北朝鮮のハッカーは、暗号資産業界をどのように継続的に標的にしているのか?
TechFlow厳選深潮セレクト
北朝鮮のハッカーは、暗号資産業界をどのように継続的に標的にしているのか?
北朝鮮は今後も長期間にわたり暗号資産業界に注目し続けるだろう。その理由は、こうした新概念に対して大きな関心を寄せているからではなく、この業界が北朝鮮にとって実際的に非常に使い勝手が良いからである。
Web3業界の深掘り報道に専念し潮流を洞察執筆:劉紅林
ここ半年以上、暗号資産業界は、まるで引き潮後の海岸のように静まり返っている。
人はまだいるし、プロジェクトも存続しているが、かつてのように数週間ごとに新しいプロジェクトが登場して物語を語り、至る所で資金調達のニュースが飛び交い、チャットグループで毎日誰かが「乗車」を呼びかけていたような雰囲気は、大幅に減った。
残ったチームは、口ではもちろんビジョンや長期的な展望を語るが、裏ではもっと地に足のついた話が多くなる:銀行口座に残っている資金はいくらか、コストをさらにどう削減できるか、チームをどう安定させ、熊市の冬を乗り切るか、といった話だ。
だが、熊市がプロジェクト運営者にとって最も厳しい打撃を与えるのは、単にトークン価格が下落したからでも、資金調達が困難になったからでもない。むしろ、もともと余裕のない状況に雪上加霜が降りかかるとき——たとえば資産が盗まれたとき——である。
好況時に盗まれれば、ただ痛いだけだが、熊市時に盗まれれば、まさに命取りになる。
一、Drift の約2.85億ドルの資産盗難
今回被害に遭ったのはDriftであり、2026年年初から現時点で発生したDeFi分野における最大規模の攻撃の一つで、失窃額は約2.85億ドルにのぼる。
Solanaエコシステムに詳しい人なら、この名前は馴染み深いだろう。Driftは分散型取引所(DEX)であり、主に永続先物取引を提供しており、現物取引、貸付、および保険金庫(Vault)などのサービスも展開している。公式資料では、Solana上で最大規模のオープンソース永続先物取引向け分散型取引所の一つと紹介されている。
公表された情報によると、攻撃は2026年4月1日に発生したが、その準備期間は実に6か月間に及んだ可能性がある。2025年の秋、自称「定量取引チーム」を名乗る一群が、大規模な業界会議においてDriftのスタッフと接触。その後、チャットグループの作成、会議の開催、戦略や業務連携に関する議論など、一見すると極めて自然な流れで進んだ。さらに重要なのは、彼らが単に口先だけでなく、実際にエコシステム内の保険金庫に自社資金100万ドル以上を投入していたことだ。誰が予想しただろうか——これはまさしく「大物を釣るための大掛かりな仕掛け」だったのだ。
Driftのみに注目すれば、今回の事件は単なるトッププロジェクトによるまた一つのセキュリティ事故にすぎないかもしれない。しかし、過去数年にわたって業界で発生した他の大規模な事件と並べて検討すると、事情はまったく異なる。
いくつもの事件を追っていくと、結局のところ最後には北朝鮮へと行き着く。
二、北朝鮮ハッカーの実績
2025年2月、米国連邦捜査局(FBI)は、バイビット(Bybit)から約15億ドル相当の仮想資産が盗まれた事件について、北朝鮮が関与しており、これは同局が「TraderTraitor(トレーダートレイター)作戦」と呼ぶ活動の一環であると公表した。
2025年末、チェイナリシス(Chainalysis)が発表した年次報告書によると、北朝鮮関連のハッカーは2025年に少なくとも20.2億ドルの暗号資産を盗み出し、前年比で51%増加。累計盗難額の下限は67.5億ドルに達しており、明確な傾向として、「攻撃回数は減少している一方で、1件あたりの盗難額はますます大きくなっている」ことが示されている。
