AIが変えた北朝鮮ハッカーの手口：LinkedIn偽面接で暗号資産を狙う

2017年には文法ミスですぐバレた北朝鮮ハッカーが、今では「オックスフォード大学を卒業したかのような」完璧な英語で偽の採用面接を実施している。デジタル資産インフラ企業Fireblocksが阻止した最新の詐欺事件は、AIがサイバー犯罪をどう変えているかを物語る警告だ。

完璧すぎる偽面接の舞台裏

FireblocksのCEO、Michael Shaulov氏によると、北朝鮮系ハッカーは同社の採用プロセスを完璧に模倣していた。偽のリクルーターがLinkedInでエンジニアにアプローチし、Google Meetでの面接を実施、GitHub経由で課題を送付する—すべてが本物そっくりだった。

「彼らは正当な面接プロセスを武器化し、候補者との真正性のある交流を作り出している」とShaulov氏は説明する。候補者が通常のソフトウェアインストールを実行すると、実際にはマルウェアが仕込まれ、ウォレット、秘密鍵、本番システムへのアクセスが可能になる仕組みだった。

ターゲットは「特権アクセス」を持つ人材

ハッカーたちはLinkedInプロフィールを詳細に分析し、「特権アクセス」を持つエンジニアを狙い撃ちしていた。Fireblocksは約12個の偽プロフィールを特定し、これらが継続的に企業ブランドを変更しながら、数年間にわたって活動していたことを突き止めた。

LinkedInの広報担当者は「偽アカウントの99%以上は、誰かが報告する前に自動検知システムで除去している」と述べているが、今回の事件は従来の検知システムの限界を浮き彫りにした。

AI時代の新たな脅威レベル

Shaulov氏は北朝鮮ハッカーの進化を「光速」と表現する。2017年から2018年にかけては文法ミスやタイプミスで簡単に識別できたが、今では「まるでオックスフォード大学を卒業したかのような」完璧な英語を使いこなす。

「攻撃者がAIによって格段に洗練され、検知が困難になったのは明らかだ」とShaulov氏は警告する。昨年、暗号資産取引所Bybitから15億ドルが盗まれた史上最大の仮想通貨盗難事件も、北朝鮮のLazarus Groupの犯行とされている。

日本企業への警鐘

日本の暗号資産業界や金融機関にとって、この事件は重要な教訓となる。LinkedInを通じた採用活動が一般化する中、企業の人事部門やセキュリティチームは、従来の警戒レベルでは不十分かもしれない。

特に日本企業が重視する「信頼関係」や「丁寧なコミュニケーション」が、逆に攻撃者に悪用される可能性がある。完璧な敬語と丁寧な対応で近づいてくる偽リクルーターを見分けるのは、従来以上に困難になっている。