北朝鮮のハッカー

Cointelegraph の報道によると、サイバーセキュリティ会社 CrowdStrike が発表した報告書は、2025 年に北朝鮮のハッカーと脅威行為者によって引き起こされる暗号資産の損失が 20 億ドルを超え、前年比 51% 増加すると示していますが、攻撃の回数は減少しています。CrowdStrike は、北朝鮮のハッカーが暗号通貨ユーザーに対する最大の脅威組織であり、盗まれた資金はほぼ確実にこの政権の軍事計画を資金提供するために使用されていると述べています。攻撃者は高価値のターゲットを優先的に狙い、主に Web3 プロジェクトと暗号通貨取引所を対象としています。なぜなら、盗まれた資金は匿名で現金化および移転しやすいからです。今年の 4 月、イーサリアム財団は 100 名の北朝鮮のハッカーを特定し、Drift Protocol が北朝鮮の技術者によって侵入され、2.8 億ドルの損失を引き起こしました。これらの脅威行為者は、第三者の仲介を通じて対面での関係を構築しています。

Web3 セキュリティ会社 CertiK は『Skynet 北朝鮮暗号脅威報告書』を発表しました。データによると、2016 年から現在まで、北朝鮮のハッカー組織は約 675 億ドルのデジタル資産を略奪してきました。2025 年だけで、その盗難事件による損失は 206 億ドルに達し、世界の暗号業界全体の年間総損失の約 60% を占めています（その中には 15 億ドルの Bybit 盗難事件が含まれています）。2026 年初頭まで、この脅威の傾向は続いており、損失の割合は約 55% です。報告書は、北朝鮮のハッカーの攻撃パターンが根本的に変化していることを強調しており、単なるコードの脆弱性の利用から、社会工学、深層サプライチェーン攻撃、そして「物理的浸透」を組み合わせた国家レベルの攻撃体系へと進化しています。最近の Drift プロトコル事件では、攻撃者は半年間オフラインの業界会議に潜伏し、実際の資金と人間関係を通じて信頼を築いた後に攻撃を実行しました。CertiK のセキュリティ専門家は、このレベルの体系的な攻撃に直面した場合、単純な技術的防御線はもはや弱体化していると警告しています。暗号機関は「ゼロトラスト」採用モデルを全面的に実施し、第三者のサプライチェーンを強化し、資金のサーキットブレーカーを設定し、専門のセキュリティ機関と連携してコード監査、24 時間リスク監視、オンチェーンのマネーロンダリング防止/KYT（取引を知る）資金追跡をカバーする全ライフサイクル防御体系を構築する必要があります。

アメリカのマンハッタン連邦裁判所の裁判官マーガレット・ガーネットは、AaveがrsETH攻撃事件後の資産回復計画を進めることを承認し、以前にArbitrumで凍結されていた約7100万ドルのETHをAaveが管理するウォレットに移転することを許可しました。裁判所の文書によると、この決定は以前のArbitrum DAOに対する差止命令を修正し、コミュニティがオンチェーンガバナンス投票を通じてETHの移転を完了できるようにし、投票および移転の実行に関与する者の法的責任を免除しました。この事件は4月に発生したrsETH攻撃事件に起因しており、関連する攻撃は広く北朝鮮に関連するラザルスグループに起因するとされています。以前、北朝鮮のテロリズムの被害者家族を代表する弁護士は、関連資産の凍結を主張し、約8.77億ドルの未払い判決の賠償範囲に含めることを試みました。Arbitrumコミュニティは、Snapshotでの温度チェック投票で凍結されたETHをAave回復計画に返還することを高票で支持しましたが、実際の移転は正式なオンチェーンガバナンスの承認が必要です。報道によれば、この案件はアメリカの関連原告が北朝鮮に関連する暗号資産を追求する行動の一部でもあります。Arbitrumの他に、原告は以前にプライバシー協定のRailgun DAOを訴え、Digital Currency Group（DCG）を被告の一つとして挙げ、関連するガバナンスおよび経済活動に関与したと主張しています。

OpenSourceMalwareの研究によると、北朝鮮のハッカー集団Lazarusは「感染性面接」や「TaskJacker」などの開発者を狙った悪意のある活動に新しい手法を採用し、第二段階のローダーをGit Hooksのpre-commitスクリプトに隠しています。「感染性面接」は、この組織が偽の暗号通貨/DeFi分野の採用プロセスを通じて、開発者を悪意のあるコードリポジトリをクローンさせる一連の攻撃活動であり、最終的に暗号資産や資格情報を盗みます。研究者は、面接プロセスの一環としてコードリポジトリをクローンするよう求められた開発者に対し、このようなリスクに警戒するように勧めており、個人のブラウザ設定、SSHキー、暗号ウォレットをマウントしないように、隔離された環境で実行することを推奨しています。

