日本国内の知人や親族を使い報酬送金

• IT技術者は法人・個人とフリーランスの技術者をマッチングさせる国内のサービスで仕事を請け負っていた。国内に在住する技術者の韓国籍の知人の名義を使って偽装して登録を行っていたが、北朝鮮政府から中国へ派遣されていたとみられ、中国遼寧省を拠点としていた。知人の男はIT技術者とは仕事で訪れた際に北朝鮮の平壌で知り合ったと供述している。*6
• 業務に関する報酬はIT技術者の知人の口座に振り込まれていた。知人はここから手数料分の金額（約10％相当）を差し引き、IT技術者の親族の口座に送金。親族は自分の名義のデビットカードを中国に送付し、IT技術者はデビットカードを使って報酬金の引き出しを行っていた模様。*7
• 海外のATMではデビットカードを使って日本円を現地通貨に換金し引出しすることが可能。
• 神奈川県警は2022年5月18日に銀行法違反の容疑で知人の男（無許可営業）と親族の女（ほう助）で2人を横浜地検へ書類送検。2019年6月14日～18日頃、知人の男は4回に渡りアプリ開発の報酬として受領した計約191万円の内手数料を引いて親族の女の口座に送金、女は口座に紐づいたデビットカードをIT技術者へ送り、中国で人民元を引き出していた疑い。2人ともIT技術者から依頼されたものとして容疑を認めている。*8 デビットカードを用いた国外への不正送金事案の摘発は全国で初めて。
• 横浜地検は2022年6月17日付で二人を不起訴としたことが報じられた。不起訴理由については明らかにしていない。*9

安全性確認と公表

• ラジオ関西は第三者機関に依頼した検証の結果、安全性に問題ないことを確認したと公表。
• 個人情報の流出、端末内のデータ不正取得及び外部への転送、不正アプリ・プログラムの組み込みのいずれも確認されなかったとした。

マッチングサイトに偽装登録

• 2020年2月に摘発された同類の事件でも同じマッチングサイトが利用されていた。今回の事案同様に、別の韓国籍の男の情報を使って偽装登録が行われていた。また、IT技術者は別の大手マッチングサイトにも登録を行っていたことが判明している。
• 偽装登録による事案が起きていることを受けて、マッチングサイト側が取材に対して答えている見解は次の通り。*10

• 北朝鮮籍のIT技術者が2019年以降、少なくとも7件の国内のスマホアプリの開発に関わっていた可能性が判明している。北朝鮮籍のIT技術者が関わっていた案件としては、地図アプリの更新、大手通販サイトの出品者サポートシステムの保守管理、自治体の防災アプリの修正業務等で県警の捜査ではこれまで不審な点は見つかっていない。*11

懸念される問題点

今回の事案を受け、指摘されている問題は次のもの。

• 報酬が支払われることで北朝鮮側に資金が流入し、経済制裁の抜け穴になってしまう。
• 不正なプログラムが仕込まれる、日本国内の情報を窃取される恐れがある。（兵庫県のケースではこの問題は確認されていない。）
• 風評被害的なリスクと法的影響の可能性の2点について留意する必要がある。

(1) 様々な分野でIT関連業務に従事

勧告では北朝鮮は様々な難易度及び複雑さの異なるIT関係業務に従事していると指摘。ビジネス、ヘルスケア、ソーシャルネットワーク、スポーツ、ライフスタイル関連など複数の分野に及んでおり、例示されたものは以下の通り。

• モバイルアプリケーション、ウェブアプリケーション
• 仮想通貨取引プラットフォームとデジタル通貨の構築
• 一般的なITサポート
• グラフィック・アニメーション
• オンライン・ギャンブル・プログラム
• モバイルゲーム
• 出会い系アプリ
• 人工知能関連アプリケーション
• ハードウェア、ファームウェア開発
• 仮想現実及び拡張現実関連のプログラミング
• 顔認証・生体認証ソフトウェア
• データベースの開発、管理

(2) 偽造する身分証明情報

北朝鮮のIT技術者はPhotoshopなどを用いて身分証明に係る文書を自作をする他、外部へ発注して作成する場合などがある。偽造される文書は一般的には次のものだとしている。窃取したIDもあれば、北朝鮮外の人へ自身の個人情報などを使って作成させるよう誘導する事例もある。

• 社会保障カード
• パスポート
• 国民IDカード
• 外国人登録証
• 高校や大学の卒業証書
• 就労ビザ
• クレジットカード、銀行口座、公共料金の明細書

