CYBER THREAT INTELLIGENCE REPORT

北朝鮮IT外貨稼ぎ組織活動分析レポート

: 日本ITアウトソーシング市場への浸透およびサイバー犯罪への転換分析

文書等級: TLP:AMBER
分析対象: 日本を標的とする北朝鮮IT組織
作成: Stealthmole Intelligence
日付: 2025年12月12日

🚨 要約 (Executive Summary)

本レポートは、アジア最大のITアウトソーシング市場である日本のB2BおよびB2G市場を標的に活動する北朝鮮IT組織の実態を解明した分析文書です。確保された悪性コード(RedLine Stealer)のログに基づき分析した結果、彼らは単なる外貨稼ぎを超え、ソフトウェアサプライチェーンへの浸透および金融ハッキングなど、直接的なサイバー犯罪組織へと変貌していることを確認しました。彼らは物理的には中国に居住しながら、論理的には日本や米国の居住者として完璧に偽装し、フリーランサープラットフォームに浸透しています。

1. 背景および脅威評価 (Threat Context)

北朝鮮は国際社会の制裁を回避し、統治資金を確保するため、全世界的に不法な外貨稼ぎ活動を行っています。特に、日本は地理的な近接性に加え、アジア最大規模のIT外注市場を保有しており、北朝鮮IT組織の最優先ターゲットとなっています。

⚠️ 重要脅威：サプライチェーン攻撃への転換 (Supply Chain Risk) 単純な請負業務の遂行にとどまらず、顧客企業のシステム権限を獲得したり、納品するソフトウェアにバックドアを仕込むなど、合法的なアウトソーシング関係を悪用して深刻なセキュリティ脅威をもたらすサイバー犯罪組織へと進化しています。

2. 識別された身元および偽装ペルソナ (Identities & Personas)

分析対象は単一の人物ではなく、少なくとも2名以上のチーム(Cell)単位で活動しており、役割に応じて多数の偽装身分を運用する組織的な形態を示しています。

区分	識別情報 (Identity)	使用場所および根拠 (Source)	備考 (Notes)
システムユーザー	jks03	UserInformation.txt	内部管理用ID (チョン・グァンソン、ジン・ギョンス等のイニシャルと推定)
メール (Main)	[email protected]	Google Chrome Logs, Edge Logs	メイン活動アカウント
メール (Sub)	[email protected]	Microsoft Edge Session Logs	チームメンバー推定 (チェ/リ/チョン氏等のイニシャル組合せ)
偽名 (中国)	Mingwen	Bing Cookieデータ	中国居住身分の偽装用
偽名 (日本)	献身_Devotion	Coconala, Chrome Autofill	日本フリーランサー活動用の中核ペルソナ
偽名 (日本)	ichiruru	Google Chrome Logs	日本人偽装用のサブアカウント
資金受取人	Jiang Y.X. (jiangyx2018)	Paypal (126.com ドメイン)	資金洗浄協力者 (中国人借名口座)

3. 活動拠点および技術的特徴 (Location & Technical Footprint)

彼らは「物理的中国居住、論理的米国/日本偽装」という二重構造を通じて追跡を回避しています。

📍 物理的位置の証拠 (Physical Location)

タイムゾーン設定: UTC+09:00 (韓国/日本標準時) 使用。米国居住者を偽装する場合、矛盾する設定です。
ファイルシステムの痕跡: PC内に「琅琊榜(ランヤバン)」、「中国」など中国語および中国関連フォルダが多数存在。
ネットワーク接続: Payoneerの中国ドメイン(.cn)への接続記録を識別。
言語設定: システムの基本言語はKoreanですが、中国語(Simplified)および日本語入力システムがすべてインストールされています。

🔒 身分偽装技術 (OpSec)

IP洗浄 (VPN): Astrill VPNを使用して米国(Los Angeles, Buffaloなど)のIPへ迂回。これは中国内でのインターネット統制回避のための必須ツールでもあります。
機器情報変造: Technitium MAC Address Changerを使用してネットワークカードの固有識別番号(MAC Address)を持続的に変造し、プラットフォームの遮断措置を回避。

4. 主な外貨稼ぎおよび不法活動 (Illegal Profit Activities)

