QuantstampがHumanity Protocolの3,600万ドルハッキングを北朝鮮関係者の関与と断定

ブロックチェーンセキュリティ企業Quantstampは、フィッシングメールと侵害されたノートパソコンが、3,600万ドル相当のHumanity（H）トークンの盗難をもたらした最近のHumanity Protocolインシデントにおける重要なステップだったと述べています。同社の調査は北朝鮮に関連する脅威活動を指摘しており、韓国のデジタル証明書やDPRKの侵入パターンと一致するマルウェアの挙動などの技術的指標を根拠として挙げています。

Quantstampは、攻撃者が韓国の主要な暗号資産取引所の一つであるBithumbに関連するとされるトークンロックアップスケジュールの更新を装った悪意のある添付ファイルを使用したと報告しています。ファイルがスタッフメンバーに届けられた後、マルウェアが自身をインストールし、攻撃者にフルリモートアクセスを提供しました。これにより、プロトコルの運用に使用されている機密ウォレット情報にアクセスできるようになりました。

重要なポイント

• Quantstampは、Humanity Protocolの侵害を、侵害された従業員のノートパソコンへのフルリモートアクセスを可能にしたフィッシング添付ファイルに起因するとしています。
• マルウェアはDPRK的な侵入パターンに関連するHancomのデジタル証明書で署名されていたと報告されています。
• 攻撃者はHumanity Protocolのディレクターから、メタマスクのウォレット情報や秘密鍵を含むウォレット認証情報を抽出することができました。
• セキュリティ企業は、近年および2025年の暗号資産盗難被害の相当部分を北朝鮮に関連する勢力と結び付け続けています。
• Quantstampの調査結果は、標的型ソーシャルエンジニアリングが暗号資産プロジェクト内部の個人にアクセスするために使用されるという増大しつつあるパターンに加わるものです。

フィッシング添付ファイルがアクセスポイントに

インシデント対応において、Quantstampは、Humanity Protocolの攻撃者が侵害された従業員のノートパソコンを通じて足がかりを得たと述べています。同社によれば、その手法はトークン関連の更新を装った悪意のある添付ファイルを含むフィッシングメールでした。

添付ファイルはBithumbからのトークンロックアップスケジュールの更新のように見せかけて偽装されていました。一度開かれると、ペイロードがマルウェアをインストールし、Quantstampによれば攻撃者はデバイスへのフルリモートアクセスを得ました。

これが重要なのは、このインシデントを純粋なオンチェーンエクスプロイトの話から、より人間的なインフラリスクの話へと転換させるためです。すなわち、直接的な侵害メカニズムは、スマートコントラクトコードの直接的な脆弱性ではなく、エンドユーザーの侵害に依存していたということです。

ウォレット認証情報の盗難とリモートアクセスの役割

Quantstampはさらに、マルウェアの能力がノートパソコンの一般的な制御を超えて拡張していたと付け加えました。同社は、攻撃者がアクセスを利用してHumanity ProtocolディレクターのChong Yee Wai氏のメタマスクウォレット認証情報と秘密鍵をコピーしたと述べています。

そのワークフロー——リモート侵害後にウォレット情報を盗む——は資金の迅速な移動を可能にします。また、暗号資産インシデントが、コントラクトレベルの防御だけでなく、フィッシング耐性のある認証や強固な鍵管理手順などのエンドポイントセキュリティ制御に左右されることが多い理由を浮き彫りにしています。

QuantstampがDPRK侵入と結び付ける技術的シグナル

フィッシングとリモートアクセスに加え、Quantstampは「DPRKの侵入に特徴的な」と表現した技術的詳細を指摘しました。同社は、マルウェアが韓国のHancomのデジタル証明書で署名されていたと述べています。

Quantstampの帰属分析は、サイバー調査における多くの脅威レポートの構築方法と一致しています。正確な帰属が公的に確認されることはほとんどありませんが、アナリストはツール、署名行動、および運用パターンの組み合わせを使用することが多いです。今回の場合、特定の署名証明書の存在と観察されたマルウェアの挙動が、相関する指標として提示されています。

これが北朝鮮関連の暗号資産盗難のより広いパターンにどう当てはまるか

北朝鮮との疑いのある関連は単独では現れていません。Quantstampのレポートは、複数のセキュリティ評価が北朝鮮関連グループに帰属させてきた大規模な暗号資産盗難を背景として組み立てられています。

Cointelegraphはかつて、北朝鮮に関連する脅威アクターが4月の暗号資産関連インシデントで盗まれた6億3,400万ドルのうち少なくとも5億7,800万ドルに関与していたと報告しており、以前の分析を参照していました。

別途、ブロックチェーンセキュリティ企業CertiKの5月のレポートでは、同じアクターが2025年の暗号資産エクスプロイトによる損失34億ドルのうち約20億ドルに関連しており、インシデント総数の12%を占めていると述べています。CertiKはその活動を「精度とスケール」を反映するものと特徴づけ、焦点は量だけでなく効果的な実行にあることを強調しました。

より長い時間軸を見ると、記事で引用されたレポートによれば、過去10年間で北朝鮮関連のアクターは263件の記録されたインシデントで推定67億5,000万ドルの暗号資産を盗んだとされています。CertiKはまた、北朝鮮が暗号資産盗難を国家の主要な収入メカニズムとして「産業化」しており、その活動を対外収入の重要な構成要素として位置づけていると述べています。

北朝鮮からの否定、そしてなぜ帰属が依然として論争的であるか

北朝鮮は通常、サイバー犯罪の申し立てに直接応答しません。しかし、記事によれば、5月3日に外務省スポークスマンが朝鮮中央通信が伝えた声明の中で、暗号資産ハッキングへの関与の申し立てを否定しました。

その声明の中で、スポークスマンは、記事で参照されたレポートによれば、米国が北朝鮮からの「存在しない『サイバー脅威』」について「誤った」物語を広めていると主張しました。

投資家と運営者にとって、重要なポイントは帰属の申し立てを法廷レベルの確実性として扱うことではなく、これらのインシデントの背後にあるパターン——特にエンドポイントの侵害と認証情報の盗難——が帰属の議論に関わらず対処可能であることを認識することです。国家の関与が争われている場合でも、実際の防御策は同様です。人事システムへのアクセスを強化し、認証情報収集マルウェアへの露出を減らし、ソーシャルエンジニアリングが成功する可能性を前提とした復旧およびインシデント対応計画を確保することです。

今後、読者が注視すべき主なことは、追加のウォレットや関連インフラが標的にされたかどうかについてHumanity Protocolとセキュリティモニターからのフォローアップ情報、そしてフィッシングを起点とするエンドポイント乗っ取りを防止するためのQuantstampや他のアナリストからのより広範なツール指針です。

この記事はもともとQuantstamp Links Humanity Protocol's $36M Hack to Suspected NK ActorsとしてCrypto Breaking News——暗号資産ニュース、ビットコインニュース、ブロックチェーン最新情報の信頼できる情報源——に掲載されました。