日本のIT産業を陰で蝕む北朝鮮技術者の実態とは?
「Bravemaster619」に関する調査結果と企業が取れる対策
初版作成: 2022/07/17
公開版作成: 2023/10/30
本レポートはザ・ニューヨーカー誌の記事に掲載された調査を発展させたものである。Google検索やソーシャルメディアのプロフィール情報、中国特有のサービスなどの公開情報を使用し調査を行った。
調査の背景
2021年にザ・ニューヨーカー誌が公開した記事において、Bravemaster619というユーザー名を使用し、北朝鮮のIT技術者がフリーランスのプログラマーとして活動していることが報告されている。
今回、この「Bravemaster619」が本当に北朝鮮のIT技術者であるのか、記事には記載されていない、根拠を補強する証拠を収集するため再注目し、以下の調査を実施した。
調査結果の概要
結論:
Bravemaster619は北朝鮮のIT技術者である可能性が非常に高い。
理由:
- Bravemaster619のホームページに掲載されている過去の仕事の実績として、日本にある朝鮮総連系であると考えられる企業との取引が記載されていることを確認した。
- Bravemaster619は、言語学習サイトHiNativeにおいて、韓国語の文章を英語に訳してほしいとの質問を行っており、朝鮮系の人物である可能性が高い。
- Bravemaster619は制裁を回避するために中国国籍を取得している可能性が高い。
- このことから、Bravemaster619が吉林省在住の朝鮮系の人物であると判明しても、彼が北朝鮮出身の人物であるか公開情報により確認することは困難である。
- Bravemaster619は中国に住みながらIT技術者として活動している可能性が高い。
- Bravemaster619は丹東ではなく、吉林省に住んでいる可能性が高い。
- 北朝鮮のIT技術者は一般的なユーザーがよく利用するソーシャルメディアに登録し、外貨稼ぎの足場として活用している。
- 北朝鮮のIT技術者はニュースなどで確認された企業以外にも日本企業と取引を行っている可能性がある。
背景
北朝鮮は国連やアメリカなどから厳しい経済制裁を受けているが、制裁をものともせず、さまざまな政府機関がさまざまな事業を行うことにより、核・ミサイル開発の資金源としている。例として、近隣諸国に労働者を派遣しての建設作業、木を伐採し加工し輸出するなどの林業を行うことが知られているほか、中東諸国に武器を輸出するといった外貨獲得活動でも知られている。
特に近年サイバー空間においては、サイバー攻撃による仮想通貨窃取やマネーロンダリングによる不正な外貨の獲得、他の国籍であると身分を偽りフリーランスのIT技術者として仕事を請負う等の方法により、外貨を獲得していることが知られている。
また、一部の報道によれば、北朝鮮の出稼ぎIT技術者は北朝鮮国内からではなく、中国、ロシア、アジアの周辺国からサイバー攻撃やインターネットを活用した外貨稼ぎを行っているとされている。
米国司法省は、2023年10月18日に公開した資料において、「朝鮮民主主義人民共和国は、弾道ミサイル計画に間接的に資金を提供するために、悪意のあるIT労働者を世界市場に殺到させた。」と非難し、出稼ぎIT技術者が利用していたドメイン名や口座を押収する制裁を行っている。
日本国内においても北朝鮮のIT技術者が兵庫県の防災アプリの開発に関わっていたとされる同様の事案が発生している。
本調査ではBravemaster619というユーザー名を使用する北朝鮮との関係が疑われるIT技術者について調査を行った。今回Bravemaster619に着目した理由としては、調査開始時点で、ザ・ニューヨーカー誌の記事において北朝鮮との関係が指摘されているにもかかわらず依然として活動を行っていたこと、プロファイリングの過程で日本企業の仕事を受けていたこともあるとホームページに記載されていたこと、などの点において注意を引かれたことが挙げられる。
調査
ザ・ニューヨーカー誌が2021年に公開した記事において、Bravemaster619というユーザー名を使用している北朝鮮のIT技術者がフリーランスのプログラマーとして活動していることが報告されている。
以下翻訳:
