ディープフェイクを打ち負かす:ラップトップファームと内部脅威を阻止する
Cloudflareは2026年の脅威レポートで、北朝鮮などの国家支援組織による「リモートITワーカー」詐欺やディープフェイク活用という新たな脅威を指摘し、Nametagとのパートナーシップを通じてSASEプラットフォームに生体認証ベースの継続的アイデンティティ保証を導入すると発表した。
キーポイント
新たな脅威ベクトル:リモートITワーカー詐欺
国家支援組織が「ラップトップファーム」を活用し、盗まれた身元や生成AIで作成されたIDで採用され、企業ネットワークに侵入する手口が急増している。
既存セキュリティモデルの限界
従来のゼロトラストはデバイスや資格情報を検証するが「人物」そのものを検証しないため、身元詐称による内部脅威(Insider Threat)を防げない課題がある。
CloudflareとNametagの連携
ワークフォースアイデンティティ検証のパイオニアであるNametagと提携し、Cloudflare OneのSASEプラットフォームにアイデンティティ検証されたオンボーディングと継続的な保証機能を統合する。
Nametagによる身元確認の統合
Cloudflare AccessとNametagを連携させ、オンボーディング時にデバイス受取者が正当な本人であることを確認する新たな検証層を追加した。
Deepfake Defense™による攻撃対策
高度な暗号技術、生体認証、AIを活用し、ディープフェイクや印刷された写真を用いた提示攻撃から身元を保護する。
OIDCを用いた柔軟な認証フロー
Cloudflare AccessをIdPとして構成するか、OktaやMicrosoft Entra IDなどの主要なIDプロバイダーと並列して外部評価要素としてチェーンさせることができる。
NametagによるID保証の統合
Cloudflareの既存の内部脅威対策(DLP、RBI、CASB)に「ID保証」を追加し、アカウントログイン元からキーボード背後の人物を特定する。
影響分析・編集コメントを表示
影響分析
本記事は、セキュリティ業界における「アイデンティティ」の定義をデバイスから人間へシフトさせる重要な転換点を示している。生成AIの普及により身元詐称のコストが劇的に低下した現在、単なる資格情報の検証では不十分であり、生体認証や行動分析を組み合わせた継続的なアイデンティティ保証が企業セキュリティの標準となるだろう。
編集コメント
生成AIがセキュリティ脅威としてだけでなく、攻撃者の「ツール」として日常化している現状を浮き彫りにする記事です。企業は技術的な防御だけでなく、採用プロセスにおける生体認証などの人的検証の強化を急務とすべきです。
信頼は、現代のセキュリティアーキテクチャにおいて最も高価な脆弱性です。ここ数年、セキュリティ業界はネットワークに対して「ゼロトラスト」モデルへと転換し、侵害を前提としてすべてのリクエストを検証するようになりました。しかし、そのリクエストを行う背後にいる人々については、依然として暗黙の信頼に頼りがちです。Zoom 通話中の人物が名乗る通りの本人であると信じています。人事ポータルにアップロードされた文書が真正なものであると信じています。
この信頼が、かつてない規模で武器化され始めています。
2026 年版の Cloudflare サイバー脅威レポートにおいて、私たちは急速に加速する新たな脅威ベクトルを指摘しています。それは「リモート IT ワーカー」詐欺の台頭です。北朝鮮を含む国家主体と関連していることが多く、これらは単なる個人の悪意ある行為者ではありません。彼らは組織的なオペレーションであり、「ラップトップファーム」と呼ばれるものを運用しています。これは、盗まれた身元を用いた労働者が遠隔操作するデバイス群を収容した倉庫のようなものであり、企業への侵入、知的財産(IP)の窃取、そして不正な収益の流用を目的としています。
これらの攻撃者は進化し続けており、人工知能(AI)の進展とともにその手法も洗練されています。生成 AI を活用して面接を突破し、ディープフェイクツールを用いて完璧な政府発行の身分証明書を偽造します。従来の背景調査や標準的なアイデンティティプロバイダー(IdPs)ではもはや不十分です。悪意ある行為者は、アイデンティティ保証の隙間を突いています。この隙間が存在する理由は、現在のゼロトラストオンボーディングモデルの多くがデバイスと認証情報を検証する一方で、人間そのものを検証していないからです。
このギャップを埋めるために、Cloudflare は労働者本人確認の先駆企業である Nametag と提携し、SASE プラットフォーム「Cloudflare One」に、本人確認済みのオンボーディングと継続的なアイデンティティ保証をもたらします。
あなたの最大の内部脅威は最初から計画されていた
内部リスクにおける課題は、企業が自然に従業員を信頼しようとする点にあります。従来のデータ損失防止 (DLP) やユーザーエンティティ行動分析 (UEBA) ツールによって悪意のあるアクターが検出された時点では、すでに境界内に入り込んでいます。彼らは有効な認証情報を持ち、企業支給のラップトップと機密リポジトリへのアクセス権を有しています。
「リモート IT 労働者」スキームは、採用からオンボーディングまでの間に存在するギャップを利用します。攻撃者は盗まれたか偽造された身元を使って採用されます。一旦ラップトップが「ミュー」宛先(通常は、リモート労働者の alleged 雇用国に所在する国内のラップトップファーム)へ配送されると、それはラックされ、キーボード・ビデオ・マウス (KVM) スイッチに接続されます。その後、リモートのアクターは VPN(あるいはリモートデスクトップ)を介してログインし、正当な従業員であるかのように見せかけます。
