※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。
北朝鮮(DPRK)のIT労働者は、世界中のIT企業に潜入し収益を得続けています。その収益は暗号資産で受け取られることが多く、北朝鮮の大量破壊兵器や弾道ミサイルの製造資金となっています。過去数年にわたり、米国財務省外国資産管理局(OFAC) や韓国外交部(MOFA)などの規制当局は、これらのスキームを可能にする個人や組織に対し、制裁措置を講じてきました。制裁の指定には、暗号資産のアドレスが識別子として含まれることも多くなっています。
Chainalysisは、北朝鮮IT労働者スキームを対象とした制裁指定への暗号資産アドレスの追加や、この脅威に関するオープンソース情報を綿密に追跡しています。当社は、北朝鮮が暗号資産を活用して収益を生み出し、資金を移動・集約し、メインストリームの取引所で架空アカウントを使ったり、規制されていない可能性の高い相対取引(OTC)業者を活用して収益を洗浄する手口を監視しています。
最近の規制執行には、2025年8月のOFAC制裁が含まれています。これは、北朝鮮のChinyong Information Technology Cooperation Company(Chinyong、別名Jinyong IT Cooperation Company)への支払いを仲介したロシア国籍者を対象としたものです。Chinyongは、2023年5月にOFACおよび韓国外交部によって、海外で北朝鮮IT労働者を雇用したとして制裁を受けています 。
2023年初頭には、OFACがKorea Kwangson Banking Corp(KKBC)の代表であるSim Hyon Sop(Sim)を制裁対象とし、暗号資産アドレスも指定されました。Simは、北朝鮮IT労働者の収益の一部を含む数千万ドルの暗号資産を受け取っています。また、相対取引業者のLu Huaying(Lu、UAE在住中国人)も、北朝鮮政権のためにIT労働者資金の洗浄に関与したとして制裁対象となっています 。
これらの活動は、暗号資産に大きく依存し収益の獲得と洗浄を行う複雑なネットワークを浮き彫りにしています。そのため、法執行機関による摘発の機会も生まれています。米国司法省(DOJ)の最新の差し押さえ命令が示すように、高度なブロックチェーン分析により、IT労働者による不正な資金洗浄ネットワークを検知・撲滅するための独自の洞察と実効的な手段が提供されています。
本ブログでは、北朝鮮IT労働者が収益を得て洗浄するためのネットワーク・仕組み・運営方法について解説します。こうしたネットワークを理解することで、法執行機関や規制当局、民間企業はオンチェーンでのIT労働者活動を検知し、大量破壊兵器(WMD)プログラムへ資金が流れるのを阻止することが可能となります。
暗号資産による収益の獲得
北朝鮮IT労働者は通常、Chinyongなどの仲介業者を通じて海外に派遣され、世界中のIT企業に応募します。彼らは、仮想プライベートネットワーク(VPN) 、偽造・盗難身分証、AI音声・顔認証技術など、さまざまなオブフスケーション(隠蔽)手法を駆使し、居場所や身元を隠します。
雇用後は、安定した価値を持ち、OTC業者に人気の高いステーブルコインでの支払いを求めます。北朝鮮IT労働者の支払い用アドレスに関連するオンチェーン活動を調査すると、これらのウォレットにはほぼ毎月5000ドル程度の定期的な支払いが確認され、給与支払いであることが示唆されています。
ブロックチェーン技術による収益の隠蔽
給与支払い後、北朝鮮IT労働者は複数の資金洗浄手法を用いて暗号資産を移動します。IT労働者や資金洗浄者がオンチェーン上で資金の起点と終点を切断する方法のひとつが、チェーンホッピングやトークンスワップです。分散型取引所(DEX)やブリッジ・プロトコルなどのスマートコントラクトを活用し、資金の追跡を困難にしています 。
下記のChainalysis Reactorグラフでは、分散型プロトコルやブリッジ、一般的な取引所が資金の流れの隠蔽に活用されている様子が分かります。
北朝鮮IT労働者は資金洗浄プロセスを円滑に進め、最終的に北朝鮮へ送金するため、仲介者も活用します。DOJの資金差し押さえ命令によれば、IT労働者の支払い資金は他の犯罪収益や北朝鮮IT労働者の資金と混ぜ合わせ(レイヤリング)、偽の身分証でメインストリーム取引所にアカウントを開設した政権関係者へ送金されます。
北朝鮮の資金洗浄者は偽身分証で取引所アカウントを開設していますが、他国で活動する者は本名で開設するケースも見られます。DOJの命令によれば、Simは偽ロシア身分証を使い、Luは自分の名前とUAEの居住カードでFTX(現在は閉鎖済み)のアカウントを開設しました。
資金差し押さえ命令では、北朝鮮IT労働者の資金がChinyongの代表であるKim Sang Man(KIM)、KKBC所属のSim Hyon Sop(SIM)、そして2024年12月にUAEのフロント企業を使い平壌への不正資金送金で制裁されたOTC業者Luに送金されたことも指摘されています。
下記のReactorグラフは、北朝鮮IT労働者の資金がKIMの取引所アカウントやSIM・Luが運営するアンホステッドウォレットへ送金された流れを示しています。
収益の法定通貨への現金化
北朝鮮IT労働者がブロックチェーン上で収益を洗浄し、北朝鮮政権の代理人に送金した後、これらの資金は法定通貨へ交換されます。多くの場合、メインストリーム取引所の架空アカウントやOTC業者を通じて現金化されます。下記グラフは、SIMがLuに強く依存し、北朝鮮政権のための資金洗浄を行っていた様子を示しています。
暗号資産を利用した資金洗浄ネットワークへの対応と教訓
最近のOFAC指定やDOJの差し押さえ命令は、北朝鮮IT労働者スキームに対する国際的な規制強化と、彼らの金融ネットワークを分断する取り組みを強調しています。加担者からインフラ、仲介者まで、これらのネットワークは今後も法執行機関の主要なターゲットとなり続けるでしょう。
英国財務省OFSIや米国FBIのインターネット犯罪苦情センターが発行するアドバイザリーでは、民間企業が監視・識別すべきリスクの兆候(レッドフラッグ)が示されています。主な注意点は、身元・場所・証明書の不一致、匿名化インフラの利用、不規則な支払いフロー、隠蔽を示す行動などです。オンチェーン・オフチェーン両方の指標を確認することで、IT業界関係者はこうした資金パイプラインの遮断に大きく貢献できます 。
企業が北朝鮮IT労働者の活動を特定するためには、以下のような具体的チェックが必要です。IP所在地と申告所在地が一致しない、身分証が操作されている、ビデオ通話を拒否する・AI生成プロフィールを用いる、ステーブルコインでの支払い希望、複数ウォレットへの分割支払い要求、複雑な第三者支払いを求める、技術力が高い割に報酬が相場より低いなどです。こうしたチェックをコンプライアンス体制に組み込み、契約者とのやり取りを詳細に記録することで、企業は知らずに北朝鮮の制裁回避を助長するリスクを避けられます。
This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively “Chainalysis”). Access to such information does not imply association with, endorsement of, approval of, or recommendation by Chainalysis of the site or its operators, and Chainalysis is not responsible for the products, services, or other content hosted therein.
This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with Recipient’s use of this material.
Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.