FinanceFeeds の報道によると、北朝鮮の被害者弁護士はマンハッタン連邦裁判所の公聴会前に、Aave で発生した rsETH 攻撃事件を「盗難」ではなく「詐欺」と再定義し、7100 万ドル相当の ETH の差し押さえ命令を維持しようとしています。弁護士は、攻撃者が無価値な担保を利用して資産を借り入れ、返済しなかったことは詐欺的な貸付取引に該当し、これらの差し押さえ資産をテロリズム判決の賠償に充てることを目的としていると主張しています。以前、Lazarus Group に関連するハッカーはクロスチェーンブリッジの脆弱性を利用して無担保の rsETH を鋳造し、Aave から約 2.3 億ドルの資産を借り入れ、そのうち7100 万ドルが Arbitrum の開発者によって押収されました。被害者弁護士は同時に Aave の抗弁資格に疑問を呈し、そのサービス利用規約がユーザー資産に対する管理権を持たないと指摘しました。さらに、DeFi United は 3.27 億ドルの資金を調達しており、今回の論争の金額を上回っています。

TRM Labs の最新レポートによると、北朝鮮のハッカーは Drift Protocol と Kelp DAO の攻撃事件で、約 6 億ドル相当の暗号通貨を盗み、総損失の 76% を占めています。TRM Labs は、2017 年以来、北朝鮮に関連するハッカーが暗号プロトコルやプロジェクトから 60 億ドル以上を盗んだと推定しています。レポートによると、北朝鮮のハッカーによる損失は、世界の暗号通貨ハッキング攻撃による損失の中での割合が、2020 年と 2021 年の 10% 未満から 2022 年の 22%、2023 年の 37%、2024 年の 39%、そして 2025 年の 64% に増加しています。

北朝鮮のハッカーは、Drift Protocolを攻撃する前に、数ヶ月間その従業員とオフラインで接触し、浸透していました。最終的に、暗号業界史上最大規模のソーシャルエンジニアリング攻撃の一つを実施し、約2.85億ドルの損失を引き起こしました。ブロックチェーンセキュリティ会社TRM Labsのデータによると、2026年現在、北朝鮮のハッカーは全ての暗号通貨ハッカーによる損失の76%を占めています。

ブロックチェーン情報機関 TRM Labs の最新レポートによると、世界の暗号通貨ハッキングによる損失の約 76% が北朝鮮関連の組織に関係しており、累計で約 5.77 億ドルが盗まれています。北朝鮮の世界的な暗号盗難における占有率は継続的に上昇しています：2022 年は 22%、2023 年は 37%、2024 年は 39%、2025 年は 64% に上昇し、2026 年にはさらに 76% に達します。2017 年以来、累計で不法に得た利益は 60 億ドルを超えています。レポートは、これらの損失が主に 4 月の二つの重大な事件から来ていることを指摘しています：KelpDAO が遭遇した 2.92 億ドルの攻撃と、Drift Protocol が盗まれた 2.85 億ドルの事件で、これら二つの攻撃は同期間の全ハッカー事件の約 3% を占めています。

ネットセキュリティ会社Expelの研究報告によると、同社は北朝鮮（DPRK）国家支援のAPT組織「HexagonalRodent」を追跡しており、この組織はWeb3開発者を主なターゲットとして、高価値のデジタル資産である暗号通貨やNFTを専門に盗む活動を行っています。この組織は主に偽の求人情報を通じて攻撃を実施しています------LinkedInやWeb3求人プラットフォームに高給の職を掲載し、求職者を誘導して埋め込まれた悪意のあるコードを含む「スキルテスト」を完了させ、VSCodeのtasks.json機能を利用して被害者がプロジェクトフォルダーを開くと自動的に悪意のあるプログラムを実行します。使用されるマルウェアにはBeaverTail、OtterCookie、InvisibleFerretが含まれ、パスワード窃取、リモートコントロール、リバースシェルなどの機能を備えています。注目すべきは、この組織がChatGPT、Cursorなどの生成AIツールを大量に利用して悪意のあるソフトウェアを開発し、偽の会社ウェブサイトやAI生成の経営陣を構築していることです。さらに、メキシコにペーパーカンパニーを登録して攻撃の信頼性を高めています。また、この組織は最近、初めてサプライチェーン攻撃を実施し、VSCode拡張を成功裏に侵入しました。

