北朝鮮IT労働者が30以上の偽IDを使って仮想通貨企業を標的にする内訳
人気ブロックチェーン探偵ZachXBTの調査により、世界の仮想通貨開発求人市場における北朝鮮の広範な浸透が明らかになった。
1/ An unnamed source recently compromised a DPRK IT worker device which provided insights into how a small team of five ITWs operated 30+ fake identities with government IDs and purchased Upwork/LinkedIn accounts to obtain developer jobs at projects. pic.twitter.com/DEMv0GNM79
— ZachXBT (@zachxbt) August 13, 2025
匿名の情報源が最近、北朝鮮のITワーカーのデバイスを侵害し、5人のITワーカーの小規模チームが政府IDを使って30以上の偽のIDを操作し、Upwork/LinkedInアカウントを購入してプロジェクトで開発者の仕事を獲得していた方法についての洞察を提供しました。
北朝鮮のIT職員のデバイスが侵害され、68万ドル(約1億円)規模のFavrrハッキングを仕掛けたチームの内部事情と、彼らがGoogleのツールを使って仮想通貨プロジェクトを標的にしていたことが分かった。
オンチェーン調査員ZachXBT氏によると、この捜査は匿名情報源提供者が、北朝鮮のIT労働者のデバイスに侵入。5人のIT労働者からなる小規模チームが30以上の偽IDをどのように運用していたかについて、前例のない情報を提供。データによると、北朝鮮のIT労働者6人からなる小規模なチームは、少なくとも31の偽の身元を使い分けており、政府発行の身分証明書や電話番号から、LinkedInやUpWorkのアカウントを購入して身元を隠し、仮想通貨関連の仕事に就いている。
ZachXBT氏はウォレットのアクティビティとデジタル指紋の照合に基づき、情報源を検証。その結果、31人の偽IDを操る北朝鮮のIT工作員チームの仮想通貨取引が、2025年6月にファントークンマーケットプレイスFavrrで発生した68万ドル相当のハッキング行為に関与していたことが判明。このハッキング事件に関与した北朝鮮のIT担当者の小規模チームは、Google製品を利用し、さらにはコンピューターをレンタルして仮想通貨プロジェクトに侵入していたことが、作業員のデバイスのスクリーンショットから明らかになった。
作戦の内幕
侵入されたデバイスから、計6名の北朝鮮IT労働者が、少なくとも31の偽IDを使い分けていたことが判明しており、ブロックチェーン開発の仕事を獲得するため、彼らは政府発行のIDと電話番号を収集し、LinkedInやUpworkのアカウントまで購入して偽装工作をしている。
デバイスで発見された面接の台本には、Polygon Labs、OpenSea、Chainlinkといった有名ブロックチェーン企業での経験を自慢する内容が記載されていたという。また、Googleツールは、彼らの組織的なワークフローの中核を成しており、脅威アクターたちは、予算とスケジュールの管理にGoogleドライブのスプレッドシートを使用し、韓国語と英語の言語ギャップを埋めるためにGoogle翻訳を利用していた事も分かっている。
北朝鮮の脅威アクターはリモートワークを利用
デバイスから取得された情報の中には、IT担当者が業務のために新しいアカウントを購入するため、コンピューターをレンタルし、VPNアクセス料金を支払っていることを示すスプレッドシートも含まれていた。
また、AnyDeskなどのリモートアクセスツールも利用し、実際の所在地を明かすことなくクライアントシステムを操作していたという。VPNログから、彼らの活動が複数の地域に及んでいることが判明し、北朝鮮のIPアドレスが隠蔽(いんぺい)されていた。
さらなる調査結果から、このグループは異なるブロックチェーンにトークンを分散させる方法を模索し、ヨーロッパのAI(人工知能)企業をスカウトし、仮想通貨分野における新たな標的を画策していることが明らかになった。ZachXBTは、複数のサイバーセキュリティレポートにて、北朝鮮のIT労働者が合法的なリモートワークを得て仮想通貨業界に潜入している事が判明。フリーランス開発者を装っていたという。
なお、彼らが北朝鮮出身であることを示す兆候として、ロシアのIPアドレスから韓国語検索を行う際、Google翻訳を頻繁に使用していることが挙げられている。
