
史上最大胆な暗号資産盗難グループを追跡する――ハッカー組織ラザルス・グループのマネーロンダリング分析
TechFlow厳選深潮セレクト

史上最大胆な暗号資産盗難グループを追跡する――ハッカー組織ラザルス・グループのマネーロンダリング分析
本稿では、いくつかの典型的な攻撃事例を重点的に分析し、Lazarus Groupがいかにその複雑な戦略と技術的手法を通じてこれらの驚くべき攻撃を成功させたかを明らかにする。
執筆:Beosin
先日、ロイター通信が入手した国連の機密報告書によると、北朝鮮のハッカー集団「Lazarus Group」は、昨年ある暗号資産取引所から資金を盗み出し、今年3月に仮想通貨プラットフォームTornado Cashを利用して1億4750万ドルをマネーロンダリングしていたことが明らかになった。
監視官が以前提出した文書では、2017年から2024年にかけて発生した暗号資産企業に対する疑わしい北朝鮮ハッカーによるサイバー攻撃97件(総額約36億ドル)について、国連安全保障理事会制裁委員会に報告している。これには昨年末にHTX暗号資産取引所から1億4750万ドルが盗まれ、今年3月にマネーロンダリングが完了した事件も含まれている。
米国は2022年にTornado Cashに対して制裁を科しており、2023年にはその共同創業者の2人が10億ドル以上ものマネーロンダリングを支援したとして起訴されている。これには北朝鮮関連のサイバー犯罪組織Lazarus Groupも含まれている。
暗号資産調査官ZachXBTの調査によれば、Lazarus Groupは2020年8月から2023年10月までの間に、2億ドル相当の暗号資産を法定通貨にマネーロンダリングしている。
サイバーセキュリティ分野において、Lazarus Groupは長年にわたり大規模なサイバー攻撃および金融犯罪を仕掛けてきたと非難されている。彼らの標的は特定の業界や地域に限らず、銀行システムから暗号資産取引所、政府機関から民間企業まで、世界中に広がっている。以下では、いくつかの典型的な攻撃事例を分析し、Lazarus Groupがいかに複雑な戦略と技術的手法を用いてこれらの驚くべき攻撃を成功させてきたかを明らかにする。
Lazarus Groupによるソーシャルエンジニアリングとフィッシング攻撃の活用
このケースは欧州の関連メディア報道に基づくもので、Lazarusはかつて欧州および中東の軍事・航空宇宙企業を標的に、LinkedInなどのプラットフォーム上で求人広告を掲載し、応募者に実行ファイル入りのPDFをダウンロードさせる形でフィッシング攻撃を行っていた。
ソーシャルエンジニアリングおよびフィッシング攻撃はいずれも、心理的操作によって被害者の警戒心を緩めさせ、リンクのクリックやファイルのダウンロードといった行動を誘導し、セキュリティを危険にさらすことを目的としている。
彼らのマルウェアにより、エージェントは被害者のシステム内の脆弱性を突き、機密情報を窃取することが可能になる。
Lazarusは、暗号資産決済プロバイダーCoinsPaidを対象とした6か月間にわたる作戦でも同様の手法を使用し、結果としてCoinsPaidから3700万ドルが盗まれた。
この活動を通じて、エンジニアに対して偽の求人情報を送信し、DDoS(分散型サービス拒否)攻撃などの技術的攻撃を仕掛け、多数のパスワード候補をブルートフォース攻撃で試行するなどした。
CoinBerry、Unibrightなどにおける攻撃事件の実行
2020年8月24日、カナダの暗号資産取引所CoinBerryのウォレットがハッキングされた。
ハッカーのアドレス:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020年9月11日、Unibrightは秘密鍵の漏洩により、チームが管理する複数のウォレットから40万ドル相当の不正送金が発生した。
ハッカーのアドレス:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020年10月6日、セキュリティの脆弱性により、CoinMetroのホットウォレットから75万ドル相当の暗号資産が不正に移転された。
ハッカーのアドレス:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT:盗難資金の流れ
2021年初頭、各攻撃事件の資金が以下のアドレスに集約された:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603。
2021年1月11日、アドレス0x0864b5はTornado Cashに3000ETHを預け入れ、その後さらにアドレス0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129を通じて1800ETH以上をTornado Cashに送金した。
その後、1月11日から1月15日にかけて、Tornado Cashから約4500ETHがアドレス0x05492cbc8fb228103744ecca0df62473b2858810へ順次引き出された。
2023年までに、攻撃者は複数回の送金・交換を経て、最終的に他のセキュリティ事件の資金を集約して引き出すアドレスに到達した。資金追跡図からわかるように、攻撃者は盗んだ資金を順次Noones deposit addressおよびPaxful deposit addressに送金している。
Nexus Mutual創設者(Hugh Karp)へのハッキング攻撃
2020年12月14日、Nexus Mutualの創設者Hugh Karpが37万NXM(830万ドル相当)を盗まれた。