北朝鮮という名前は、最近になってBybitやDriftの事件で急に浮上したわけではない。この国は長年にわたり存在し続けており、暗号資産業界における存在感は、むしろ弱まっているどころか、ますます強まっている。
さらに遡れば、北朝鮮による暗号資産盗難の実績は枚挙にいとまがない。
ロイター通信が2024年に引用した国連制裁専門家の資料によると、国連は2017年から2024年までの間に、北朝鮮が関与したと疑われる暗号資産企業へのサイバー攻撃97件を調査。その総額は約36億ドルに上ったという。
韓国警察は2024年11月、2019年に発生した約4200万ドル規模のイーサリアム盗難事件について、北朝鮮軍の情報機関と関係するハッカー組織が背後に関与していたと公表している。
Drift事件に関してはもう一つの詳細があり、関係するセキュリティチームの支援のもと、現時点では本件と2024年10月に発生したラディアント・キャピタル(Radiant Capital)攻撃の両方が北朝鮮に起因すると特定されている。
これらを総合的に見れば、これは互いに無関係な個別の事件ではなく、同一の主体が、異なるプロジェクト、異なる時期、異なるシナリオにおいて、すでに十分に洗練された一貫した手法を繰り返し用いていることを意味する。
三、北朝鮮ハッカーの収奪体制
ここで本稿が読者に伝えたいのは、「北朝鮮が最近またいくら盗んだか」という単純な事実ではない。むしろ、業界関係者が真剣に注目すべきは、次の点である:過去数年間、暗号資産業界について語られる際の焦点は、香港、米国、ドバイといった地域、ライセンス、ETF、ステーブルコイン、パブリック・ブロックチェーン、決済、RWA(リアルワールド・アセット)、カストディなど、目に見える「表の物語」に集中してきた。
しかし、それとは別に、より現実的かつ持続的・体系的・組織的に、この業界から「現金」を継続的に巻き上げている主体こそが、まさに北朝鮮なのである。
多くの人が北朝鮮の暗号資産業界における存在を思い浮かべると、まず頭に浮かぶのは、ハッカー組織、盗難、マネーロンダリングといった古くからのイメージだろう。これらの言葉は間違いではないが、現在の状況を鑑みると、むしろその実態を過小評価している可能性がある。
なぜなら、彼らが行っていることはもはや単なる「いくつかのプロジェクトをハッキングする」レベルを超えているからだ。より正確に言えば、彼らは暗号資産業界を中心に、既に完成度の高い一貫した収奪体制を構築しつつあるのだ。
第一層:大規模盗難
取引所、クロスチェーン・ブリッジ、ウォレット、プロトコルなどを標的にし、資産を直接奪取する。Bybit事件が最も顕著な例であり、15億ドルという規模は、もはや単なる業界事故という次元を超えたものである。
チェイナリシスの2025年報告書によると、北朝鮮関連の攻撃は同年、すべてのサービス型プラットフォームにおける盗難事件の76%を占め、上位数件の事件が損失の大部分を占めたという。これは、彼らが広範囲に網を張る小規模な泥棒ではなく、資源を集中させ、対象を厳選し、「大物を狙う」戦略を採用していることを示す。
第二層:偽装浸透
プロジェクト運営者に接近し、信頼関係を築き、業界内ではごく自然に見える役割を装う。Drift事件はまさに典型例である。犯人は、突然現れた見知らぬアカウントではなく、業界イベントで顔を合わせ、チャットグループで議論を重ね、業務上の詳細まで何度も詰めた人物だった。
ロイターの報道でも指摘されているように、北朝鮮のハッカーは、暗号資産業界への浸透手段として、偽の求人情報を用いるケースが増えている。偽の採用担当者、偽の企業ウェブサイト、偽の技術テスト、偽の面接プロセス——これらが恐ろしいのは、単に手法が新奇であるからではなく、業界の実際の業務フローに密着して育まれている点にある。
第三層:遠隔潜入