最近、あるアメリカ人アナリストが、中国の丹東という国境の町で活動している北朝鮮人からなる部隊のデジタルフットプリントを私に見せてくれた。悪意のあるハッキングを行った形跡はなかった。このグループは、bravemaster619@hotmail.com という電子メールアドレスを通じて、ほとんど完璧な英語で、コーダー・サイトでフリーランスの仕事を募集していた。GitHub上のBravemaster619のプロフィールには、「自分のウェブサイトを持ちたい?機能を追加したり、既存のシステムのデザインをカスタマイズしたりしたいですか?あなたのサイトを次のレベルに改善したいですか?私の熟練した開発スキルを貸してください!」丹東の北朝鮮労働者たちは、制裁規定のためか、自分の国籍を公表しておらず、競争力のある料金を請求しているようだった。
記事では、Bravemaster619のデジタルフットプリントからはサイバー攻撃などの悪意のあるオンラインアクティビティに関する証拠は見つかっていないと述べられている。筆者も同様の観点で調査を行ったが、発見に至らなかった。
また、同ユーザー名について調査を行うと、オンライン上での活動をいくつか垣間見ることができる。Githubを利用したコードの公開(2023年10月30日時点で削除済み)や、さまざまなソーシャルメディアへの登録が確認された。特に、言語学習サイトHiNativeでは、韓国語についての質問を行っている様子が見られた。
Bravemaster619のホームページでは、過去の実績としてどのような開発を行ってきたかなどの実績に関する宣伝が行われており、その中には日本企業のウェブサイト開発に携わってきたとの記載も存在する。その中でも特に注目したいウェブサイトとして、451039(シゴトサンキュージャパン)というウェブサイトが挙げられる。
シゴトサンキュージャパンは株式会社アイティゼットという企業によって運営されており、このウェブサイトの個人情報保護管理責任者として、韓戍連(ハンスリョン)という人物の名前が使われている。
「韓戍連」という名前について調査を行ったところ、朝鮮総連関係の雑誌(月刊イオ)の記事を書いている同姓同名の人物を確認したが、以上の個人情報保護管理責任者と同一人物かつ朝鮮総連と直接なんらかの関係のある人物かについては公開情報から追及することはできなかった。
次に、Hashnodeに存在するBravemaster619のアカウントを確認したところ、Liyou Dingという名前を使用していることが判明した。プロフィールを見ると、中国の吉林省に住んでいると記載している。
また、Liyou Dingはビジネス向けのソーシャルメディアであるLinkedInの登録も行っており(2023年10月30日時点で削除済み)、ある時期まではBravemaster619のGithubアカウントも紐つけられていた。このLinkedInのプロフィールにおいては、吉林市骊泷科技发展有限公司で働いていると書かれている。
中国企業に関する情報を確認することができる天眼査(tianyancha)によれば、吉林市骊泷科技发展有限公司は崔相旭(チェサンウク)が2020年12月29日に設立した中国吉林省にある企業である。
なお、天眼査へのアクセスがブロック(IPアドレス)されており、ウェブサイトへのアクセスを行えなかったため、Google翻訳経由のアクセスにより、ブロックを回避した。本レポート中に登場する天眼査のスクリーンショットは、全て上記手法によるアクセスであるため、日本語の表記となっている。
Baidu Mapでこの登録住所「吉林市⻰潭区新山街55号新地·山湾C区12号楼5单元6层71号」を調べてみると集合住宅のような場所であり、事業範囲の項目数の割に事務所が少し小さいように感じられた。
続いて、Googleを使用して企業名等の検索を行ったところ、郑炳九という人物名が目に入った。この人物名は、天眼査のウェブサイト上では表示されていなかった。が、Google検索の概要の部分に表示されていたことから、同企業の関係者の名前であると判断した。この人物の名前を再度Google検索すると、吉林市欣荣软件开发有限公司という企業名がヒットした。
天眼査 によると、吉林市欣荣软件开发有限公司は2018年11月9日に設立され、住所は吉林省吉林市昌邑区嘉业花园1号楼3单元1层26号である。この設立者の名前は丁利有(Liyou Ding)で、これは、Bravemaster619のHashnodeに記載されていた名前と同じであり、Bravemaster619が設立した企業と見られる。また、「丁」は朝鮮半島に多い苗字として知られている。
天眼査では、企業の担当者や株主に関する履歴情報を見ることができる。そこで、吉林市欣荣软件开发有限公司について、過去の履歴情報を確認した。
図13の履歴情報において特筆すべき点は丁利有(Liyou Ding)のIDタイプが「中華人民共和国の居住者IDカード」とある点である。居民身分証は中華人民共和国の国籍がなければ取得できないため、丁利有は中国国籍を保有していることになる。
