12月7日、2023年8月のキャンプデービッドでの日米韓三か国首脳会議に引き続き、日本は朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、「日米韓三極外交作業部会」の初会合を主催した旨米国務省からのリリースが筆者の手元に届いた。 その出席者(筆者注1)は、米国の北朝鮮担当特別代表代行のジョン・H・パク博士(U.S. Deputy Special Representative for the DPRK Dr. Jung H.Pak)、
Dr. Jung H.Pak氏
日本の石月英雄外務省サイバー政策担当大使兼総合外交政策局審議官(Japanese Ambassador for Cyber Policy Ishizuki Hideo)
Ishizuki Hideo 氏
韓国外務省の李埈一(イ・ジュンイル)韓国外交部北朝鮮核外交企画団長
李埈一(イ・ジュンイル)氏
が主導したこの会談は、悪意のあるサイバー活動、暗号資産の盗取、そして違法な大量破壊兵器や弾道ミサイル計画に資金を提供するために利用するIT労働者を通じて、北朝鮮が収益を生み出す能力を破壊するための世界的な協力につき緊密な三者間の緊密な関係の必要性を強調したものである。
はたして、この会合の具体的課題等について調べたところ、以下述べるとおり、わが国外務省や韓国の主要メデイアを読んだが、あえてブログで取り上げるような内容ではなかった。しかし、筆者なりに今回の国務省のリリース内容やそこに盛り込まれた「朝鮮民主主義人民共和国の情報技術労働者に関する追加ガイダンス」をつぶさに読むと、まさに北朝鮮のIT労働者の雇用を具体的に進めるにあたっての具体的デュー・デリジェンス(筆者注2)措置の内容が見えてきた。
一方で、ガイダンスやファクトシートの内容はわが国の読者にとってはかなりの米国の金融基礎知識がないと理解できないといえるものであった。
今回のブログは筆者なりの解説で補完しながら、問題の本質に迫ってみたいと考えた。なお、12月8日筆者に届いた国務省リリースに「米国、ロシアのサイバー活動をさらに妨害するための措置を講じる」があることに気づいた。別途、本ブログで取り上げたい。
1. 日米韓三極外交作業部会の初会合に関するわが国の外務省の報道内容
12月7日のわが国の外務省のリリースは、そのまま引用するが、以下のとおりである。まさに内容がないとしか言いようがない。
「12月7日、午後4時から約2時間、東京において、第1回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が実施されたところ、概要は以下のとおりです。
今回の作業部会においては、石月英雄外務省サイバー政策担当大使兼総合外交政策局審議官、ジュン・パク米国国務省北朝鮮担当特別代表代行、李埈一(イ・ジュンイル)韓国外交部北朝鮮核外交企画団長が共同議長を務めた。
今年8月18日に行われた日米韓首脳会合において、三か国の首脳は、北朝鮮による不法なサイバー関連活動に対処し、サイバー関連活動によって可能となる制裁回避を阻止するための日米韓三か国間の協力を推進することに合意した。今回の作業部会はこうした合意を踏まえて開催されたものである。
今回の作業部会において、三か国は、北朝鮮の不法な大量破壊兵器及び弾道ミサイル計画の資金源となる、北朝鮮の不正なサイバー活動に対する懸念を改めて表明した。その上で、北朝鮮IT労働者を含む北朝鮮のサイバー脅威に対する各国の取組や今後の日米韓協力等について意見交換を行った。今回の議論は、日米韓で北朝鮮のサイバー活動に関する協力を進める政府全体の取組の一環として、外交的な取組に焦点を当てて行われたものである。
三か国は、国連安保理決議に従った北朝鮮の完全な非核化に向け、サイバー分野における対応を含め、引き続き緊密に連携することを再確認した。」
