速報7.9.25

北朝鮮のIT技術者によるサイバー攻撃:企業はどのように対応すべきか?

2025630日、DOJ(米国司法省)は、北朝鮮からのリモート従業員による犯罪スキームを妨害するための一連の措置を発表しました。このサイバー攻撃に対抗するため、企業は以下が望まれます。

  1. リモート従業員、コントラクター、ベンダーの採用プロセスの強化
  2. リモート従業員による不審な行動の監視
  3. 不審行為は速やかに当局に報告

北朝鮮のIT工作員またはその仲介業者に支払いが行われた可能性がある場合、企業はOFAC(米国財務省外国資産管理室)への自主的な情報提供を検討すべきです。

何が起きているのか?

DOJによると、北朝鮮政権は数千人のサイバー工作員を訓練し、グローバルなデジタル労働力に潜り込ませ、米国企業を標的とするシステム的な攻撃を展開しています。これは、OFACの制裁を回避し、北朝鮮政権の違法なプログラム(武器プログラムを含む)に資金を調達する目的で設計されたスキームです。

2020年末から少なくとも202410月まで、フォーチュン500企業を含む100社以上の米国企業で、北朝鮮の工作員がリモートIT従業員として不正に雇用されています。

これらの北朝鮮工作員は、雇用主の機密データ、ソースコード(輸出管理対象技術を含む)および仮想通貨を盗み出しています。一例では、身分を偽ってアトランタを拠点とするブロックチェーン研究開発企業に雇用され、$900,000を超える仮想通貨を盗み出しました。

また、盗んだデータやコードを人質に取り、身代金支払いに応じるまで企業を脅迫する手口も用いられており、一部では、米国企業の独自コードが公開されるという被害も発生しています。

これらの被害にあった企業は、コンピュータネットワークの修復費用、弁護士費用、その他の損害を含め、数百万ドルの損失を被りました。

法的背景

2022年、米国司法省(DOJ)、財務省外国資産管理室(OFAC)、および米国国務省は、北朝鮮のIT技術者によるサイバー攻撃に関する注意喚起を発表しました。この注意喚起では、OFACDOJの調査による企業への風評被害や法的責任の可能性についても警告しています。

OFACは、北朝鮮制裁規則(NKSR)を含む制裁規則の違反を調査します。OFACは、厳格な責任に基づき、制裁違反に対して民事罰を課す可能性があります。

DOJは、国際緊急経済権限法(IEEPA)の違反を調査し起訴します。IEEPAに基いて出されたライセンス、命令、規制、禁止措置(北朝鮮関連の大統領令やNKSRを含む)に故意に違反すること、または違反の企て、違反の謀議、違反を引き起こすことは犯罪です。

リモートIT従業員スキームの手口

北朝鮮のIT工作員は、米国企業への就職応募の前に、以下を用いて実際の所在地を隠し、資格を偽ってきました。

  • 盗用された身分証明書
  • フロント企業と偽のウェブサイト
  • アライアス(別名)またはバーナー(使い捨て)のメールアドレスやソーシャルメディアID
  • バーチャル面接における人工知能と顔交換のテクノロジー

雇用された後は、米国に設置された「laptop farm」を利用して、企業ネットワークにリモートでアクセスし、機密データや仮想通貨を盗み出しています。また、Know Your CustomerKYC/Anti-Money LaunderingAML)措置を回避するため、フリーランスの開発者として活動する北朝鮮のIT工作員は仮想通貨による支払いを求めています。

リモート採用プロセス強化の対策

北朝鮮が関係するこれらのITスキームはリモート従業員による新たな脅威です。FBI(連邦捜査局)は米国企業に対し、リモートのIT担当者の採用に際しては以下を強化するよう呼び掛けています。

  • 採用と就労開始のプロセスは可能な限り対面で実施する。
  • 面接、就労開始期、雇用期間中を通して一貫した身分確認プロセスを実施する。
  • 人事システムと公開情報を用いて、同じ内容の履歴書や連絡先情報(特にVoIP番号)を持つ別の応募者を照会する。
  • 第三者の人材派遣会社を用いている場合は、適切な採用プロセスを取り、定期的な監査を行っていることを確認する。
  • 応募者に住所や学歴に関する具体的な質問を行う。
  • 就労開始プロセス中の住所変更や支払い方法、手段の変更に注意する。
  • 実地の対面面接でない場合、応募者には身分証明書をカメラに向けさせ、カメラを外に向けてさせて場所を確認するなどの措置を検討する。
  • 会社のデバイスを送付する際には署名による受取を義務付け、デバイスが指定された勤務地以外の住所に送付されないことを確認する。

不審な行為に対する警戒を強化

これらの手口は現在も継続中と考えられています。FBIは企業に対し、ネットワーク監視に関する警戒を強化するよう求めています。具体的な対策は以下のとおりです。

  • ネットワークに対する権限の最小化を原則とし、ローカル管理者アカウントの無効化やリモートデスクトップアプリケーションのインストール権限を制限する。
  • 異常なネットワーク通信を監視し、調査する。これには、デバイスへのリモート接続、禁止されたリモートデスクトップアプリケーションの使用、海外と関連するIPアドレスから短時間に複数のログインなどが含まれる。
  • フリーランスの開発者には、リモートコラボレーションアプリの無効化を検討する。
  • 会社支給のデバイス上で、複数の音声・ビデオ通話を同時に行えるソフトウェアが使われていないかを監視する
  • ネットワークのログとブラウザ利用を監視し、共有ドライブ、クラウドアカウント、プライベートコードリポジトリなど、アクセス可能が容易な手段を通じてデータが漏洩していないかを監視する
  • リモートワーカーに支給されたデバイスにおける不審なネットワーク利用を監視し、疑わしい行為の検知ソフトを使う。

法執行機関への迅速な報告

企業は、不審な行為を検知した場合、速やかにFBIのインターネット犯罪通報センター(IC3)および最寄りのFBI事務所に報告する必要があります。法執行機関によって盗まれたデータや資金が回収できるとは限りませんが、例えば、DOJ(司法省)は最近、これらのスキームに関連する暗号資産、NFTトークン、デジタル資産から$700万以上の差し押さえを発表しています。

OFACへの自主的な違反報告

北朝鮮のIT工作員またはその仲介者に支払が行われたと信じる理由がある場合、企業はOFACに違反と思われる行為を自主開示すべきです。OFACは、自主的な開示がその調査への協力とみなされる限り、減刑要因となることを表明しています。OFACはまた、自主的な開示により、提案される民事罰の基準額が減額されるとも表明しています。この場合の自主的な開示は調査が開始される前に実施されなければなりません。OFACが調査を開始した後に開示を行った場合は軽減要因とはなりません。

OFACの経済制裁施行ガイドラインでは、自主的な自己開示には、OFACが違反と思われる状況を完全に理解できるよう、詳細な報告を含める(または合理的な期間内に提出する)必要があると規定されています。OFACは、通常、報告書は最初の自主開示から180日以内に提出されるものと見ています。

また、OFAC違反には10年の時効が適用されるため、企業は記録を10年間保持し、その期間内に発生した違反を開示する必要があります。

詳しくは英語版をご覧ください。

本ニュースレターは、法律の最新情報、動向をご案内するものであり、いかなる場合も法務サービス、法務アドバイスの意味を持つものではありません。本ニュースレターは、一般的な案内目的でのみ配布されるものですので、個々の問題については弁護士までご相談下さい。

©2025 Barnes & Thornburg LLP. All Rights Reserved. 書面による許可なく複製することを禁止します。

Related Practices
Related Industries