(3) 雇用する組織への注意点と推奨策

北朝鮮のIT技術者が関わっている兆候把握のため、勧告ではフリーランスの雇用を行っている組織へ次の注意点を挙げている。

• フリーランスのソフトウエア開発関連サイトや報酬支払関連のプラットフォーム上でアカウントの停止が行われていたり、雇用先の企業へ別のアカウント（特に異なる名前で登録）を使って連絡。
• デジタル決済サービス（特に中国関連サービス）の利用。
• 名前（つづり）、国籍、勤務地、学歴、職歴、連絡先（特に電話番号とメール）等の詳細情報が不一致、不正確、または変更。
• 驚くほどシンプルな自己紹介（ポートフォリオ）のサイト、ソーシャルメディアプロファイル、または開発者プロファイル。
• ソフトウェア開発企業の上級管理職と称する人物からのダイレクトメッセージやコールドコール(代表電話宛連絡)によるサービスや勧誘。
• IT技術者を見つけたサービスとは別のプラットフォームで連絡を取るよう要求。
• 業務用機器をIT技術者へ送付する際に、身分証明文書とは別の住所へ送るよう要求。
• 本人確認やアンチマネーロンダリングへの対策を目的として、正規の金融システムの利用を回避するために仮想通貨で報酬の支払いを要求。
• 生産ベンチマークやキックオフの会議を行わずに契約金支払いを要求。
• 契約獲得のために同僚へ個人情報の一部を貸してもらうよう要求。
• 要求された営業時間内のビジネスや依頼事項への対応が不可。
• 即時の通信手段を使った連絡が不可。

また推奨する対策は以下のものを挙げている。

• 身元確認のためビデオインタビューの実施。
• 雇用対象者のバックグラウンドチェック、ドラッグテスト、指紋認証生体認証ログインの実施。
• 仮想通貨での報酬の支払いを避ける。
• リモートデスクトップ等のツールを介してコミュニケーションをとる場合は特に注意。原則は利用無効を推奨。
• 雇用対象者の学歴、職歴を検索サービスや他の商用データベースを使って検証。
• 雇用対象者のプロフィール詳細について一貫性があるかを確認。
• 次の該当するシーンは特に注意。
  • 連絡のやり取りに当初マッチングに使ったものとは別のプラットフォームを指定。
  • 業務関連資機材等の送付先に身分証明情報とは別の住所を指定。
  • IT事業者が小規模な取引を実施。 （不正な取引が行われる恐れ）

(4) プラットフォーム事業者への注意点と推奨策

北朝鮮IT技術者が登録している兆候把握のため、フリーランス向けの仕事や決済用プラットフォームに関係する事業者へ次の注意点を挙げている。

• 比較的短い時間で複数のIPアドレス（特に異なる国）から1つのアカウントへ複数回ログイン。
• 特定のIPアドレスから同一プラットフォーム上の複数のアカウントにログイン。
• 一度に1日以上継続してアカウントにログイン。
• リモートデスクトップの利用が標準的慣行でないにもかかわらず、RDPを利用するため設定。
• 顧客アカウントと開発者アカウントの両方が、同じ PayPal アカウントを使用して送金/出金。
• 特に複数のアカウントにおいて、入札書類やプロジェクトの連絡方法などの文書テンプレートを頻繁に使用。
• 特定顧客アカウントから短期間に複数の開発者アカウントが高い評価を獲得。
• プロジェクト入札件数が多く、入札件数の割に落札件数が少ない。
• 決済プラットフォームを通じての頻繁な送金、特に中国に拠点を置く銀行口座への送金。（複数会社を経由する場合も）

また推奨する対策は以下のものを挙げている。

• 提出された書類に対し企業用データベースを用いる等の検証。
• 偽造を前提とした本人確認書類の厳密な調査と低画質画像の拒否、本人確認用のビデオ提出要求やインタビューの実施。
• ポートフォリオやプロファイルの精査強化。
• リモートデスクトップやVPN、VPSを経由してアクセスしているかの確認。(当該接続が一般的ではない場合)
• 次のような挙動を示した場合に調査をできるよう自動的なフラグ立て。
  • 類似文書や同一の決済サービスアカウントを通じてアカウント作成
  • 同一か類似の文書テンプレートを異なるIT技術者で使用
  • 複数のIT技術者のアカウントに対し単一のクライアントから高評価を獲得。
  • アカウントのログイン回数に対し、落札率が高い、または受注プロジェクト件数が少ない。
• アカウント検証前の活動を許可しない。また新規作成されたアカウントの特別な監視。

兵庫県

• 2022年5月19日 [PDF] ひょうご防災ネットに係る報道の対応について

ラジオ関西

• 2022年6月21日 【お詫び】ひょうご防災ネットアプリの安全性について