認証情報が有効であり、デバイスが企業支給のものであるため、標準的なゼロトラストネットワークアクセス (ZTNA) ポリシーでは、このトラフィックを「安全」と見なすことが多くありますが、実際にはこれはビジネスにとって巨大なリスクです。
本人確認済みゼロトラストの登場
Cloudflare Access はすでに、デバイス状態、場所、ユーザーグループの所属といった属性を確認し、アプリケーション、インフラストラクチャ、または MCP サーバーへのアクセスを付与する前にセキュリティポリシーを集約するレイヤーとして機能しています。Nametag とのパートナーシップを通じて、私たちは重要な新層である「労働者の身元確認」を追加します。
従来、IT 部門は新しいユーザーのオンボーディングプロセス全体で信頼を仮定するしかなかったのです。彼らは、新規採用者が指定した住所にラップトップを送り、初期認証情報をその人の個人メールへ送信するか、あるいは対面で出社させるかのどちらかしか選択できませんでした。これは、分散型労働力や契約社員が主流の世界において、コストがかかりかつ非現実的な対応でした。
Nametag は、仮定された信頼に代わり、検証された身元を提供します。これにより、保護されたリソースへのデバイスの受け取り、設定、接続を行う人物が、プロセス全体を通じて「実在する人」「正当な人」「正しい人」であることを保証します。この統合により、組織は内部リソースやデータへのアクセスを得る前に、北朝鮮の IT 従事者を含む悪意のある行為者を発見し、阻止することが可能になります。
How it works
Nametag は OpenID Connect (OIDC) を用いて統合されます。Cloudflare Access 内で IdP(Identity Provider: 身元プロバイダー)として設定するか、主要な身元プロバイダー(Okta や Microsoft Entra ID など)に並列して外部評価要素としてチェーン化することができます。

Nametag を使用してユーザー認証を促す Cloudflare Access のログインページの例。
高セキュリティなオンボーディングシナリオにおけるワークフローの一例は以下の通りです:
トリガー:新しいユーザーが、初期オンボーディングポータル(Cloudflare Access によって保護されています)へのアクセスを試みます。
課題:ユーザー名とパスワードの入力を求めるだけでなく、Cloudflare は OIDC を介して Nametag による認証をユーザーに指示します。
検証:ユーザーは新しい勤務先メールアドレスを入力し、スマートフォンで即座にセルフィー(自撮り)を行い、政府発行の写真付き身分証明書をスキャンします。
証明:Nametag の Deepfake Defense™ 本人確認エンジンは、高度な暗号化、生体認証、AI およびその他の機能を活用し、ユーザーが実在する人物であり、かつ正しい人物であることを保証します。Nametag の技術は、悪意のあるアクターがディープフェイク ID やセルフィーを巧みなインジェクション攻撃やプレゼンテーション攻撃(例:印刷された写真を掲げる行為)に利用することを独自に防止します。
強制執行:このチェックが成功した場合、Nametag は OIDC フローを完了するために ID トークンを Cloudflare に返送します。その後、Cloudflare はユーザーのアイデンティティと Access ポリシーに基づいてアプリケーションへのアクセスを許可または拒否します。
これら一連のプロセスは、ユーザーがメール、コードリポジトリ、その他の内部リソースにアクセスする前にすべて完了します。
画像:https://cf-assets.www.cloudflare.com/zkvhlag99gkb/4z3lwwRE7KIq8655FOB9Dp/f3135a1da5f48360fb457ce88309cd20/image4.png
Nametag を使用して身元を確認するには、完了まで 30 秒もかかりません。このやり取りの後、生体情報は一切保存されません。
多層防御
この提携は、Cloudflare が既に提供している内部脅威対策のスイートに補完的な役割を果たします。今日、あなたは以下を行うことができます:
API ドライブ型の DLP(データ損失防止)を使用して、データの持ち出しを検出する。
リモートブラウザアイソレーション(RBI)でブラウジングリスクを低減する。
シャドウ IT レポートとクラウドアクセスセキュリティブローカー(CASB)を使用して、シャドウ IT を特定し、設定ミスを検出する。
Nametag が欠けていたリンク、すなわち身元の保証を提供します。これは、「どのアカウントがログインしているか」を知る段階から、「キーボードの背後に誰がいるのか」を正確に知る段階へと移行させるものです。
AI で顔や声を偽造できる時代において、身元の暗号による証明こそが、労働力を安全に信頼するための唯一の方法です。
オンボーディングを超えて:継続的な検証
悪意のあるアクターを門前で阻止することは重要ですが、脅威の状況は動的に変化します。正当な認証情報は売買され、正当な従業員も侵害される可能性があります。
この現在および絶えず進化し続けるリスクから保護するため、Cloudflare Access はユーザーリスクスコアを組み込みました。これによりセキュリティチームは、文脈を認識したポリシーを構築できるようになります。ユーザーのリスクスコアが突然低くから高くに上昇した場合、すべての(または特定の)アプリケーションへのアクセスを取り消すことができます。