単純なIT開発業務を超え、高収益を狙った金融ハッキングおよび詐欺サイト運営など、犯罪活動の比重が高いです。

A. 金融ソフトウェアハッキングおよび販売

有料株式/コイン自動売買プログラム(EA)のセキュリティを突破し、ソースコードを窃取または改造して再販売しています。

証拠: デスクトップの 'decompiler' フォルダ、 'Ex4 To Mq4' ブラウザタブ
活動: Coconalaプロフィールで「Ex4デコンパイル(ハッキング)サービス」を30,000円で販売
対象: ForexDLL, HighLow.com などのトレーディングサイト

B. 企業型スキャム(Scam)サイト運営

デーティングアプリのソースを複製して多数の詐欺性サイトを開設し、決済収益を搾取しています。

証拠: dating.kpdomain.host (北朝鮮 .kp コード含む)
運営: video_chat.com など複製サイト運営
決済: Stripeダッシュボード(dashboard.stripe.com)を直接管理

C. 日本フリーランサー市場への浸透 (Supply Chain Infiltration)

日本人開発者として偽装し、Coconala, CrowdWorks, Lancers など主要プラットフォームで活動しています。 CrowdWorksのCookieデータからは「着手」、「完成」など日本語ビジネス対応マニュアルが発見され、1件あたり50万～150万円規模のプロジェクトを受注した記録が確認されました。

5. 資金洗浄および回収経路 (Money Laundering)

稼いだ外貨は追跡を回避するため、多段階の洗浄過程を経て北朝鮮へ送金されます。

第1段階: 1次受取	借名口座の活用日本でのフリーランサー収益等を中国人協力者(Jiang)名義の口座で受取 - Paypal ([email protected]) - Payoneer CN (中国 Payoneer)
第2段階: 2次洗浄	仮想通貨(Crypto)転換およびミキシング追跡が困難なコインに洗浄、または海外取引所を経由 - Coinbase (米国), Zipmex (東南アジア) - Uniswap, PancakeSwap (DeFi 分散型取引所)

6. 証拠資料および画面分析 (Evidence & Screenshots)

悪性コード感染を通じて確保されたログファイルおよび実際の活動サイトを分析した結果、以下のような決定的な証拠が確認されました。

📸 証拠 1: 北朝鮮IT労働者感染システムのスクリーンショット

🔍 RedLine Stealer 悪性コード感染ログ分析結果

感染したPCのスクリーンショットでは、以下のような決定的な証拠が発見されました：

デスクトップフォルダ: "decompiler", "랑야방(琅琊榜)", "中国" などの中国関連フォルダ名
システム情報: UserInformation.txtにて "jks03" ユーザー名を確認
ブラウザタブ: "Ex4 To Mq4" デコンパイルツール, ForexDLL, Stripe Dashboard など
インストールプログラム: Astrill VPN, Technitium MAC Address Changer (身分偽装ツール)
タイムゾーン: UTC+09:00 (韓国/日本標準時) - 米国居住者という主張と矛盾

※ 実際のスクリーンショットにはシステム全体画面、ブラウザCookieログ、オートフィルデータ、ファイルシステム構造などが含まれています。

🌐 証拠 2: 日本フリーランサープラットフォーム浸透 - Coconala 販売ページ

📱 出会いのマッチングサイト（システム）を開発します

サービスURL:	https://coconala.com/services/2447792
提供サービス:	デーティングマッチングサイト開発 (出会いのマッチングサイト)
サンプルサイト:	https://dating.kpdomain.host/ (.kp = 北朝鮮ドメインコード)
納期:	3日

🚨 主な発見事項:

サンプルサイトが北朝鮮ドメインコード(.kp)を使用する kpdomain.host にホスティングされている
レスポンシブデザイン、リアルタイムチャット、決済システムなど完全な機能を備えたサイト
同一のソースコード(datingapp_session)を使用する video_chat.com など多数の詐欺性サイト運営を確認
Stripe決済システム dashboard.stripe.com を直接管理する痕跡を発見

※ 正常な日本のフリーランサーであれば、北朝鮮ドメインをサンプルとして使用する理由は全くありません。

👤 証拠 3: 偽装アカウントプロフィール - "献身_Devotion"

