北朝鮮の開発者、IT技術者は、驚くほど多くの暗号資産(仮想通貨)プロジェクトに携わっている。
概要
先日、米CoinDeskは、朝鮮民主主義人民共和国(北朝鮮)の開発者やIT技術者が、10以上の暗号資産関連企業やプロジェクト(一部は有名なところ)に潜り込み、国のために2つの方法で資金を調達しているとの記事を公開した。この事実は、こうした企業やプロジェクトにとって、多くのレベルで問題となる。
問題点
北朝鮮は厳しい制裁下にあり、同国出身の開発者を雇用することは、企業やプロジェクトにとっては、法律違反を意味する。また、こうした開発者の中には、勤務先の企業やプロジェクトのハッキングを手引した者もいることは明らかだ。
詳細
米国企業で働く北朝鮮人従業員の問題は、新しいものではない。7月には、サイバーセキュリティ企業KnowBe4が、誤って北朝鮮のソフトウェアエンジニアを雇用してしまった経緯をブログに公開している。その数カ月前には、アリゾナ州在住者とほか4人が、北朝鮮人IT労働者が米国企業で職を得ることをサポートしたとして起訴された。
北朝鮮人IT技術者は、給与の大半を北朝鮮政権に送金しており(または送金せざるを得ない状況にあり)、これが北朝鮮のさまざまな活動を継続させる要因となっている。また、こうした従業員が仕込んだ脆弱性によってハッキングされたプロジェクトは、北朝鮮にさらに多くの資金を奪われるリスクにさらされる。これは単なる仮説上の懸念ではなく、検察当局は、ハッキングに関わったとして、北朝鮮関連のIT技術者をさまざまな容疑で起訴している。
まず懸念されるのは、制裁措置だ。北朝鮮人IT技術者を雇用した企業は、米国の制裁措置法に違反することになる。雇用が意図しないものであったとしても、必ずしも問題にはならない。企業は問答無用で起訴される可能性がある。
先日のCoinDeskの記事には、少なくとも現時点では、米国政府は「(企業の)起訴については寛容な姿勢を示しており、ある意味では企業は非常も精巧で洗練されたタイプのID詐欺の被害者であることを認めている」と書かれている。
今後企業によっては、特にこの数カ月、暗号資産が注目を集めているなかで、さらに注意を払うべきことがいくつか存在する。
まず企業は北朝鮮によるハッキングの懸念に注意する必要がある。これもまた、単なる仮説上の懸念ではない。人気P2Eゲームとして知られる「アクシー・インフィニティ(Axie Infinity)」は、最も顕著な事例のひとつだ。同社は2022年3月にハッキングされ、当時の価格で6億2500万ドル相当を失った。米当局は、1カ月後にハッキングは北朝鮮のラザルス(Lazarus)によるものと発表した。
記事によると、北朝鮮のIT技術者を雇用した後にハッキングされたプロジェクトは他にも複数あり、Sushi Financeもそのひとつだ。
米国企業は今後、こうしたリスクを軽減する方法を検討すべきだろう。
|翻訳・編集:CoinDesk JAPAN編集部
|画像:Shutterstock
|原文:The DPRK’s Deep Roots in Crypto
