Logpressoは3月11日、北朝鮮IT人材が偽名を使って海外企業のリモートIT職に就く実態を分析した報告書「北朝鮮IT人材 偽装就業OSINT分析」を公表した。

報告書は、偽名で海外企業に就職した北朝鮮IT人材の活動を追跡した内容だ。ディープウェブやダークウェブで流通するインフォスティーラーマルウェアの感染記録を分析の手掛かりとした。

同社によると、従来のマルウェア解析中心の調査とは異なり、実際に北朝鮮IT人材が使用した端末から流出したメールアカウント、パスワード、接続IPアドレス、ハードウェアID（HWID）、言語設定などを横断的に照合した点が特徴だ。これにより、偽装就業を支える運用組織のクラスター構造を明らかにしたとしている。

Logpressoは、米政府と民間研究機関が公開している、北朝鮮の偽装就業に関連するメールアカウントのパターン1879件と、2024年以降に収集したインフォスティーラーの感染レコードを比較。抽出した104万5645件のデータを交差検証した。

その結果、メールアカウント80件、IPアドレス66件、ハードウェアID66件を特定した。これらが28カ国にまたがる490ドメインに接続していた痕跡も確認したという。

報告書によると、北朝鮮IT人材は1台のPCで最大5つの偽装身元を使い分け、別々の企業への就職を試みていたとみられる。同一端末から異なるメールアカウントと活動履歴が見つかっており、それぞれ別の氏名や国籍を装っていた。

Logpressoは、こうした活動は個人レベルの行為ではなく、組織的に設計された多重身元の仕組みに基づくものだと分析した。パスワードの分析でも、異なる氏名や国籍を名乗る複数のアカウントで、同一または類似のパスワードが繰り返し使われており、組織的な運用を示す兆候が確認されたとしている。

ヤン・ボンヨル代表は「北朝鮮IT人材による偽装就業は、単なる外貨獲得の手段にとどまらない。企業の内部システムやソースコードリポジトリ、クラウド資産にアクセスするための初期侵入経路として悪用される可能性がある」とコメントした。

その上で、「正規の開発者を装って内部のアクセス権限を確保した場合、サプライチェーン攻撃や情報窃取など、より大きなセキュリティリスクに発展する可能性が高い」と指摘した。