米司法省が2025年6月に公表した事件によると、北朝鮮関連の遠隔IT技術者は、盗用または偽造された身分を用いて、米国内の100社以上の企業でリモート勤務を獲得していた。その裏には、偽のウェブサイト、表向きの企業、コンピュータの中継ポイント、マネーロンダリング口座など、複数の関連構造が存在していたという。
FBIが公表した指名手配情報によれば、こうしたリモート職の権限を悪用して、2社から90万ドル以上の仮想通貨を盗み出した人物もいる。この段階になると、リスクはもはや「外部からの攻撃」ではなく、「すでに中に入っている」状態である。ひとたび人物が内部に侵入すれば、採用、端末、コードリポジトリへのアクセス権限、財務プロセス、端末管理など、一見些細に思える要素すべてが、内外の連携によるセキュリティ侵害と資産掠奪の道具となる。
第四層:マネーロンダリングと資金換金
最終段階は、バックエンドにおけるマネーロンダリングおよび資金処理能力である。ロイターが2024年に引用した国連制裁専門家の資料によると、北朝鮮は2024年3月、関連事件で盗み出した資産1.475億ドルを、ミキサー(混幣)ツールを用いて処理したという。同報道ではさらに、国連側がこうしたサイバー攻撃は資金調達、制裁回避、および兵器開発支援を目的としていると分析している。
北朝鮮は「盗んで終わり」ではなく、その後に続く資産の分割・転送・洗浄・再換金という、一連の高度な処理能力を有しているのだ。
四、なぜ暗号資産業界なのか
多くのまじめなプロジェクトは、牛熊相場の1サイクルで消滅し、チームは解散し、製品は停止し、トークン価格はゼロになる。北朝鮮はそうではない。彼らには製品発表もなければ、ロードマップもなければ、ブランド物語もないが、毎年着実にこの業界から資金を獲得し続け、その手法はますます洗練されてきている。
北朝鮮が長期にわたり暗号資産業界に注目し続ける理由は、彼らがこれらの新概念に特別な関心を持っているからではなく、単にこの業界が彼らにとって非常に使い勝手が良いからである。
第一に、資金を盗みやすいという点である。従来の金融システムでは、多くの資金に触れることができないか、あるいは触れようとしてもコストが高すぎる。銀行、清算、国境を越えた規制、制裁リスト——これらすべてが障壁となる。しかし、ブロックチェーン上では、フロントエンドで入口さえ見つけられれば、その後の分割・クロスチェーン・再分配の余地ははるかに大きい。一度盗まれた資産がブロックチェーン上に流入すれば、その後の処理空間および難易度は、従来の金融システムとは全く異なる次元となる。
第二に、組織への浸透が容易であるという点である。暗号資産業界は、本質的にグローバル化・リモート化・軽量組織化されている。人々はSNS、ビデオ会議、コード共有プラットフォーム、ドキュメントツール、テスト配布ツールなどを駆使して、コラボレーション、開発、資金調達、運用、連携、マーケットメイキングをすべて実行している。普段はこれが効率性と見なされるが、別の視点からは、これこそが攻撃面(attack surface)なのである。
五、暗号資産業界関係者の対応ガイドライン
多くの暗号資産プロジェクト運営者にとって、これは遠い国際政治の話ではなく、今日の業界において最も現実的な経営リスクの一つである。これは抽象的なセキュリティ警告ではなく、極めて現実的な経営課題なのだ。
1.従業員採用およびリモート管理
米司法省およびFBIは、リスクをすでに具体的に提示している:北朝鮮関連のIT技術者は、盗用または偽造された身分を用いて米国企業のリモート職を獲得し、米国内のコンピュータ中継ポイントを通じて企業から送られた端末を受け取り、リモートで企業ネットワークにアクセスするという手法を用いている。暗号資産業界のスタートアップチームにとって、コードリポジトリ、本番環境、ウォレット、デプロイメントプロセス、財務バックエンド、ID認証データにアクセス可能な職種については、今後は履歴書や成果物の提出だけを見て判断してはならない。