2.米国務省の日米韓三極外交作業部会のリリース文の内容
12月7日の国務省のリリース文を本ブログの前文との重複を避けたうえで、以下、仮訳する。
12月7日、日本は、朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、2023年8月のキャンプデービッド三国首脳会議を受けて、米国・日本・韓国(韓国)三極外交作業部会の初会合を主催し、会議で発表された三国間パートナーシップのあらためて確立した。
この作業部会を通じて、米国、韓国、日本は北朝鮮のIT労働者の違法なネットワークを破壊するための幅広い三国間行動を追求した。すなわち、① 北朝鮮のサイバー脅威に対して民間産業を関与させる、② 三国間の能力構築支援を調整する、③作業部会の会議では、グループが戦略的に重点を置くさらなる分野を決定することにも焦点が当てられた。
北朝鮮の IT 労働者が世界中の企業から不正に雇用を獲得するために使用する戦術に関する最新情報については、2022年5月16日の「DPRKの IT 労働者勧告に関するガイダンス(Publication of North Korea Information Technology Workers Advisory)」を提供する最新の公共サービス発表を読まれたい。 詳細については、LinkedIn および Twitter (@StateCDP) で「サイバースペースおよびデジタル政策局(Bureau of Cyberspace and Digital Policy)」サイトの内容をフォローされたい。
なお、FBIの同ガイダンスの公表リリース文を以下、筆者なりに仮訳する。
本日、米国連邦国務省と連邦財務省、および連邦捜査局は、朝鮮民主主義人民共和国(DPRK)とIT 労働者が非北朝鮮国民を装いながら雇用を得るという北朝鮮の情報技術による試みについて、国際社会、民間部門、国民に警告する勧告を発表した(この勧告は、企業が北朝鮮のフリーランス開発者を雇用することを回避し、フリーランスおよびデジタル決済プラットフォームがサービスを悪用している北朝鮮のIT労働者を特定するのに役立つよう、北朝鮮のIT労働者がどのように運営されているかに関する詳細情報を提供し、危険信号を特定するものである。 同時に第一次ファクトシート「朝鮮民主主義人民共和国情報技術労働者に関するガイダンス(Guidance on the Democratic People's Republic of Korea Information Technology Workers)」も発行した。
3.第一次 朝鮮民主主義人民共和国情報技術労働者に関するガイダンスのファクトシート(2022年5月16日)の仮訳
米国政府は、国際社会、民間部門、国民が朝鮮民主主義人民共和国(DPRK)のテクノロジー (IT) 労働者の不注意な募集、採用、促進をよりよく理解し、防止するための包括的なリソースとしてこの勧告を発行している。 この勧告は、企業が北朝鮮のフリーランス開発者を雇用することを回避し、フリーランスおよびデジタル決済プラットフォーム・サービスを悪用している北朝鮮のIT労働者を特定できるようにするために、北朝鮮のIT労働者がどのように運営されているか、採用の危険信号の指標とデュー・デリジェンス措置を特定する方法に関する詳細な情報を提供するものである。
北朝鮮の IT 労働者の活動を支援することは、知的財産、データ、資金の盗取から風評被害、米国と国連 (UN) 当局による制裁を含む法的影響に至るまで、多くのリスクをもたらす。
北朝鮮は数千人の高度な技術を持ったIT人材を世界中に派遣し、米国と国連の制裁に違反した兵器開発計画に貢献することで収入を得ている。これらの労働者の活動内容は次のとおり。