将来、ユーザーリスクスコアなどのシグナルに基づいて、アクティブなセッションの最中にステップアップ認証を適用できるようになります。通常とは異なる場所から生産用請求システムへのアクセスに正当な理由があるユーザーを誤って混乱させる「大きな赤いボタン」を押す代わりに、Nametag による検証や、Cloudflare の独立した MFA を強力な認証方法で利用するようユーザーに要求することが可能になります。セッションハイジャッカーやボットであれば、これらのチェックを通過することはできません。
この機能はセルフサービス IT ワークフローにも拡張されます。パスワードリセットや MFA デバイス登録は、ソーシャルエンジニアリング(例:MGM リゾートのヘルプデスク攻撃)の主要な標的です。これらの特定のポータルに対して Cloudflare Access の背後に Nametag を配置することで、サポート担当者がソーシャルエンジニアリングによって攻撃者のためにパスワードをリセットしてしまう可能性を排除できます。
未来への防御を今から
セキュリティは仮定に頼ることはできません。AI ツールが高度な詐欺の参入障壁を下げる中、人間の要素を暗号学的な確実性で検証するよう防御を進化させる必要があります。「リモート IT 作業者」による脅威は仮説的なシナリオではなく、世界中の組織を対象とした実際のキャンペーンです。
これを阻止するためにインフラ全体を再構築する必要はありません。これらの保護策を既存の IdP(ID プロバイダー)やアプリケーションの上に即座に重ねて適用できます。
Cloudflare One は最大 50 ユーザーまで無料で利用可能であり、これにより、ID 検証付きのオンボーディングフローをパイロットテストしたり、高リスクな内部ポータルを今すぐ保護したりすることが可能です。
開始方法: Cloudflare One にサインアップして、ポリシーエンジン(policy engine)の構築を開始してください。
統合のデプロイ: Nametag を Cloudflare Access に数分で接続するためのステップバイステップガイドに従ってください。
リスクの理解: 内部脅威と AI によるなりすましの増加背後にあるデータを確認するには、Cloudflare の完全な脅威レポート(Threat Report)をお読みください。
インシデント発生を待って従業員を検証する必要はありません。画面に映る顔さえも検証なしには信頼しないという前提で、SASE アーキテクチャ(Secure Access Service Edge)の導入を開始してください。
原文を表示
Trust is the most expensive vulnerability in modern security architecture. In recent years, the security industry has pivoted toward a zero trust model for networks — assuming breach and verifying every request. Yet when it comes to the people behind those requests, we often default back to implicit trust. We trust that the person on the Zoom call is who they say they are. We trust that the documents uploaded to an HR portal are genuine.
That trust is now being weaponized at an unprecedented scale.
In our 2026 Cloudflare Threat Report, we highlight a rapidly accelerating threat vector: the rise of "remote IT worker" fraud. Often linked to nation-states, including North Korea, these are not just individual bad actors. They are organized operations running laptop farms: warehouses of devices remotely accessed by workers using stolen identities to infiltrate companies, steal intellectual property (IP), and funnel revenue illicitly.
These attackers have evolved and continue to do so with advancements in artificial intelligence (AI). They use generative AI to pass interviews and deepfake tools to fabricate flawless government IDs. Traditional background checks and standard identity providers (IdPs) are no longer enough. Bad actors are exploiting an identity assurance gap, which exists because most zero trust onboarding models verify devices and credentials, not people.
