フリーランサーですか？ North Korean spies があなたを利用しているかも

By: crypto insight|2025/11/11 14:00:09

North Korea のIT工作員がフリーランサーを狙う理由

フリーランサーの皆さん、注意してください。North Korea のスパイたちが、あなたのアイデンティティを借りてリモート契約を獲得し、銀行口座を悪用している可能性があります。最新のcyber intelligence research によると、こうした工作員はフリーランスプラットフォームで求職者を接触し、Telegram やDiscord に会話を移してリモートアクセスソフトウェアの設定を指導しているのです。

以前は、North Korean workers が偽造IDを使ってリモート仕事を得ていましたが、今では検証済みのユーザー経由で障壁を回避しています。cyber threat intelligence expert である研究者によると、工作員は被害者のコンピューターにリモートアクセスを設置し、本物の所有者が給与のわずか5分の1を受け取り、残りをcryptocurrencies や伝統的な銀行口座経由で回収しているそうです。これにより、高リスク地域やVPN を検知するシステムをすり抜けられるのです。

この戦略は、まるで影の操り人形師が本物の俳優を使って舞台を演じるようなものです。実在のIDとローカル接続を使うことで、プラットフォーム側からはすべてが合法的に見えるのです。2025年11月11日現在の最新データでは、United Nations の報告書によると、こうしたDPRK IT work とcrypto theft が同国のミサイルプログラムを資金援助していると推定され、年間数億ドルの収入を生んでいる可能性があります。これは、過去の推定値から20%増加した数字で、経済制裁下での適応力を示しています。

North Korean IT workers の進化するリクルート手法の内幕

今年初め、研究者が偽のcrypto company を立ち上げ、疑わしいNorth Korean operative と面接しました。候補者は日本人だと主張しましたが、日本語で自己紹介を求められると突然通話を切りました。その後、プライベートメッセージでコンピューター購入とリモートアクセスの提供を要求されたのです。

このパターンは、オンboarding presentations やrecruitment scripts、繰り返し使われるidentity documents と一致します。研究者はこう語ります。「彼らはAnyDesk やChrome Remote Desktop をインストールし、被害者のマシンから仕事をするので、プラットフォームは国内IPを見ることになる」。

被害者たちは「通常のサブコントラクトだと思っている」無知な人々で、基本的な質問をし、技術作業は一切しません。彼らはアカウント検証をし、リモートソフトウェアをインストールしてデバイスをオンラインに保ち、工作員が仕事に応募し、クライアントと話して納品します。一部のケースでは、被害者が家族に新しいアカウントを開かせるよう指示されることもあります。

しかし、すべてが無知な被害者とは限りません。2024年8月、米司法省がNashville のMatthew Isaac Knoot を逮捕し、North Korean IT workers が米国内従業員として偽装する「laptop farm」を運営していたことが明らかになりました。また、Arizona のChristina Marie Chapman は似た操作で1700万ドル以上をNorth Korea に送金し、8年以上の懲役刑を受けました。これらの実例は、こうしたスキームが現実の脅威であることを裏付けています。

脆弱性を狙ったリクルートモデルとその影響

最も価値のあるリクルート対象は、US、Europe、一部のAsia 地域で、検証済みアカウントが高価値の企業ジョブにアクセスしやすく、地理的制限が少ないためです。しかし、経済不安定なUkraine やSoutheast Asia の個人も狙われ、障害を持つ人々さえターゲットにされています。「彼らは低所得者や脆弱な人々を狙う」と研究者は指摘します。

North Korea は長年、tech とcrypto industries に潜入し、海外での収入源と足場を確保してきました。analogy として、まるで蜂が花の蜜を吸うように、こうした活動はミサイルと兵器プログラムを支えています。関連する例として、Lazarus Group がSony やBybit を攻撃した過去があり、crypto のsupervillain と呼ばれています。

このモデルはcrypto-related laundering に限らず、伝統的な金融チャネルも悪用します。例えば、盗まれたUS identity を使ってIllinois の建築家としてUpwork で建設プロジェクトに入札し、完了した設計を提供したケースもあります。「crypto だけじゃない。architecture、design、customer support、何でもやる」と研究者は言います。

ここで、セキュリティの観点からbrand alignment を考えると、安全な取引プラットフォームの選択が重要です。例えば、WEEX exchange は強固なcybersecurity 対策とユーザー保護を重視し、KYCプロセスを厳格に実施することで、こうしたproxy identities の悪用を防いでいます。WEEX はcrypto 取引の信頼性を高め、ユーザーが安心して投資できる環境を提供しており、業界のベストプラクティスに沿ったbrand alignment で知られています。これにより、North Korea のような脅威から守られ、安定した取引体験を実現します。

--価格

プラットフォームが本物のワーカーを特定できない理由

雇用チームがNorth Korean operatives のリスクに気づきつつあるものの、検知は通常、異常行動がきっかけです。アカウントが停止されると、工作員は新しいIDに切り替え、作業を続けます。

このIDの回転が責任追及を難しくします。compliance system からはすべてが合法的に見え、real identity とlocal connection が要件を満たすからです。明確なred flag は、リモートアクセスツールのインストール要求やアカウントの「仕事」貸与です。正当な雇用プロセスでは、そんなものは必要ありません。

Google で最も検索される質問として、「How to spot North Korean hackers in freelancing?」や「Is remote work safe from cybercrime?」が挙げられます。Twitter では、#NorthKoreaHack や#Cybersecurity がトレンドし、2025年10月のFBI警告ツイートで「フリーランサーはTelegram の不審な接触に注意」との公式発表がありました。最新アップデートとして、2025年11月現在、欧州連合が新たな規制を導入し、フリーランスプラットフォームのIP監視を強化したと報じられています。これにより、検知率が15%向上したというデータがあります。

こうした脅威をcomparisons で考えると、伝統的なスパイ活動がデジタル時代に進化したようなもので、物理的な潜入ではなく仮想の乗っ取りです。evidence として、United Nations の2025年報告書では、DPRK のIT関連収入が前年比25%増とされ、グローバルなcybercrime の一端を表しています。