①フリーランスの仕事プラットフォームのエコシステム全体を悪用して、世界中のクライアント企業から密かに IT 開発契約を取得し、また多くのソーシャル・ メディア・ プラットフォームを悪用して、クライアントや支払いプラットフォームと通信して仕事の対価を受け取る。
②ビジネス、暗号資産、健康とフィットネス、ソーシャル・ ネットワーキング、スポーツ、エンターテイメント、ライフスタイルを含むがこれらに限定されない、さまざまな分野にわたるアプリケーションとソフトウェアを開発している。
③多くの場合、仮想プライベート ネットワーク (VPN)(筆者注3)、仮想プライベート サーバー (VPS)、購入した第三国の IP アドレス、プロキシ・ アカウント、偽造または盗難された身分証明書や書類等を使用するなどして、自分自身を外国 (北朝鮮以外) または米国拠点のテレワーカーであると偽る。
④他の DPRK 関係者による悪意のあるサイバー侵入を可能にするなど、請負業者として得た特権アクセスを違法な目的に使用する。
(1)北朝鮮の IT 労働者の活動の可能性を示すいくつかの危険信号は次のとおり
① 特に IP アドレスが異なる国に関連付けられている場合、比較的短期間にさまざまな IP アドレスから 1 つのアカウントに複数のログインが行われる。
② 支払いプラットフォーム、特に中華人民共和国 (PRC) を拠点とする銀行口座を通じた頻繁な送金、または暗号資産での支払いの要求。
③名前のスペル、国籍、要求されている勤務地、連絡先情報、教育歴、職歴、および開発者のフリーランス・プラットフォーム プロファイル、ソーシャル メディア・プロファイル、外部ポートフォリオ Web サイト、支払い決済プラットフォームのプロファイル、調査された勤務場所と勤務時間にわたるその他の詳細の不一致。
④ 必要な営業時間内に業務を遂行できない、特に「即時」通信手段を通じて従業員にタイムリーに連絡を取ることができない。
(2)北朝鮮の IT 労働者の不注意または無意識の雇用を防ぐために民間部門が検討できるデュー・デリジェンス対策には、次のようなものがある
① 提案レビューまたは求人応募の一環として提出された書類を、上場企業および教育機関に直接確認する (提出書類に記載されている連絡先情報は絶対使用しない)。
②提出された本人確認書類を偽造がないことをチェックするために厳重に精査する。
③ 潜在的なフリーランス労働者の身元を確認するためにビデオ面接を実施する。
④ 雇用前の身元調査および/または指紋/生体認証によるログインを実施して身元を確認するとともに要求された勤務地を精査する。
⑤ 暗号資産での支払いを避け、他の識別書類に対応する銀行情報の確認を要求する。
➅ 採用候補者の名前のスペル、国籍、要求されている勤務地、連絡先情報、学
歴、職歴、その他の詳細が開発者のフリーランス全体で一貫していることを確認する。
⑦プラットフォームプロファイル、ソーシャルメディア・プロファイル、外部ポートフォリオWebサイト、決済プラットフォームアカウント、評価された場所と労働時間などの精査。
⑦ 開発者が身分証明書に記載された住所で商品を受け取れない場合は疑ってほしい。
Overview of DPRK IT Worker Operations
4.「朝鮮民主主義人民共和国の情報技術労働者に関する追加ガイダンス」の内容
2023 年 10 月 18 日「朝鮮民主主義人民共和国の情報技術労働者に関する追加ガイダンス」を仮訳する。
米国(U.S.)と韓国(ROK)は、民主主義人民共和国(北朝鮮:DPRK) の情報技術 (IT) 労働者の数につき、不注意にかかる採用募集、雇用、促進をよりよく理解し、警戒するために、国際社会、民間部門、国民に対する以前の警告と指針を更新している。 2022年5月、米国と韓国政府は、北朝鮮のIT労働者がどのように業務を行っているかに関する詳細な情報を提供するための公開勧告(public advisories)を発布し、企業が北朝鮮のフリーランス開発者の雇用を回避し、フリーランスおよびデジタル決済プラットフォームが北朝鮮のIT労働者がサービスを悪用することを特定できるように支援するための危険信号指標とデュー・デリジェンス措置を特定した。
