米国司法省は2026年5月、北朝鮮のIT工作員が米国企業にリモート就職するのを支援した「ラップトップ農場」の運営者2名——Matthew Isaac KnootとErick Ntekereze Prince——にそれぞれ禁固18ヶ月の実刑判決を下した。被害を受けた企業は約70社にのぼり、経済的損失と事後対応コストの合計は数百万ドル規模に達している。
「ラップトップ農場」とは何か
「ラップトップ農場(Laptop Farm)」とは、他人名義で受け取った業務用ノートPCを自宅に並べ、北朝鮮のIT工作員が米国在住の正規社員を装ってリモートワークできるよう環境を整える犯罪インフラのことだ。
具体的な手口はシンプルかつ巧妙だ。
- 企業が採用したと思っている「Andrew M.」などの架空人物名義でノートPCを受け取る
- そのPCにリモートデスクトップソフトウェアを不正インストールする
- 北朝鮮側の工作員が海外から当該PCにアクセスし、米国在住社員として業務をこなす
- 給与は全額、北朝鮮政府の管理するルートを通じて送金される
Knootはナッシュビルの自宅でこの農場を2022年7月〜2023年8月の約1年間運営。被害企業が支払った給与は25万ドル超。さらに事後の監査・システム修復コストが50万ドル超発生した。
PrinceはIT企業「Taggcar Inc.」を隠れ蓑に、2020年6月〜2024年8月の4年間にわたって少なくとも3名の北朝鮮工作員を複数の米国企業に潜り込ませた。給与総額は94万3,000ドルを超え、修復コストは100万ドル超に上った。
FBIが警告し続ける「見えない脅威」
FBIは少なくとも2023年から北朝鮮ITワーカーの米国企業侵入について繰り返し警告を出している。推定では、北朝鮮は毎年数千人規模のIT工作員を抱え、盗まれたアイデンティティを使って数百社に就職させているとされる。
今回の2名は今年に入って8人目の有罪確定者だ。昨年7月にはアリゾナ州在住のChristina Marie Chapmanが自宅で309社向けのラップトップ農場を運営した罪で禁固102ヶ月(約8年半)の判決を受けており、司法当局の摘発が本格化していることがわかる。
実務への影響——日本企業のリモート採用リスク
これは米国だけの問題ではない。リモートワークが定着した現在、採用・受け入れプロセスに物理的確認が欠如していれば、どの国の企業も同様のリスクにさらされる。
IT部門・情報セキュリティ担当者がすぐ確認すべきポイント:
- PC配送先の住所確認: 会社支給PCの配送先が本人の居住実態と一致しているか。転送サービスや法人住所への配送は要注意
- 初回ビデオ通話での本人確認: 採用面接時と業務開始後の顔・背景・声が一致するか定期確認
- IPアドレス・接続元の監視: 日本在住のはずの社員が海外IPから常時ログインしていないか
- リモートデスクトップソフトウェアの管理: MDMで管理されていない第三者製RDPツール(AnyDesk等)のインストールを検知・ブロックする
- 給与受取口座の実在確認: 口座名義と採用時の本人確認書類の突合
特にフリーランスや業務委託での採用増加に伴い、正社員採用ほど厳密な本人確認が行われないケースが増えている。発注側の管理強化が急務だ。
筆者の見解
この事件を「米国の話」として読み飛ばすのは危険だと思う。
リモートワークの普及は働き方の自由度を大きく広げた一方、採用・就業管理のプロセスに「物理的な確認」がなくなるという構造的な空白を生んだ。北朝鮮のようなステートアクター(国家支援型攻撃者)は、その空白を組織的・継続的に突いている。
日本企業の多くは「海外の話」「大企業の話」と感じるかもしれないが、グローバルな業務委託やオフショア開発が一般化している今、リモート人材の本人確認プロセスがどこまで整備されているかを見直す良い機会だ。
ゼロトラストの文脈でいえば、「ネットワークに繋がっているから社員」という前提はとうに崩れている。接続元・デバイス・アイデンティティの3点を継続的に検証するアーキテクチャを整備することが、このような「内部侵入」への根本的な対処になる。
セキュリティの話は細かくてとっつきにくい部分も多いが、「今動いているから大丈夫」という感覚が一番危ない。この摘発劇が日本国内のリモートワーク管理の見直しを促すきっかけになれば、報道する価値は十分にある。
出典: この記事は Americans sentenced for running ’laptop farms’ for North Korea の内容をもとに、筆者の見解を加えて独自に執筆したものです。