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

暗号業界に対する盗作の浸透と攻撃が続く中、セキュリティ専門家は、その背景にある他国のハッカーとの核心的な違いは、暗号資産がその国の軍事費を維持するための重要な直接的な資金源となっていることだと指摘しています。報道によると、最近の Drift Protocol に対する数ヶ月にわたる浸透行動の中で、北朝鮮のハッカーが再び業界に衝撃を与えました。専門家は、このモデルは単なる「資金移転ツール」ではなく、直接的な「略奪的利益」であり、国際制裁を回避し、即座に使用可能なハードカレンシー資金を得るために使用されると述べています。セキュリティ研究者は、ロシアやイランなどの国々とは異なり、北朝鮮は持続可能な対外経済や商品輸出能力がほとんどないため、核兵器や弾道ミサイル計画を支えるための主要な収入源として暗号盗難に依存していると指摘しています。専門家はさらに、北朝鮮のハッカーの攻撃対象が単純なフィッシングから取引所、ウォレットサービス、DeFiプロトコルの重要な権限を持つ者に拡大しており、長期間のソーシャルエンジニアリングや身分偽装の浸透手段を広く採用していると強調しています。ブロックチェーン取引の「一度確認されると不可逆」である特性により、暗号業界は資金の凍結や回収において伝統的な金融システムよりもはるかに弱く、このような攻撃は速度と規模においてより破壊的です。セキュリティ専門家は、このような「長期潜伏＋精密な権力奪取」の攻撃モデルは、業界によってまだ効果的に解決されていないと警告しています。

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

Ledgerの最高技術責任者チャールズ・ギルメットは、Drift Protocolの今回の脆弱性を利用した攻撃手法が2025年のBybitハッカー事件と同様であると述べ、後者は北朝鮮に関連するハッカーと広く考えられていると指摘しました。ギルメットは、今回の攻撃はどのスマートコントラクトにも対して行われていないことを指摘し、攻撃者が長期間にわたりマルチシグ署名者のデバイスに浸透し、悪意のある取引を承認するように誘導したと述べました。署名者は常に自分が合法的な操作を承認していると思っていた可能性があります。彼は、問題の根源は人員と運営レベルのセキュリティの欠如にあり、コード自体ではないと強調しました。

The Block の報道によると、暗号通貨の電子商取引およびギフトカード会社 Bitrefill がネットワーク攻撃を受け、北朝鮮支援のハッカー組織 Lazarus Group によるものと疑われています。攻撃は、従業員のノートパソコンが侵入されたことから始まり、ハッカーは一部のホットウォレットの資金を盗み、サプライヤーに対して疑わしい調達を行いました。攻撃者は Bitrefill のより広範なインフラにも侵入し、一部のデータベースや特定の暗号通貨ウォレットにアクセスしました。その結果、約 18,500 件の購入記録がアクセスされ、メールアドレス、暗号支払いアドレス、IP アドレスなどの限られた顧客情報が含まれています。その中で約 1,000 件の記録の暗号顧客名が露出リスクにさらされており、会社は関連する個人に連絡を取っています。Bitrefill は、ほとんどの購入に KYC を強制しておらず、KYC に関するデータは外部の KYC 提供者によってのみ保管されており、会社のシステムにはバックアップがありません。調査によると、攻撃者はデータベース全体を抽出することはなく、盗むことができるターゲットを探るために限られたクエリを実行したことがわかりました。これには、暗号通貨やギフトカードの在庫が含まれています。会社は「自己負担」で運転資本の損失を負い、zeroShadow、SEAL911 などのセキュリティチームと協力して対応しています。現在、支払い、在庫、およびアカウント機能はほぼ正常に回復しており、売上も回復しています。

ビットコイン決済サービスプロバイダーの Bitrefill は X プラットフォームで、2026 年 3 月 1 日にネットワーク攻撃を受け、顧客データが漏洩したことを発表しました。攻撃は、従業員の侵害されたノートパソコンから発生し、一部のデータベースと暗号通貨ウォレットが攻撃者にアクセスされました。調査によると、今回の攻撃手法は北朝鮮 DPRK Lazarus/Bluenoroff ハッカーグループが過去に暗号企業に対して行った攻撃と非常に似ています。約 18,500 件の購入記録には限られた顧客情報（メールアドレス、暗号決済アドレス、IP メタデータ）が含まれており、その中の約 1,000 件の記録の顧客名情報は暗号化されて保存されていますが、アクセスされる可能性があります。Bitrefill は、顧客が特別な操作を行う必要はないが、異常な情報に注意することを推奨しています。Bitrefill は、現在関連システムを閉鎖して隔離し、セキュリティ専門家、オンチェーンアナリスト、法執行機関と協力しており、ほぼ正常な運営に戻っています。会社は、ビジネスが長期的に利益を上げており、資金が十分であるため、今回の損失を吸収できると強調し、内部アクセス制御、監視、緊急対応メカニズムを含むネットワークセキュリティ対策を引き続き強化していくと述べています。

安全研究機関 Ctrl-Alt-Intel が、北朝鮮に関連する疑いのあるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者は、React2Shell 脆弱性（CVE-2025-55182）および取得した AWS アクセス資格情報を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECR などのリソースを列挙し、Secrets Manager、Terraform ファイル、Kubernetes 設定、Docker コンテナからキーと資格情報を抽出しました。研究者によると、攻撃者は 5 つの Docker イメージをダウンロードし、ChainUp 顧客関連のソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラストラクチャには、韓国のサーバー 64.176.226[.]36 およびドメイン itemnania[.]com が含まれています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べていますが、帰属の信頼度は中程度であり、AWS 資格情報の出所は明確ではありません。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。