北朝鮮ハッカーの増加率51％！年間盗難額20億ドル、中国語洗浄ネットワークが露呈

Chainalysis 最新報告顯示，2025 年全球オンチェーン出金窃取金額約 34 億ドル，其中少なくとも 20.2 億ドルは北朝鮮関連の攻撃行動からのもので、2024 年と比較して51%増加（約 6.81 億ドル増）、史上最高を記録しています。北朝鮮ハッカーはすべてのハッキング侵入事件の 76%を占め、これまでに少なくとも 67.5 億ドルの暗号資産を窃取しています。

北朝鮮ハッカーが世界の暗号窃盗の 76%を支配

（出典：Chainalysis）

2025 年は北朝鮮による暗号通貨盗難行動の中で最も深刻な年となり、攻撃の76%を占め、史上最高を記録しました。この割合は非常に驚くべきものであり、世界の暗号通貨窃盗事件のうち、4件中3件が北朝鮮に関連していることを意味します。この支配的地位は偶然のものではなく、北朝鮮国家レベルのサイバー軍の長期的な投入と技術蓄積の結果です。

20.2 億ドルの不法所得は、北朝鮮にとって戦略的意義を持ちます。国際推定によると、北朝鮮の年間GDPは約 200-300 億ドルであり、ハッカーによる窃盗資金はGDPの約 6-10%に相当します。国連制裁により正常な貿易ルートの大部分が断たれる中、暗号通貨窃盗は北朝鮮の外貨獲得の主要な手段の一つとなっており、これらの資金は核兵器や弾道ミサイル計画の支援に使われています。

51%の年成長率は、北朝鮮ハッカーの能力が急速に向上していることを示しています。この向上は技術面だけでなく、攻撃戦略の洗練化にも表れています。初期の粗暴なフィッシング攻撃から、現在では多段階のソーシャルエンジニアリング、サプライチェーンの侵透、内部関係者の潜入まで、北朝鮮ハッカーは成熟した攻撃手法を発展させています。

北朝鮮ハッカー2025年攻撃データ

総窃取金額：20.2 億ドル、全世界の暗号窃盗の 76%、2024年と比較して51%増

累計歴史的窃取：67.5 億ドル、2017年から現在まで、平均毎年約 8.4 億ドル

最大案件：大手CEX取引所 15 億ドル、2025年の北朝鮮総窃取額の 74%

Lazarus Groupは平壌偵察総局（RGB）と密接な関係があると一般に認識されており、2020年から2023年までの間に少なくとも25件の暗号通貨窃盗事件を通じて2億ドル超の不法所得を得ています。この組織は過去10年以上にわたり、金融機関や暗号通貨プラットフォームに対してサイバー攻撃を継続しており、先月韓国最大の暗号通貨取引所Upbitから約3600万ドルの資産を窃取した事件にも関与していると疑われています。

中央集権取引所 15 億ドル事件と二線侵透戦略

報告によると、今年2月に発生したCEX取引所のハッキング事件は、北朝鮮による単一最大の攻撃であり、約15億ドルの損失をもたらしました。この事件は、TraderTraitorと呼ばれる脅威グループ、別名Jade SleetまたはSlow Piscesに起因するとされています。セキュリティ企業Hudson Rockは、その後、Lumma Stealerマルウェアに感染したコンピュータと、この攻撃に使用されたインフラとの関連性を指摘しました。

CEXのハッキング攻撃の手法は非常に精巧です。ハッカーは取引所のコールドウォレットシステムを直接攻撃するのではなく、ソーシャルエンジニアリングを通じて取引所の従業員に侵入し、内部システムへのアクセス権を獲得します。内部ネットワークに入ると、横展し重要なシステムに移動し、最終的に秘密鍵管理権限を取得します。この攻撃連鎖は複数の段階にわたり、各段階には高度な技術と忍耐が必要です。

直接の取引所侵入以外にも、北朝鮮ハッカーは長期にわたり「夢想仕事」（Operation Dream Job）と呼ばれるソーシャルエンジニアリング攻撃を行っています。LinkedInやWhatsAppなどのプラットフォームを通じて、採用担当者を装い、高給の求人を餌にして国防、技術、航空、製造業の従事者に接触し、ターゲットにマルウェアをダウンロードさせ、敏感な情報を窃取したり長期侵透のルートを構築したりしています。

もう一つの戦略は、「Wagemole」と呼ばれる行動です。北朝鮮関連者は偽の身分で海外企業のIT職に応募したり、偽子会社を通じて企業内部に潜入し、システムや暗号サービスのアクセス権を取得し、高影響力の攻撃を仕掛けます。Chainalysisは、この手法が大規模窃盗前の横展と初期アクセスの速度を加速させる可能性があり、今年の損失額の新記録の一因と指摘しています。

米国司法省は、メリーランド州の40歳の男が北朝鮮関係者の身分を偽りIT業務に従事したとして有罪判決を下したと発表しました。調査によると、その被告は中国瀋陽に居住する北朝鮮市民に自身の身分を使わせ、複数の米国企業や政府機関で勤務させ、2021年から2024年までに約100万ドルの報酬を得ていました。このケースは、「Wagemole」行動の実態を示しています。

中国系マネーロンダリングネットワークの三段階資金移動

資金処理の面では、盗まれた暗号資産は通常、多段階の洗浄プロセスを経て移動します。報告は、北朝鮮ハッカーがProfessional Chinese-Language Money Laundering Service（プロの中国語洗浄サービス）やOTC（店頭取引）を大量に利用していることを指摘し、中国語圏の地下金融ネットワークとの密接な関係を示しています。

第一段階は攻撃後数日以内に、分散型金融（DeFi）プロトコルやミキサーサービスを利用して資金を迅速に分散させることです。この段階の目的は、盗まれた資金と元のアドレスとの直接的な関連を迅速に断つことにあります。ハッカーは大額の資金を数千の小口送金に分割し、Tornado Cashなどのミキサーや複数のDeFiプロトコルを経由して多跳移動させ、追跡の難易度を指数関数的に高めます。

第二段階は、取引所やクロスチェーンブリッジ、二次的なミキサーを通じて初期の統合を行います。資金はEthereumからBSCやTronなどの他のチェーンに移され、クロスチェーンブリッジの複雑性を利用して追跡経路をさらに混乱させます。一部の資金は、KYCが弱い小規模取引所に流入し、他の暗号通貨やステーブルコインに交換されます。

最後に、約20〜45日以内に資金を法定通貨や他の資産に換金します。この段階は最も重要かつ危険であり、暗号通貨を法定通貨に変えるためには従来の金融システムと接触する必要があります。北朝鮮ハッカーは主に中国語圏のOTC業者や地下両替商に依存し、これらの仲介者は大口の暗号通貨を法定通貨に換金し、複雑な銀行ネットワークを通じて資金を最終的に北朝鮮の管理する口座へと移しています。

「中国系システム」の高度な連動性は、米国司法当局の関心を引いています。これは、中国本土、香港、台湾、東南アジアの華人コミュニティ内の地下金融ネットワークの一部が、北朝鮮に対して重要なマネーロンダリングサービスを提供していることを示唆しています。この国際的な犯罪ネットワークの複雑さは、法執行機関の追跡と摘発を非常に困難にしています。

セキュリティ専門家は、北朝鮮関連の脅威行為が戦略を絶えず調整しており、直接のシステム侵入から、より隠密で気づきにくい人員潜入やプラットフォームの濫用へと移行していると警告しています。暗号通貨とリモートワークの普及に伴い、関連リスクは今後も高まり続け、各国の規制や企業のセキュリティ防護にとって大きな課題となるでしょう。