少なくとも以下の3点を行う必要がある:
第一に、身分確認は多重検証を行うこと。LinkedInなどの職業系SNS、ビデオ面接、パスポート写真一枚だけでは不十分である。
第二に、機密性の高い職種には、必ず管理可能な端末を使用すること。核心業務を長期にわたり個人所有のPCで処理することを黙認してはならない。
第三に、権限設定はデフォルトで最小限とすること。特に試用期間中の従業員、外部委託者、契約社員に対しては、最初から過剰なアクセス権限を与えておき、後に徐々に制限していくといったやり方は避けるべきである。
2.パートナーの身分確認
Drift事件が業界に与えた最大の教訓の一つは、対面で会ったこと、オンラインで円滑にコミュニケーションできたこと、専門的な質問を投げかけられたこと、さらには実際に投資を行ったこと——こうしたすべてが、もはや自動的に「信頼できる」とみなせる根拠にはならないということである。
より現実的なアプローチとしては、名刺、公式ウェブサイト、SNSでの情報にとどまらず、企業登録情報、過去のプロジェクト実績、実在するチームメンバー、共通の知人のフィードバックなどを確認し、必要に応じて第三者が検証可能な公式資料の提出を求めるべきである。接触期間が長くなればなるほど、協力関係が深くなればなるほど、必要なリスク管理措置は一切省略してはならない。
3.セキュリティ監査の高度化
多くのチームが「セキュリティ監査」と聞いて思い浮かべるのは、スマートコントラクト監査、ウォレット管理、マルチシグ設定、オンチェーン監視などだろう。これらはもちろん必須だが、もはや十分ではない。
今後はむしろ「人の業務フロー」に注目すべきである。誰が外部のコードリポジトリをダウンロードできるか、誰がマルチシグ関連の端末に接触できるか、誰が本番環境にアクセスできるか、誰が財務承認を実行できるか、誰の端末がコア権限に触れるか——こうした問いに対する回答を、多くのチームは日常的に体系的に整理していない。
現実的な対応策として、最低でも四半期ごとに1回、権限および端末の監査を行うべきである:まず、マルチシグにアクセス可能な者、コアコードリポジトリを閲覧可能な者、本番環境に進入可能な者、財務承認権限を持つ者をリストアップし、関連端末を分離してリスク検査を行う。Drift自身もアップデートの中で、チームのチェックと「誰が何にアクセスできるか」の権限監査を行い、マルチシグに接触したすべての端末を潜在的な標的として扱うよう注意を促している。
4.セキュリティ予算は経営コストである
多くの小規模チームが最も削減しやすいのが、監査・リスク管理・プロセス設計・端末管理などの費用であり、「高すぎる」「遅い」「事業推進を妨げる」と感じている。しかし、近年の北朝鮮関連攻撃の特徴は、時間とコストを惜しまず、1回の高リターンを狙うことにあり、これは顧客資産を大量に取り扱う暗号資産業界関係者にとって、極めて明確な警鐘である。
暗号資産業界がここまで発展した今日、人々はしばしばこう問う:「結局、この技術は何を変えたのか?」
ある人は「支払いを変えた」と答えるだろう。またある人は「資産の発行方法を変えた」と言うだろう。さらに別の人は「グローバルな資本の流れを変えた」と主張するだろう。
だが、北朝鮮という線も含めて考えれば、少なくとも1つの事実は明らかになる:それは、もともと従来の金融システムにおいてあらゆる制約を受けていた国家が、初めて長期的に稼働可能で、国境を越えて流動可能で、継続的に資金を獲得できるツールを手に入れたということである。
ただ、その手段は、最も直接的であり、最も体面を欠いたものであった。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