(1)北朝鮮の IT 労働者の活動の可能性を示す追加の危険信号の例示:
①時間、場所、外観など、カメラに映るときの矛盾の証拠を残すようなカメラに映ることを望まない、またはビデオインタビューやビデオ会議を行うことができない(故意に避ける)。
②薬物検査や対面での面会が必要であるにもかかわらず、それができないことについて過度の懸念を抱かせる。
③コーディングテストや就職アンケートや面接の質問に答える際の不正行為の兆候がある。これらには、過度に一時停止したり、時間稼ぎしたり(staling)、目をスキャンして読んでいることを示したり、不正確だがもっともらしい答えをしたりする動作が含まれる場合がある。
④採用された個人が提供した履歴書と一致しないソーシャル・メディアおよび同じ ID で写真が異なる複数のオンライン・プロファイルまたは写真のないオンライン・プロファイル。
⑤ラップトップまたはその他の会社資料を提供するための自宅の住所は、貨物運用会社専用住所(freight forwarding address)であるか、または採用時に急に変更させる。
➅彼らの履歴書の学歴は、中国、日本、シンガポール、マレーシア、またはその他のアジア諸国の大学としてリストされており、ほぼ独占的に米国、韓国、カナダで雇用されている。
⑦賃金の前払いの繰り返しの要求を行い、さらにその要求が拒否されたときの怒りや攻撃的行動をとる。
⑧ 追加の賃金の支払いが行われない場合、雇用主の独自のソースコードを公開すると脅迫する。
⑨さまざまなプロバイダーでのアカウントの問題、アカウントの変更、他のフリーランサー会社または別の支払い方法の使用を要求する。
⑩使用言語の優先は韓国語であるにもかかわらず、本人は韓国語を話さない国または地域の出身であると偽って主張する。
(2)フリーランスの労働者を求めるクライアントが、北朝鮮の IT 労働者の不注意または無意識の雇用を防ぐために考慮できる追加的デュー・デリジェンス措置:
①第三者の人材派遣会社やアウトソーシング会社を利用している場合は、その会社の身元調査プロセスにかかる文書を要求すべきである。これら企業がこれをすぐに提供できない場合は、企業が身元調査を実施していないと想定し、独自に身元調査を実施すべきである。
② IT 業務に人材派遣会社またはサードパーティのソフトウェア開発者を利用している場合は、その会社が仕事のために提供した個人に対してデュー・デリジェンス・ チェックを実施すべきである。企業の身元調査を行ったとしても、その企業の身元調査プロセスを完全には理解していない可能性がある。
③信頼できない、または不明な当局から提供された身元調査文書を受け入れるべきでない。 地元当局に身元調査を依頼する代わりに、雇用主は彼らに代わって身元調査を実施できる同意書を彼らに提供すべきである。
④ 口座情報を加え、無効になった小切手または証明書類を金融機関に請求する。
⑤小切手番号と銀行コードが実際の銀行と一致し、マネー サービス事業に属していないことを確認する。 マネー・ サービス・ ビジネス(筆者注4)においては、実際の銀行情報を反映したチェックおよびルーティング情報を提供する受取保管金融機関 (RDFI)(筆者注5) を使用する。
➅ビデオ面接の録画など、潜在的なIT従業員とのすべてのやり取りを記録する。
⑦会社のすべてのデバイスでリモート ・デスクトップ・ プロトコル(筆者注6)が使用できないようにし、仕事でのリモート・デスクトップ ・アプリケーション(筆者注7)の使用を禁止する。
⑧すべての管理権限をロックダウンし、社内デバイスに内部脅威監視ソフトウェアを必ずインストールする。
