
セキュリティ、脅威インテリジェンス企業のNisosは2023 年 1 月から日本企業でリモート ソフトウェア エンジニアリングおよびフル スタック デベロッパーの職に就いていたと思われる北朝鮮の IT 労働者を特定した事を発表しました。
これらの労働者は実際に日本企業へ勤務していたと思われる形跡が確認できます。
目次
北朝鮮によるIT労働者の活動
2024年3月26日 警察庁は核開発や弾道ミサイル資金調達のために、北朝鮮のIT労働者が日本人になりすまして国内で業務を不正受注している疑いがあるとして、注意喚起を行いました。
フリーランスの技術者などが企業から仕事を受注するためのオンラインのプラットフォームに、中国などを拠点とする北朝鮮のIT労働者が身分を偽って登録し、日本企業の仕事を受注して収入を得ていると見られるケースが相次いでいるということです。
日本でもアニメ制作会社に北朝鮮の労働者が関与していたと指摘を受けています。
日本企業で勤務する北朝鮮のIT労働者
研究者たちは、複数のフリーランスプラットフォーム(LaborX、ProPursuit、Remote Ok,Remote Hub)を利用し、別々の名前や連絡先情報を使用して日本への勤務を自称している偽装IT労働者を特定しました。
偽名1:Weitao Wang -Tenpct Inc.(10pct.株式会社)での勤務を自称。
活動期間:2023年10月以降、日本のコンサルティング会社「Tenpct Inc.(10pct.株式会社)」での勤務を自称。
別名:Huy Diepとしても活動の可能性
画像:Nisos
偽名2:Osamu Odaka(小高 修)-LinkX Inc.(リンクス株式会社)への勤務を自称
活動期間:2022年から2023年、日本のソフトウェア開発会社「LinkX Inc.(リンクス株式会社)」での勤務を自称。
画像:Nisos
日本企業で働く北朝鮮のIT労働者発見までの流れ
国連安全保障理事会は報告書を配布し、情報技術、飲食、建設などの分野で海外で働く北朝鮮国民が制裁に違反して収入を得ていることと北朝鮮のIT労働者と関連があるとされる電子メールアドレスのリストを記載していました。
提供された電子メールアドレスの1つはanacondaDev0120@gmail[.]comでした。
anacondaDev0120@gmail[.]comに関連するアカウントを発見
Nisos社の研究者は国連安全保障理事会が配布しているリストからメールアドレスanacondadev0120@gmail[.]comに関連付けられたGithubアカウントを特定しました。
画像:Nisos
このアカウントは
・ユーザー名O_O(おそらく北朝鮮のIT労働者であるOsamu Odakaの頭文字)
・ユーザー名AnacondaDev0120
を使用していました。
さらに研究者らは、2024年3月にgithubユーザーnickdev0118が共同執筆したコミットをそのページで発見した。
このコミットはメールアドレスnickdev0118@gmail[.]comに関連付けられておりこのメールアドレスは、おそらくベトナムを拠点とするHuy Diepの連絡方法として記載されていたことが明らかになりました。
画像:Nisos
同氏は日本のコンサルティング会社10pctにも勤務していると記載しています。
複数のペルソナを発見
北朝鮮の労動者は1つの連絡先で複数のペルソナを利用する事がよくあり、研究者はGitHubアカウント anacondadev0120でフリーランスサイトを調査したところ、
以下の名称でアカウントが登録されていました。
- LaborX:Osamu Odaka名義で登録。
- ProPursuit: Cheng Kai Ming 別名「Link」で登録。Twitterアカウント「@ChengKaiMing」が関連。
- Remote Ok:WeiTao Wang 削除済みだが、Telegramアカウント(skyhero454)がリンクされていました
それぞれのペルソナで似た画像とスキルセットを利用し、日本人に見えるよう偽装していました。
また、GitHubアカウントAnacondaDev0120はGitHubアカウントshaowtwをフォローしている事を発見し、skyhero454は1フォローしかないにも関わらず、
2024年では10000件の寄付を行っており、寄付金口座のメールアドレスはWeiTao Wangのアドレスと紐づいていました。
ペルソナ WeiTao Wangの特定と現在勤務先と登録している職場
