イーサリアム財団が支援するセキュリティプロジェクト「Ketman(ケトマン)」が、過去6か月間の調査により、Web3関連企業やプロジェクトに潜伏していた100名の北朝鮮IT労働者を特定しました。この調査結果に基づき、すでに53のプロジェクトに対して、北朝鮮の工作員を雇用している可能性があるとの警告が行われています。Web3業界におけるサプライチェーン攻撃や資金窃取のリスクを未然に防ぐ取り組みとして、大きな注目を集めています。
偽装アイデンティティによるWeb3プロジェクトへの浸透
今回の調査は、イーサリアム財団が2024年末に立ち上げた、エコシステムのセキュリティ向上を目的とした助成金プログラム「ETH Rangers(イーサ・レンジャーズ)」の一環として実施されました。Ketmanプロジェクトは、Web3業界で「偽のエンジニア」として活動する工作員の特定に特化して調査を進めてきました。
特定された100名の労働者は、AIで生成したプロフィール画像や偽造された身分証明書を使用し、身元を偽ってプロジェクトに採用されていたと見られます。中には、日本人のエンジニアを装い、フリーランスプラットフォームを通じてプロジェクトに接触していた事例も確認されています。これらの労働者は、正規のエンジニアとして報酬を得るだけでなく、プロジェクトのインフラへのアクセス権を確保し、将来的な攻撃の足場を築くことを目的としていた可能性があります。
潜伏を見抜くための行動パターンと技術的対策
Ketmanプロジェクトは、北朝鮮のIT労働者が示す特有の行動パターン(レッドフラグ)をいくつか挙げています。具体的には、複数のGitHubアカウントで同じアバターやプロフィールのメタデータを使い回す、ビデオ会議中の画面共有で無関係なメールアドレスが露出する、あるいはデバイスの言語設定が自称する国籍と矛盾している(ロシア語など)といった点が指摘されています。
また、本プロジェクトは単なる特定にとどまらず、業界全体の防御力を高めるためのツールや枠組みも提供しています。
- gh-fake-analyzer: 不審なGitHubアクティビティを検知するためのオープンソースツールを開発しました。
- 業界標準のフレームワーク: 非営利組織「Security Alliance(SEAL)」と共同で、北朝鮮IT労働者を識別するためのフレームワークを策定しました。
ブロックチェーン業界におけるセキュリティ上の意義
北朝鮮のハッキンググループ(Lazarus Groupなど)は、これまで数十億ドル相当の暗号資産を窃取してきたとされています。IT労働者としての潜伏は、こうした大規模な攻撃の前段階として行われることが多く、今回の100名の特定は業界全体のセキュリティリスクを大幅に軽減するものと評価されています。
ETH Rangersプログラム全体では、これまでに580万ドル以上の資金回収や785件以上の脆弱性報告などの成果を上げており、今回のKetmanプロジェクトによる成果も、分散型ネットワークを分散型の防衛網で守るという同プログラムの理念を体現するものとなっています。
ポイント
- イーサリアム財団の助成を受けたKetmanプロジェクトが、Web3業界に潜伏する北朝鮮IT労働者100名を特定しました。
- 53のプロジェクトに対し、偽装された身分で活動する工作員を雇用している可能性があるとして警告が発せられました。
- 工作員はAI生成画像や偽造IDを用い、日本人エンジニアなどを装ってプロジェクトに浸透していたと見られます。
- GitHubの活動分析ツールや、業界団体と共同の識別フレームワークが開発され、対策の標準化が進められています。
- 潜伏エンジニアの特定は、大規模な資産窃取やサプライチェーン攻撃を未然に防ぐ上で極めて重要な意味を持ちます。