北朝鮮のサイバー攻撃といえばランサムウェアや暗号資産の窃取を思い浮かべる人が多い。しかし今、新たな脅威として警戒されているのが「ITワーカー」の潜入だ。韓国のセキュリティ企業S2Wが生成AIも駆使する最新の偽装手口や、日本企業を狙う実態について明らかにした。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
韓国のセキュリティ企業S2Wは2026年6月23日、日本法人の設立を発表した。同日の記者説明会では、日本企業でも警戒が高まる北朝鮮のIT労働者(以下、ITワーカー)の最新動向について説明した。ITワーカーは、海外企業への就職や業務委託を装って外貨獲得や情報窃取を図る存在として知られ、近年は生成AIを悪用した身元偽装など、その手口が巧妙化しているという。
北朝鮮のITワーカーが、遠隔勤務者や個人事業主を装い、偽名や盗用した身元情報を使って日本企業に入り込もうとする問題については、警察庁なども近年、注意喚起を続けている。
S2Wの最高製品責任者(CPO)であるキム・ジェギ氏によると、ITワーカーは採用面接を突破するため、盗んだ外国人の身分証を悪用する他、生成AIを利用して顔写真や履歴書、ポートフォリオを偽装しているという。
「S2Wの調査では、ダークWebやチャットで日本人のパスポート情報や個人情報が多数売買されていることを確認している。こうした情報が身元偽装に悪用されている可能性がある」(ジェギ氏)
また、グローバルな採用プラットフォームを利用し、競合となる求職者よりも低い報酬を提示することで、中小企業やスタートアップ企業を中心に採用を狙うケースも確認されているという。
採用後には、現地の協力者ネットワークの構築にも動くという。ITワーカーは協力者を介して「ラップトップファーム」と呼ばれる拠点を用意し、企業から支給されたPCを現地で起動・接続させることで、日本国内や第三国から勤務しているように装う。さらにVPNやプロキシを組み合わせ、アクセス元を偽装するケースも多い。
ジェギ氏は「ユーザーや端末の識別情報(フィンガープリント)を分析すると、多くは米国からアクセスしているように見えた。しかし詳細に調査すると、中国語キーボードが設定されていたり、北朝鮮の多言語辞典『samhung4.0』がインストールされていたりするなど、不自然な痕跡が確認された」と説明する。こうした情報は、中国など第三国を経由して活動している可能性を示す手掛かりになるという。
この他、日本在住を装うために「Yahoo! Japan」のアカウントを利用していたケースも確認された。一方で、同じ端末からは他国向けの採用プラットフォームにもアクセスしており、1台の端末を使って複数国向けの就職活動を並行していた実態もうかがえたという。
ジェギ氏は対策として、業務委託先や取引先など第三者のセキュリティリスクを継続的に評価・監視するTPRM(Third Party Risk Management:サードパーティーリスク管理)の重要性を指摘。また、政府機関が把握した脅威情報を民間企業へ迅速に共有する仕組みづくりも必要だと訴えた。
S2WはダークWebやSNS、暗号資産の取引情報などをAIで分析し、脅威インテリジェンスを提供している。日本法人では、韓国で蓄積してきた北朝鮮系APTやダークWebに関する知見を、日本企業のセキュリティ対策にも展開する方針だ。
また、日本法人は2026年中に販売パートナー網や営業体制の整備を進める他、将来的には国内アナリストによる脅威インテリジェンス拠点の設立も視野に入れている。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
陸自USBからマルウェア検知 防衛省の運用ルール未徹底が明らかに
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