Beosin KYT:盗難資金の流れ
盗まれた資金は以下のアドレス間で移動され、他種の資金に交換された。
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Groupはこれらのアドレスを用いて、資金の混同、分散、集約などの操作を行った。例えば、一部の資金をクロスチェーンでビットコインネットワークに移し、その後再びイーサリアムネットワークに戻し、さらにミキサープラットフォームで混在させた後、引き出しプラットフォームに送金している。
2020年12月16日から12月20日にかけて、ハッカーのアドレス0x078405は2500ETH以上をTornado Cashに送金した。数時間後、特徴的な関連性から、アドレス0x78a9903af04c8e887df5290c91917f71ae028137が引き出し操作を開始したことが確認された。
ハッカーは資金の移動と交換を通じて、一部の資金を前述の事件で使用された資金集約・引き出しアドレスに転送した。
その後、2021年5月から7月にかけて、攻撃者は1100万USDTをBixin deposit addressに送金した。
2023年2月から3月にかけて、攻撃者はアドレス0xcbf04b011eebc684d380db5f8e661685150e3a9eを通じて、277万USDTをPaxful deposit addressに送った。
2023年4月から6月にかけて、攻撃者は同じアドレス0xcbf04b011eebc684d380db5f8e661685150e3a9eを通じて、840万USDTをNoones deposit addressに送った。
SteadefiおよびCoinShiftへのハッキング攻撃

Beosin KYT:盗難資金の流れ
Steadefi事件の攻撃アドレス
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift事件の攻撃アドレス
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023年8月、Steadefi事件で盗まれた624ETHがTornado Cashに転送された。同じ月に、Coinshift事件で盗まれた900ETHもTornado Cashに送られた。
ETHをTornado Cashに転送した後、すぐに以下のアドレスに順次引き出しが行われた:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023年10月12日、上記3つのアドレスからTornado Cashで引き出された資金がすべてアドレス0x5d65aeb2bd903bee822b7069c1c52de838f11bf8に送金された。
2023年11月、アドレス0x5d65aeは資金の移動を開始し、最終的に中継・交換を経て、Paxful deposit addressおよびNoones deposit addressに資金を送金した。
事件のまとめ
以上、北朝鮮のハッカー集団Lazarus Groupの過去数年の動向とそのマネーロンダリング手法について紹介・分析した。Lazarus Groupは暗号資産を盗んだ後、主に複数回のクロスチェーン送金を経てTornado Cashなどのミキサーを通じて資金を混同している。混同後、盗難資産を特定のターゲットアドレスに引き出し、一定のアドレス群に集中させて現金化操作を行っている。これまで盗まれた暗号資産は基本的にPaxful deposit addressおよびNoones deposit addressに預け入れられ、OTCサービスを通じて法定通貨に交換されている。
Lazarus Groupによる継続的かつ大規模な攻撃により、Web3業界は大きなセキュリティ課題に直面している。Beosinは今後もこのハッカー集団の動向およびマネーロンダリング手法を継続的に追跡し、プロジェクト運営者、規制当局および法執行機関が此类の犯罪行為に対処し、盗難資産の回収を支援していく。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










