。シュローマー氏によると、テレワークを悪用した詐欺行為は北朝鮮の活動の一部に過ぎず、暗号資産や知的財産、国家の防衛に関わる機密情報の窃取を目的とした攻撃が発生している。「ITエンジニアの雇用が、国家安全保障に関わる機密情報の窃取につながる事態を防がなければならない」（同氏）

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。