北朝鮮、仮想通貨窃取を「国家事業化」か　10年で1兆円超の被害＝CertiKレポート

窃取した仮想通貨が国家の資金源に

ブロックチェーンセキュリティ企業のCertiKが公開した最新レポート「Skynet: DPRK Crypto Threats Report」によると、北朝鮮は近年、暗号資産（仮想通貨）ハッキングを国家的な資金調達手段として組織化・産業化している。レポートでは、独立系オンチェーン研究者のテイラー・モナハン氏の分析を引用し、2016年から2026年初頭までに、北朝鮮系のハッカー集団が263件の攻撃を通じて推定67.5億ドル（約1兆643億円）を窃取したと指摘した。

2025年の仮想通貨セキュリティ事案は656件、総被害額34億ドルに上った。このうち北朝鮮関連79件（全体の12%）だけで20.6億ドル（約60%）を窃取していたことから、北朝鮮系攻撃集団が少数の「高価値ターゲット」に狙いを定め、組織的に攻撃を仕掛けている実態が浮き彫りになった。

特に2025年2月に発生したBybitのハッキングでは、約15億ドルが流出し、仮想通貨史上最大規模の窃盗事件となった。さらに2026年もこの傾向が続いており、年初以降の被害総額約11億ドルのうち、約55%にあたる6.2億ドル超が北朝鮮関連と分析されている。

レポートでは、2022年のRoninブリッジ、2025年のBybit、そして2026年のDrift Protocolに対する攻撃を主要事例として分析。北朝鮮による攻撃手法が、単純なウォレット侵害から、サプライチェーンや運用インフラを狙う高度な攻撃へ進化していると指摘した。

北朝鮮が仮想通貨ハッキングに注力する主な背景には、国際社会による厳しい経済制裁により、外貨獲得ルートが極めて制限されている点がある。2017年までに外貨収入が激減した同国は、国際金融システムを迂回できる代替収入源を求め、仮想通貨窃取を有力な手段として採用した。オープンソースの分析によると、2017年以降の北朝鮮関連の仮想通貨窃盗総額は、同国の対外収入の相当部分を占める可能性があるという。

また、レポートは北朝鮮のサイバー工作員を「金銭目的の一般犯罪者ではなく、国の全面的な支援を受けた国家の工作員」と位置付けている。数か月単位で標的組織へ潜入し、粘り強く攻撃準備を行うのは、国家の組織力あってこそだと指摘している。

北朝鮮の金正恩総書記は、「サイバー戦は核兵器やミサイルと並び、朝鮮人民軍に容赦ない打撃能力を保証する万能の剣である」と述べており、国家レベルでサイバー戦能力を重視している姿勢がうかがえる。

北朝鮮のサイバー作戦の進化

レポートは、北朝鮮による仮想通貨を標的としたサイバー作戦は、2016年以降、次の5つの明確な進化の段階を経てきたと説明している。

• DDoS攻撃と破壊工作（2007年～2014年）:韓国政府・金融機関へのDDoS攻撃、ソニー・ピクチャーズ・エンタテインメントへの侵入など、政治的動機による破壊活動
• 銀行システムへの侵入（2014年～2017年）:バングラデシュ中央銀行強奪事件ではSWIFTを悪用し不正送金を行う
• 仮想通貨取引所への攻撃（2017年～2019年）:セキュリティの脆弱なホットウォレットを標的に、Bithumb（1,400万ドル）やコインチェック（5億3,000万ドル）が被害を受ける
• DeFiプロトコルとクロスチェーンブリッジ（2020年～2023年）:Roninブリッジなど、少数の秘密鍵掌握で巨額を奪取可能な脆弱性を悪用
• サプライチェーン（2024年～2025年）:Bybitハッキングではサードパーティのインフラプロバイダーを侵害

そして現在、レポートは「物理的な潜入」と表現する最新の進化として、今年4月に発生したDrift Protocolハッキングを例に挙げた。この事件では、ソラナベースのプラットフォームから約2億8,500万ドルが流出。攻撃者は、仮想通貨カンファレンスへの参加、プロトコル関係者との人脈構築、ガバナンス操作を含む約6か月間の工作活動を通じて攻撃を実行した。

この攻撃は物理的なソーシャルエンジニアリングやガバナンス操作などを組み合わせたものであり、諜報活動と技術的な悪用が融合しているとレポートは指摘する。純粋な技術的セキュリティ対策だけでは、もはやこのような攻撃に対処できないと警鐘を鳴らしている。

攻撃のベクトルと対策

レポートは、北朝鮮関連の10年近くにわたる仮想通貨攻撃において、最も典型的な侵入手法は、ソーシャルエンジニアリングであり、大規模ハッキングの大部分は人間への操作から始まったと主張。スマートコントラクトの脆弱性ではなく、一貫して人間とサプライチェーンの弱点を標的にしてきたという。

RoninにおけるLinkedInを悪用した偽求人や、BybitのSafe Wallet開発者への侵害が示すように、ベンチャーキャピタル関係者を装った接触、不正な採用プロセス、悪意あるコードリポジトリの利用が、初期侵入の主要な経路となっている。

レポートは、「国家主導の攻撃」を防ぐ包括的なアプローチとして、以下を推奨している。

• 厳格な本人確認：ライブネスチェック付きのビデオ面接を必須に。AI生成の偽造IDや借用された身元検出に特化した専門身元調査サービスの利用
• ゼロトラスト採用：リモートワーカーは原則高リスクとみなし、本番環境コードや秘密鍵のアクセス制限
• ソーシャルエンジニアリング対策：LinkedInやDiscord上のソーシャルエンジニアリングを認識できるような従業員教育
• 大口出金の遅延とサーキットブレーカー：大口出金には24〜72時間の冷却期間を設け、不審取引を検知・凍結できる体制構築。プロトコルではガバナンス・管理操作にタイムロック導入
• ハードウェアセキュリティモジュール（HSM）の活用：高額取引の署名鍵や資産管理鍵はエアギャップ型ハードウェアに保管し、操作には物理的な承認を必須とする