研究者はユーザー名:shaowtwを利用し調査すると WeiTao Wangという⼈物の現在の履歴書を特定しました。
求⼈サイトの調査結果ではこのペルソナは現在、⽇本のコンサルティング会社Tenpct Inc.(10pct.株式会社)に勤務していると自称しています。
画像:Nisos
WeiTao WangがOsamu Odaka(小高 修)のペルソナを流用
北朝鮮のIT労働者たちはアカウントや経歴を使いまわしているケースが多く、
WeiTao Wangのサイトでは自身の顔写真や職歴が公開されていますが、
Osamu Odaka(小高 修)の職歴や技術アセットなどのペルソナから流用しています。
WeiTao Wangの顔写真と経歴
Osamu Odaka(小高 修)の顔写真と経歴
Osamu Odaka(小高 修)のペルソナサイトの職歴記載はWeiTao Wangと差異がありますが、
公開されていた職歴シートの情報では、WeiTao Wangのスキルと勤務先が一致しています。
※株式会社Kaizen PlatformやNewIT株式会社への勤務も自称していますが、詳細なポートフォリオなどは公開されていませんでした。
WeiTao WangがOsamu Odaka(小高 修)としてLinkX Inc.(リンクス株式会社)の業務実績を掲載
WeiTao Wang のペルソナ ウェブサイトには、実績の一部やGoogle Meet ミーティングの写真が掲載されており、
そこにはおそらく北朝鮮の IT 労働者が LinkX Inc.(リンクス株式会社) の現従業員数名とともに参加しており、この⼈物が Osamu Odaka として同社で働いていたことが⽰唆されています。
なお以下画像のポートフォリオには大手企業の名称も記載されていましたが、セキュリティ対策Labの編集で削除しています。
画像:Nisos
画像:Nisos
北朝鮮労働者が利用した連絡先情報とユーザー名の一覧
プラットフォーム | ユーザー名 | ペルソナ |
Github | AnacondaDev0120 | 複数 |
Github | anacondaDev0120@gmail[.]com | 複数 |
Github | O_O | 複数 |
Multiple | Osamu Odaka | Osamu Odaka |
Telegram | brilliant0120 | Osamu Odaka |
Discord | nightfury0120#2829 | Osamu Odaka |
Skype | @live:.cid.36fc5391b3534b0 | Osamu Odaka |
Gmail | odaka0120hayai@gmail[.]com | Osamu Odaka |
Telegram | nightfury00120 | Osamu Odaka |
Telephone | 81 50 5539 4873 | Osamu Odaka |
Telegram | skyhero454 | WeiTao Wang |
shaowtw@gmail[.]com | WeiTao Wang | |
X | https://twitter[.]com/ChengKaiMing |
北朝鮮の労働者を雇用した場合のセキュリティや法的リスク
まず、北朝鮮の労働者を知らずに雇用した場合
・社内の情報技術や取引先の情報漏洩
・取引先へのサプライチェーン攻撃の確立
・マネーロンダリング
などに悪用されます。
さらに、法的なリスクについては以下に違反する可能性があります。
-
国際連合安全保障理事会決議への違反: 国連安保理決議では、加盟国において収入を得ている全ての北朝鮮労働者の送還や、北朝鮮の核・ミサイル開発に資金が利用されないよう求めています。
北朝鮮IT労働者への報酬がこれらに該当する可能性があります。
-
外国為替及び外国貿易法(外為法)違反: 北朝鮮IT労働者に業務を発注し、対価を支払う行為は、外為法に違反する恐れがあります。
具体的な罰則としては、5年以下の懲役または200万円以下の罰金、またはその併科が規定されています。
-
詐欺やマネーロンダリングに関与するリスク: 北朝鮮IT労働者が身分を偽って企業に雇用され、機密情報の窃取や恐喝を行うケースが報告されています。
これらの行為に知らずに加担した場合、詐欺やマネーロンダリングの共犯とみなされる可能性があります。
なお、セキュリティ対策Labは2025年1月24日に10pct.株式会社とLinkX Inc.(リンクス株式会社)へ本件に関しての調査の有無や真偽を確認しましたが返答はありませんでした。