To close this gap, Cloudflare is partnering with Nametag, a pioneer in workforce identity verification, to bring identity-verified onboarding and continuous identity assurance to our SASE platform, Cloudflare One.
Your biggest insider threat was scheming from the start
The challenge with insider risk is that companies naturally want to trust their employees. By the time malicious actors are detected by traditional data loss prevention (DLP) or user entity behavior analytics (UEBA) tools, they are already inside the perimeter. They have valid credentials, a corporate laptop, and access to sensitive repositories.
The "remote IT worker" scheme exploits the gap between hiring and onboarding. Attackers use stolen or fabricated identities to get hired. Once the laptop is shipped to a "mule" address (typically a domestic laptop farm located in the country of the remote worker’s alleged employment), it is racked and connected to a keyboard, video, and mouse (KVM) switch. The remote actor then logs in via VPN (or perhaps remote desktop), appearing to be a legitimate employee.
Because the credentials are valid and the device is corporate-issued, standard zero trust network access (ZTNA) policies often see this traffic as "safe" — when in fact it’s an enormous risk to your business.
Enter identity-verified zero trust
Cloudflare Access already serves as the aggregation layer for your security policies — checking attributes such as device posture, location, and user group membership before granting access to applications, infrastructure, or MCP servers. Through our partnership with Nametag, we are adding a critical new layer: workforce identity verification.
Previously, IT departments had no choice but to assume trust throughout the new user onboarding process. They could either ship a laptop to an address provided by the new hire and then send their initial credentials to their personal email, or require them to come in person –– costly and impractical in a world of distributed workforces and contractors.
Nametag replaces assumed trust with verified identity, ensuring that the person receiving, configuring, and connecting a device to protected resources is a real person, a legitimate person, and the right person throughout the entire process. This integration allows organizations to uncover and stop bad actors, including North Korean IT workers, before they gain access to any internal resources or data.
