【緊急レポート】マイクロソフトが北朝鮮IT工作者の不正アカウント3,000件を停止!AIを駆使した新たな手口と国際制裁回避の実態
米国当局が長年警告してきた北朝鮮の国際制裁回避戦略が、ついに大規模な摘発へと発展。マイクロソフトは2025年7月、北朝鮮IT工作者が使用していた3,000以上の不正電子メールアカウントを停止した。この措置は、米国司法省やFBIとの連携による国際的な詐欺撲滅作戦「JaSPEr Sleet」の一環で、偽装就労を通じた核開発資金調達の実態が明らかになった。
北朝鮮IT工作者の巧妙な偽装就労戦略とは?
マイクロソフト脅威インテリジェンスチーム(MSTIC)の調査によると、北朝鮮のIT専門家たちは驚くほど高度な手法で偽装就労を実施。実際の開発者やQAエンジニアとして採用試験を突破し、米国企業を中心に遠隔勤務で業務を遂行していた。彼らは単なるハッカーではなく、GitHubでコードを管理し、Slackでチームコミュニケーションを取り、一部は「優秀な従業員」として評価されるほどだった。特徴的なのは、米国人の共犯者が「ノートPC農場」と呼ばれる施設を運営し、企業支給の端末を中国やロシアに転送していた点だ。司法省が摘発したメリーランド州のネイルサロン従業員は、13社の偽装就労で100万ドル近くを不正受給していた。
AI技術が加速させる身分偽装の進化
脅威はさらに深刻化している。マイクロソフトが確認した最新の手口では、AIツールを活用して英文履歴書の文法チェック、プロフェッショナル風の肖像画生成、FaceSwapによるID偽造まで実施。変声ソフトで面接を突破する事例も確認された。Jeremy Dallman氏は「リアルタイムのディープフェイク面接が行われるのは時間の問題」と警鐘を鳴らす。LINKedInやフリーランス市場では、同一プロフィールの複数使用など、検知を回避するための手法が常に進化している。
マイクロソフトのAI防御システム「不可能な時間旅行」分析
これに対抗すべく、マイクロソフトは機械学習を駆使した独自の検知システムを開発。地理的に不可能なログイン(例:5分以内の米国→中国アクセス)を「不可能な時間旅行」として検知するアルゴリズムを導入した。さらに多要素認証の強化やリスク検知システムのリアルタイム化を推進。政府機関との情報共有を通じて、業界全体に適用可能なセキュリティソリューションの構築を進めている。
年間6億ドル規模の闇資金フロー
国連の推計では、北朝鮮IT工作者による年間収益は最大6億ドルに上り、核開発やサイバー犯罪に充てられている。マイクロソフトの今回の対応は、こうした国際的な資金循環を断ち切る重要な一歩だ。ただしDallman氏は「JasPEr Sleetの手口は絶えず進化しており、特にAI分野での適応力が脅威」と今後の課題を指摘している。
*
北朝鮮IT工作者は具体的にどのような仕事をしていたのか?
実際のソフトウェア開発、品質保証テスト、ITサポート業務など正規の技術職を遂行していました。特にリモートワークが主流となったポストパンデミック環境で、地理的制約のない職種を中心に浸透していたことが確認されています。
*
「ノートPC農場」とはどのような仕組みですか?
企業から支給されたノートPCを特定の場所に集積し、遠隔アクセスソフトをインストールしたり、物理的に中国・ロシアへ転送する施設です。米国当局は少なくとも29ヶ所の農場を摘発しており、実際の勤務地を偽装する中継点として機能していました。
*
一般企業はどう対策すべきですか?
マイクロソフトは多要素認証の必須化、従業員のデジタルID検証の強化、不審なログイン活動の監視を推奨しています。特にフリーランス採用時には、ビデオ面接での生身の確認や、作業ログの地理的整合性チェックが有効です。
