北朝鮮のハッカーが2025年に暗号資産20億ドルを盗む

• 北朝鮮のハッカーは2025年に20億ドル相当の暗号資産を盗み、攻撃件数が減少したにもかかわらず51%増加した。
• 攻撃者は大量キャンペーンから高価値取引所への精密攻撃へと戦術を転換した。
• イーサリアム財団は、暗号資産の採用パイプラインに潜入した100人のDPRK関係者を特定した。

サイバーセキュリティ企業CrowdStrikeの新たな脅威レポートによると、北朝鮮の国家系ハッカーは2025年に20億ドル以上の暗号資産を窃取し、前年比51%増となった。最も注目すべき点は金額そのものではなく、その金額がどのように達成されたかという点だ。

攻撃件数は減少したが、1件あたりの成功率は劇的に上昇した。DPRK関連グループは、大量のキャンペーンを展開する手法から、高価値取引所やWeb3プロトコルを対象とした、より少数かつ慎重に標的を絞った作戦へと移行した。

なぜ暗号資産が標的なのか

CrowdStrikeの分析は、なぜ暗号資産セクターが特に北朝鮮の国家関係者を引きつけるのかについて明確に述べている。盗まれた資金は、従来の銀行システムからの同等の盗難に比べ、はるかに高い匿名性をもって換金・移動が可能だ。その収益はほぼ確実に、国家の軍事プログラムの資金調達のためにマネーロンダリングされている。

同レポートによると、金融サービスセクターは現在、サイバー攻撃の標的として世界で4番目に多い業種となっている。その中でも、暗号資産取引所とWeb3インフラは流動性と出口流動性の組み合わせが最も高く、大規模に活動する国家関係者にとって最も効率的な標的となっている。

採用パイプラインへの潜入

レポートで最も懸念される変化は、攻撃者がいかにして暗号資産プロジェクトへのアクセスを最初に獲得するかという点だ。従来の境界セキュリティはもはや失敗ポイントではない。採用パイプラインこそが問題だ。

2025年4月、イーサリアム財団は、暗号資産プロジェクトに直接潜入した100人のDPRK支援個人を特定した。彼らは通常、開発者チームに組み込まれたリモート採用者として活動していた。Drift Protocolの事例が最も顕著な例だ。DPRK関連の技術者が主要な暗号資産業界カンファレンスでDrift Protocolチームと出会い、不正侵害が特定される前に6か月間の協力関係を築いていた。

オンチェーン調査員のZachXBTは複数の企業で同様の潜入パターンを追跡しており、Driftの事件が孤立したものではなく、組織的な戦略の一部であることを示唆している。

作戦の進化

CrowdStrikeは、作戦構造が大幅に成熟したと説明している。DPRK関連グループは現在、暗号資産セクターに特化した分散型請負業者や仲介ネットワークを通じて活動している。この分散型アプローチはレジリエンスを高め、プラットフォームのセキュリティアップグレードへの迅速な適応を可能にする。

Web3におけるリモートコントリビューター、オープン開発環境、グローバルアウトソーシングへの依存は、構造的な脆弱性となっている。すべてのリモート開発者は潜在的な侵入口であり、すべての請負業者のオンボーディングは潜在的な侵害リスクだ。

業界の対応策

主要な暗号資産プラットフォームのセキュリティチームは、オンボーディングやコードコントリビューションのプロセス全体で監視と検証措置を強化している。バックグラウンドチェックが深化され、本人確認が多層化されている。新規コントリビューターからのコードコミットはより積極的に監査されている。

課題は、DPRK関係者が並行して技術を適応させ続けていることだ。セキュリティチームが採用パイプラインを強化するにつれ、脅威アクターはカバーストーリー、プロフェッショナルネットワーク、ソーシャルエンジニアリング戦術を洗練させ、新たな管理策を回避しようとしている。

関連： CertiKレポート：北朝鮮のハッカーが2026年に11億ドル相当の暗号資産を窃取