⑨ 会社のデバイスには署名の配信を要求し、指定された職場以外の住所にデバイスが郵送されないようにする。
⑩公証された身元証明を必須とする。
⑪ ビデオ認証中は、運転免許証、パスポート、または身分証明書をカメラに物理的にかざすよう個人に要求する。カメラを屋外に向けて自分の位置を表示させることを検討されたい。
⑫定期的に会社のラップトップの地理的位置を特定し、従業員の現住所のログイン情報と一致することを確認する。
⑬フリーランサーに対し、企業ネットワークにアクセスする際には商用 VPN を停止するよう義務付ける。
⑭ゼロ・トラスト・ポリシー(筆者注8)と Need-to-Know ポリシー(筆者注9)を使用する。 可能であれば、機密情報へのアクセスを許可しない。
⑮フリーランス労働者の身元と資格を確認するための強力な手段を提供する、信頼できるオンライン・ フリーランス・ プラットフォームのみを使用する。
⑯オンラインの IT コンテストを通じてフリーランス労働者を直接採用することは避け、身元確認を強化する措置を講じる。
(3)米国や韓国における不審なIT従業員にかかる報告先
①米FBI は、北朝鮮の IT 職員の被害者、または被害を受けたと疑われる人に対し、不審な行為を「 FBI インターネット犯罪苦情センター (IC3) ( ic3.gov )」 に報告するよう呼びかけている。
②韓国政府は、不審な活動を国家情報院 ( www.nis.go.kr) および警察庁サイバー捜査局( ecrm.police.go.kr)に報告するよう求めている。
【参照】サイト
「朝鮮民主主義人民共和国の情報技術労働者に関するガイダンス」というタイトルの元の勧告文は、ここでご覧いただける。
韓国政府が発行した勧告の原本は、英語版はこちら、韓国語版はこちら(リンクは不可)からご覧いただける。
米国家情報長官室(ODNI)の「サイバー脅威インテリジェンス統合センター(OFFICE of the DIRECTOR of NATIONAL INTELLIGENCE)」からの追加情報については、「収益創出のための北朝鮮の戦術、技術、手順(North Korean Tactics, Techniques, and Procedures for Revenue Generation)」も参照。
なお、この問題に関し、北朝鮮からのIT技術者の雇用者数は少ないものの、わが国の報告、連絡、照会部署はどこになるのか?
*****************************************************
(筆者注1)各代表の写真は筆者が独自に加工、引用した。
(筆者注2) Due Diligence とは、M&AでDue(当然行われるべき)Diligence(義務・努力)という意味に直訳される言葉で、「DD」「デューデリ」と略され、日本語では「買収監査」ともいわれている。一般的にデュー・ディリジェンスとは、譲渡企業に対して企業の価値、将来の収益性、リスクの調査および分析を行う事前調査のことを指す。日本語では売却対象企業の財務・営業状況、IT環境などさまざまな角度から徹底的に調査すること等を指す。
(筆者注3) VPN(Virtual Private Network)とは、通信事業者の公衆回線を経由して構築された仮想的な組織内ネットワーク。また、そのようなネットワークを構築できる通信サービス。企業内ネットワークの拠点間接続などに使われ、あたかも自社ネットワーク内部の通信のように遠隔地の拠点との通信が行える。(IT用語辞典から抜粋)
(筆者注4) 「マネー・ サービス・ ビジネス(MSB)」という用語には、定期的かどうか、または組織的な事業として、以下の 1 つ以上の立場でビジネスを行うあらゆる個人が含まれる。
(1) 通貨ディーラー(Currency dealer)または両替業者(exchanger).