How it works
Nametag is integrated using OpenID Connect (OIDC). You can configure it as an IdP within Cloudflare Access or chain it as an external evaluation factor alongside your primary identity provider (like Okta or Microsoft Entra ID).
image
Example of the Cloudflare Access login page prompting for a user to authenticate using Nametag.
Here is an example workflow for a high-security onboarding scenario:
Trigger: A new user attempts to access their initial onboarding portal (protected by Cloudflare Access).
Challenge: Instead of just asking for a username and password, Cloudflare directs the user to Nametag for authentication via OIDC.
Verification: The user enters their new work email address, then snaps a quick selfie and scans their government-issued photo ID using their phone.
Attestation: Nametag’s Deepfake Defense™ identity verification engine leverages advanced cryptography, biometrics, AI and other features to ensure that the user is both a real person and the right person. Nametag’s technology uniquely prevents bad actors from using deepfake IDs and selfies in sophisticated injection attacks or presentation attacks (e.g., holding up a printed photo).
Enforcement: If that check is successful, Nametag returns an ID token to Cloudflare to complete the OIDC flow. Cloudflare then grants or denies access to the application based on the user’s identity and the Access policies.
All of this happens before the user can access email, code repositories, or other internal resources.
image
Verifying your identity with Nametag takes under 30 seconds to complete. No biometrics are stored after this interaction.
A layered defense
This partnership complements Cloudflare’s existing suite of insider threat protections. Today, you can:
Scan for data exfiltration using our API-driven DLP.
Reduce browsing risk with Remote Browser Isolation (RBI).
Identify shadow IT and detect misconfigurations with our shadow IT report and our Cloud Access Security Broker (CASB).
Nametag provides the missing link: identity assurance. It moves us from knowing what account is logging in, to knowing exactly who is behind the keyboard.
In an era where AI can fake a face and a voice, cryptographic proof of identity is the only way to safely trust your workforce.
Beyond onboarding: continuous verification
While stopping bad actors at the door is critical, the threat landscape is dynamic. Legitimate credentials can be sold, and legitimate employees can be compromised.
To protect against that present and ever-evolving risk, Cloudflare Access now incorporates user risk scores so security teams can build context-aware policies. If a user’s risk score suddenly increases from low to high, access can be revoked to any (or all) applications.
In the future, you’ll be able to enforce step-up verification based on signals such as user risk score, in the middle of an active session. Rather than hitting the “big red button” and potentially disrupting a user who does have a legitimate reason for accessing the production billing system from an usual location, you will instead be able to challenge the user to verify with Nametag or by using Cloudflare’s independent MFA with strong authentication methods. If the user is a session hijacker or a bot, they will be unable to pass these checks.
This capability will also extend to self-service IT workflows. Password resets and MFA device registration are prime targets for social engineering (e.g., the MGM Resorts help desk attacks). By placing Nametag behind Cloudflare Access for these specific portals, you eliminate the possibility of a support agent being socially engineered into resetting a password for an attacker.
Defend against the future, now
Security cannot rely on assumptions. As AI tools lower the barrier to entry for sophisticated fraud, your defenses must evolve to verify the human element with cryptographic certainty. The "remote IT worker" threat is not a hypothetical scenario—it is an active campaign targeting organizations globally.
You don't need to overhaul your entire infrastructure to stop it. You can layer these protections on top of your existing IdP and applications immediately.
Cloudflare One is free for up to 50 users, allowing you to pilot identity-verified onboarding flows or protect high-risk internal portals right now.
Get started: Sign up for Cloudflare One to begin building your policy engine.
Deploy the integration: Follow the step-by-step guide to connect Nametag to Cloudflare Access in minutes.
Understand the risk: Read the full Cloudflare Threat Report to see the data behind the rise in insider threats and AI impersonation.
Don't wait for a breach to verify your workforce. Start implementing a SASE architecture that trusts nothing — not even the face on the screen — without verification.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み