北朝鮮政府にとって、自国の出稼ぎ労働者に、中国国籍の取得を行わせることは、亡命の可能性等リスクがある行為と考えられるが、制裁を回避するために国籍を取得させた可能性も否定できない。
また、吉林省はもともと朝鮮族が多く住んでいる地域であることから、この人物が北朝鮮政府の意思により、出稼ぎIT技術者として中国に派遣された人物であるかどうかの判断は困難である。また、こういった状況は、北朝鮮が出稼ぎ労働者が 中国に住む朝鮮族の中に紛れた状態で活動を行うことができるメリットがあると考えられる。
さらに追加の調査により、カンボジアにおいて興味深い事象が発生していることが判明した。この記事においては、北朝鮮人がカンボジアで帰化し、カンボジア人になることで国連の経済制裁を回避しながら事業を行うことができることが言及されている。「帰化」という行為が制裁を掻い潜る手段の一つとして確立され、中国国内においても、カンボジアと同様の事象が発生している可能性があると考える。
今後の展望
今後も北朝鮮への制裁が継続する可能性は高く、北朝鮮のIT技術者は脅威として存在し続ける。Bravemaster619についてはインターネット上での情報を一部削除していることから、すでに同IDによる活動を停止していると見られる。
本ケースとは別の調査においても、北朝鮮の出稼ぎIT技術者と考えられる人物が、身分の偽装、ソーシャルメディアにおいてアカウントを作成する等のキャラクタライズを行い、一般の仕事を受けやすい状態を作り出した上、活動を行っている。
米国司法省のガイダンスは主に米国国内で起きている事象について焦点が当てられており、日本企業が本資料をもとに対策を行う上で、不足する点があることは否めない。参考として、筆者が行った過去の調査において、日本人になりすましている北朝鮮のIT技術者に、どのような特徴があったのかをまとめる。
- 身分証に記載されている名前とSNSの名前、口座の名義がそれぞれ異なる
- 登録しているSNSやポートフォリオごとに住んでいる国の記載が異なる
- 何らかの形で中朝国境付近の地域(延辺、丹東など)が(履歴書に記載の住所、SNSのロケーション、口座情報)で出てくる
- プロフィール写真がアジア系のイケメン
- 頑なにパスポートの提出を拒否し、当人が住む国の偽造身分証を提出しようとする
- (日本人として)珍しい苗字を使用している。
- 東京大学など、一般的に高学歴とされる大学を卒業しているとしている。
- 日本人であると記載しているのにも関わらず、プロフィールでは頑なに日本語を使用していない。
※今後状況に変化があれば、過去の調査を公開する可能性もある。
対策
企業がとれる対策の第一歩としては、フリーランスサイトなどで仕事を依頼する場合の身元確認の徹底を推し進めていくことである。
特に大企業においては、委託先がフリーランスサイト等での業務委託を行っていないか、行っているとしても、スクリーニングをきちんと行っているか確認することをお勧めする。
また、過去の取引で疑わしい人物がいなかったか、仮にいた場合は、その人物が請け負った仕事や仕事の内容について、疑わしい活動があったか、悪意のあるコードが埋め込まれていないか、という観点から確認を行うべきであると考える。
所感
もうちょっとこういう研究やりたいです。本当は北朝鮮の歴史含めた歴史的経緯、北朝鮮の根幹にある主体思想や、過去の事件も含めた報告にしたかったもののとっ散らかるので諦めた。
本報告で取り上げた脅威については、アンチウイルスソフトの導入や最新のセキュリティソフトウェアの導入では防げない、別次元の脅威である。古典的なスパイ技術と最新のサイバー空間における攻撃手法を組み合わせることで、より洗練された攻撃が行われる可能性が高い。
経営層としては、ヒトモノカネの管理の再徹底、HRにおけるスクリーニングの徹底、社員教育における意識の向上などの基本+サイバー空間における不正アクセス対策を行うべきであろう。
一般の社員においても、サイバー攻撃などの脅威以外にも人的、物理的脅威があることを再認識すべきである。特にSNSにおける接触やメールなどの点においてどのように対策すべきか、意識する必要があるだろう。
今後の展望では、日本企業のセキュリティ担当者が今後の対策につながるようにIT技術者のどの観点に着目すべきかをまとめて書いた。
一般論として、仕事を依頼した人物が北朝鮮の人間で、報酬が自分たちの頭上を通るミサイルに変わっているかもしれないという事実は恐ろしいことであろう。
謝辞
本記事の作成にあたり、ご協力いただいた匿名の情報源、レビューをしていただいた passerby1_氏に感謝申し上げます。