(2) 小切手換金業者(Check casher.)。
(3) トラベラーズチェック、郵便為替(money orders)、またはプリペイドカード(stored value)の発行者。
(4) トラベラーズチェック、郵便為替、または保管価値の販売者または引き換え業者。
(5) 送金業者(Money transmitter)。
(6) 米国郵便公社(U.S. Postal Service.)。
1 つ以上の取引で 1 人あたり 1 日あたり 1,000 ドルを超える活動基準は、以下の定義に適用される。通貨ディーラーまたは為替業者。 小切手レジ係。 トラベラーズチェック、郵便為替、または保管価値の発行者。 およびトラベラーズチェック、郵便為替、または保管価値の販売者または引き換え業者。
各しきい値は各アクティビティに個別に適用される。特定のアクティビティでしきい値が満たされていない場合、そのアクティビティに従事している人は、そのアクティビティに基づいて MSB ではない。
送金者の定義にはアクティビティのしきい値は適用されない。したがって、資金移動を業として行う者は、送金活動の量にかかわらず、送金者としてのMSBとなる。
(米連邦財務省の金融犯罪取締ネットワーク(FinCEN)サイトから抜粋、仮訳した)
(筆者注5)わが国ではACH, 電信送金につき詳細な解説は専門書以外には皆無といえる。ACH 決済や電信送金の基本的な仕組みについて2つの解説を引用する。
〇ACH 送金リクエストを発行する金融機関は、Originating Depository Financial Institution (ODFI) と呼ばれる。またACH 送金リクエストを受け付ける金融機関は、Receiving Depository Financial Institution (RDFI) と呼ばれる。
ACH 決済は、RDFI のアカウントから ODFI のアカウントまでの送金に関するリクエストを ODFI が RDFI に送信した時点で開始される。
ACH 送金のフローはどちらの方向からも実行できるため、ODFI が RDFI に送金することも、ODFI が RDFI からの送金を要求することも可能である。ODFI や RDFI といった用語は、必ずしもどちらの金融機関が送金側または受領側であるかを示すものではなく、どちらの金融機関が送金リクエストを開始するかを示している。
〇【ACH と電信送金の仕組み】
ACH 送金および電信送金では、電子ネットワークを介して送金が行われる。これらの EFT では、現金や紙媒体の小切手、物理的なクレジットカードやデビットカードは使用されない。ACH 送金と電信送金では、利用するネットワークがそれぞれ異なり、それらの業務規定もわずかに異なりますが、それらの全体的なプロセスはほぼ同じである。
1.元の銀行による送金の開始
ACH 送金では、Originating Depository Financial Institution (ODFI) は送金リクエストを発行する銀行です。ACH 送金は、入金先の銀行の口座または資金が引き落とされる銀行の口座のどちらからも開始できるため、どちらの銀行も ODFI となり得ます。
2.受け取り側の銀行によるリクエスト処理
Receiving Depository Financial Institution (RDFI) は、送金リクエストを受け付ける側の銀行です。ODFI と同様に、「RDFI」は必ずしも入金先の銀行であるわけではなく、送金を開始しなかった方の金融機関を指します。RDFI はリクエストを受け取り、その口座のいずれかから ODFI 側の口座に送金することが可能です。
3.残高の確認
ODFI と RDFI はリクエストされた送金額が残高にあることを確認するために通信する。
(筆者注6) リモート・デスクトップ・プロトコル (RDP) は、デスクトップ・コンピューターをリモートで使用するためのプロトコルまたは技術的な規格です。リモート・デスクトップソフトウェアは、RDP、Independent Computing Architecture (ICA)、仮想ネットワークコンピューティング (VNC) など、いくつかの異なるプロトコルを使用できますが、最も一般的に使用されるプロトコルはRDP です。(CLOUDFRAREの解説から抜粋)
(筆者注7) リモート・デスクトップは、別のコンピューターから遠く離れたデスクトップコンピューターに接続して使用する機能です。リモート・デスクトップを使用するユーザーは、実際にデスクトップコンピューターの前に座っているかのように、デスクトップにアクセスし、ファイルを開いたり編集したり、アプリケーションを使用したりできます。従業員が、出張時や在宅勤務時に、リモート・デスクトップ・ソフトウェアを使用して職場のコンピューターにアクセスすることがよくあります。(CLOUDFRAREの解説から抜粋)
(筆者注8) ゼロ・トラストとは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。ゼロ・トラストは、従来のネットワークエッジがないことを前提としています。ネットワークには、ローカル、クラウド、または任意の場所のリソースや任意の場所の作業者とを組み合わせたものや、それらの混在するものが考えられます。(CLOUDSTRIKEの解説から抜粋)
(筆者注9) Need-to-knowの原則とは、企業などの組織における情報管理の基本原則の一つで、その情報を必要とする人にのみ情報に接する権限を与えるというもの。機密漏洩などを防ぐために適用される。(IT用語辞典から抜粋)
******************************************************************:
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.