🎭 ITエンジニア - 献身_Devotionさんのプロフィール

プロフィールURL:	https://coconala.com/users/3242934
活動名:	献身_Devotion
職業:	ITエンジニア / 男性
経歴:	2003年からIT業界に従事 (ITベンダー会社での経歴後、フリーランス)
最終ログイン:	2年前 (半年以上未接続)

📋 提供サービス一覧:

MT4とブローカー連携システム開発 - ハイロー(HighLow)などバイナリーオプションサイトとMT4連動 (経験1年)
Webシステム設計/開発/運用 - 1,000円〜 (不動産、予約、ECサイト、CMSなど)
MT4サインツール, EA作成 - 3,000円〜 (mql4インジケーター開発, ex4デコンパイル含む)

⚠️ 疑わしいポイント:

本人確認未登録、機密保持契約(NDA)未登録、インボイス発行事業者未登録
ex4デコンパイル(ハッキング)サービスを30,000円で提供 - 著作権法違反の可能性が非常に高い不法サービス
プロフィールから自動完成されたメールアドレス [email protected] 発見 (システムユーザー jks03 と一致)
2年前未接続状態 - アカウント遮断または活動中断と推定

※ 正常な日本フリーランサーエンジニアが本人確認もせずに不法デコンパイルサービスを提供することは極めて異例です。

🔗 追加で発見された関連サイト

サイト/サービス	URL/情報	用途	発見経緯
Datingスキャムサイト	dating.kpdomain.host	詐欺性デーティングサイト運営	Coconalaポートフォリオで発見
Video Chatサイト	video_chat.com	同一ソースコード複製サイト	ブラウザセッションログで確認
Stripe Dashboard	dashboard.stripe.com	決済モジュール直接管理	Edgeネットワークログで接続記録
ForexDLL	多数のトレーディングサイト	EAデコンパイル対象	ブラウザタブおよびフォルダ名
HighLow.com	バイナリーオプションサイト	自動売買連動システム	プロフィール経歴事項に明記

7. 結論 (Conclusion)

本分析を通じて識別された組織は、「中国内に拠点を置き、米国/日本等の身分を盗用して、ハッキングツール販売およびスキャムサイト運営など不法な方式で外貨を稼ぐ専門的な北朝鮮IT犯罪組織」です。

彼らは内部的に jks03, crj1026 などのIDを使用し、徹底した身分偽装を通じて日本IT市場深くに浸透しています。特に単純な開発業務の受注にとどまらず、悪性コードの流布や金融ハッキングのような積極的なサイバー犯罪へと活動領域を拡張しているという点で、日本および関連国家のITエコシステムにとって深刻な脅威となっています。

🎯 核心的脅威の要約 (Key Threat Summary)

地域的ターゲティング: 北朝鮮はアジア最大のITアウトソーシング市場である日本のB2B/B2G領域を戦略的に攻略
サプライチェーン浸透: Coconala, CrowdWorks など合法的プラットフォームを通じた正常IT業務受注を偽装
犯罪への転換: ソフトウェア納品 → バックドア挿入 → 金融ハッキング → データ窃取へと段階的拡大
身分偽装の高度化: VPN, MACアドレス変造, 多重ペルソナ運営など専門的なOpSec運用
資金洗浄体系: 中国借名口座 → 仮想通貨 → DeFi取引所を通じた追跡不可能な資金回収

⚠️ 彼らはセキュリティ意識の弛み(不法ソフトウェアダウンロード)による悪性コード感染で活動証拠が露出しましたが、依然として多数の未識別組織が活動中であると推定されます。

8. 推奨事項 (Recommendations)

🏢 企業/機関向け

フリーランサー契約前の身元確認強化 (本人認証, NDA等)
海外居住開発者の作業環境モニタリング
納品ソースコードのセキュリティ監査義務化
北朝鮮ドメイン(.kp)関連システムの接続遮断

🔍 プラットフォーム事業者向け

疑わしいアカウント検知システム構築 (VPN使用, 多重アカウント等)
不法サービス(デコンパイル, ハッキング)掲示物のモニタリング強化
決済異常パターンの分析 (海外借名口座受取等)
身元未確認アカウントの高額取引制限