2026年2月23日、米国の裁判所がウクライナ国籍のオレクサンドル・ディデンコに禁固5年の判決を言い渡した。彼の「仕事」はシンプルかつ巧妙で、米国市民から盗んだ個人情報(偽造アイデンティティ)を北朝鮮のITワーカーに販売し、UpworkやFreelancerといったフリーランスプラットフォームで就労できるよう支援するというものだった。北朝鮮は国家ぐるみで数百〜数千人規模のITエンジニアを海外に派遣・偽装就労させており、稼いだ外貨は核・ミサイル開発資金に流用されるとされている。
この手口の核心は 「なりすまし」 にある。北朝鮮のワーカーは盗まれた米国人の氏名・社会保障番号・住所などを使い、書類上は完全に「アメリカ人フリーランサー」として振る舞う。雇用する企業側からすれば、コードの品質に問題がなければ発覚しにくく、中には機密性の高いプロジェクトに従事していたケースも報告されている。ディデンコの役割は、この詐欺エコシステムの「本人確認突破」という最重要ステップを担う**中間業者(ミドルマン)**だった。
個人的に注目したいのは、この事件が単なる「詐欺師の逮捕」にとどまらない点だ。国家安全保障とサプライチェーンリスクが交差する問題として、企業のリモート採用プロセスにおける本人確認の脆弱性を改めて突きつけている。フリーランスや業務委託を多用する現代のエンジニアリング組織にとって、「誰を雇っているか」を正確に把握することは想像以上に難しい。北朝鮮ITワーカー問題はまだ氷山の一角である可能性が高く、元記事には今回の事件の詳細な経緯が記されているので、ぜひ一読を勧めたい。