北朝鮮のハッカーが「肥年」を迎える：2025年に盗難資金が記録を更新し、マネーロンダリングの周期は約45日。

原文タイトル：北朝鮮、記録的な20億ドルの暗号盗難年を推進し、総額を67.5億ドルに押し上げる

原文出典：Chainalysis

原文翻訳：Felix, PANews

近年の北朝鮮ハッカーによる暗号業界への攻撃に関して、Chainalysisは2025年のハッキングレポートで北朝鮮ハッカーの攻撃行動を重点的に分析しました。以下は内容の詳細です。

要点：

· 北朝鮮ハッカーは2025年に20.2億ドル相当の暗号通貨を盗み、前年比51%増加しました。攻撃回数は減少したものの、累計盗難総額は67.5億ドルに達しました。

· 北朝鮮ハッカーは、より少ない攻撃回数でより多くの暗号通貨を盗むことができ、ITスタッフを暗号サービス内部に配置したり、経営者を狙った複雑ななりすまし戦略を使用したりすることが多いです。

· 北朝鮮ハッカーは明らかに中国語のマネーロンダリングサービス、クロスチェーンブリッジサービス、ミキシングプロトコルを好み、大規模な盗難事件の後、マネーロンダリングのサイクルは約45日です。

· 2025年、個人ウォレットの盗難事件は15.8万件に急増し、8万人のユーザーが被害を受けましたが、盗まれた総額（7.13億ドル）は2024年より減少しました。

· DeFiの総ロック価値（TVL）が増加したにもかかわらず、2024年から2025年のハッキングによる損失は依然として低水準を維持しており、セキュリティ対策の改善が顕著な効果をもたらしていることを示しています。

2025年、暗号エコシステムは再び厳しい挑戦に直面し、盗まれた資金は引き続き増加しています。分析によると、暗号盗難のパターンには4つの重要な特徴があります：北朝鮮ハッカーは依然として主要な脅威の源である；中央集権サービスに対する個別の攻撃が深刻化している；個人ウォレットの盗難事件が急増している；DeFiのハッキング攻撃の傾向に意外な分化が見られます。

全体状況：2025年の盗難額は34億ドルを超える

2025年1月から12月初めまでの間に、暗号業界で盗まれた金額は34億ドルを超え、そのうち2月のBybitに対する攻撃だけで15億ドルを占めました。

データは、これらの盗難事件の重要な変化を明らかにしています。個人ウォレットの盗難事件は大幅に増加し、2022年の盗まれた総価値の7.3%から2024年には44%に上昇しました。Bybitの攻撃事件の影響がなければ、2025年にはこの割合は37%に達していた可能性があります。

同時に、プライベートキーのインフラストラクチャや署名プロセスに対する複雑な攻撃のため、中央集権サービスはますます大きな損失を被っています。これらのプラットフォームは機関リソースと専門のセキュリティチームを持っていますが、コールドウォレットの管理を回避できる脅威に対して依然として脆弱です。このような侵入事件は頻繁ではありませんが（下の図を参照）、一度発生すると巨額の盗まれた資金をもたらし、2025年第一四半期にはこのような事件による損失が総損失の88%を占めました。多くの攻撃者は、第三者のウォレット統合を利用する方法を開発し、署名者に悪意のある取引を承認させるように仕向けています。

暗号セキュリティが特定の分野で改善されている可能性があるにもかかわらず、盗まれた金額が高止まりしていることは、攻撃者が依然としてさまざまな手段で成功を収めていることを示しています。

上位3つのハッキング攻撃による損失は総損失の69%を占め、極端な値は中央値の1000倍に達する

資金が盗まれる事件は常に極端な事件によって駆動されており、大多数のハッキング攻撃は比較的小規模ですが、少数の規模が巨大なものもあります。しかし、2025年の状況は悪化しました：最大規模のハッキング攻撃とすべての事件の中央値との比率が初めて1000倍の閾値を突破しました。現在、最大規模の攻撃で盗まれた資金は通常の事件で盗まれた資金の1000倍であり、2021年のブルマーケットのピークをも超えています。これらの計算は、盗まれた資金が盗まれた時のドル価値に基づいています。

この拡大するギャップは、損失を高度に集中させています。2025年の上位3つのハッキング攻撃による損失はすべての損失の69%を占め、単一の事件が年間総損失に異常に大きな影響を与えています。攻撃の頻度は変動する可能性がありますが、資産価格の上昇に伴い中央値の損失も増加しますが、個別の重大な脆弱性による潜在的な損失はより早いペースで増加しています。

確認された攻撃事件は減少しているが、北朝鮮は依然として主要な脅威

攻撃頻度は大幅に減少していますが、北朝鮮は暗号セキュリティに対して最も深刻な脅威をもたらす国であり、2025年に盗まれた暗号通貨の資金は新たな高値を記録し、少なくとも20.2億ドル（2024年より6.81億ドル増加）に達し、前年比51%増加しました。盗まれた金額に関しては、北朝鮮の暗号通貨盗難事件として記録された中で最も深刻な年であり、北朝鮮による攻撃はすべての侵入事件の76%を占め、歴史的な新高値を記録しました。全体として、北朝鮮が盗んだ暗号通貨の累計総額は、最低でも67.5億ドルに達しています。

北朝鮮ハッカーは、ITスタッフを暗号サービス内部に配置して特権アクセスを取得し、大規模な攻撃を実施することがますます増えています。今年の記録的な攻撃事件は、北朝鮮が取引プラットフォーム、ホスティング機関、Web3企業への浸透にITスタッフをより多く依存していることを反映している可能性があり、これにより初期アクセスと横移動が加速し、大規模な盗難を引き起こす条件が整います。

しかし、最近北朝鮮に関連するハッカーグループは、このIT作業者モデルを根本的に覆しました。彼らはもはや単に職を申請して従業員として潜入するのではなく、ますます多くの有名なWeb3やAI企業の採用担当者を装い、巧妙に虚偽の採用プロセスを計画し、最終的には「技術選考」を口実にして被害者のログイン資格情報、ソースコード、現在の雇用主のVPNまたはシングルサインオン（SSO）アクセスを取得しています。経営者レベルでは、類似のソーシャルエンジニアリング手法が虚偽の戦略的投資家や買収者の接触の形で現れ、彼らはプレゼンテーション会議や偽のデューデリジェンスを利用して、敏感なシステム情報や潜在的な高価値インフラを探ります------この進化は、北朝鮮のIT作業者による詐欺行為の基盤の上に直接構築されており、戦略的重要性を持つAIやブロックチェーン企業に焦点を当てています。

過去数年にわたり、北朝鮮が継続的に実施しているサイバー攻撃の価値は他のハッカーをはるかに上回っています。下の図に示すように、2022年から2025年にかけて、北朝鮮ハッカーの攻撃は最高価値の範囲を占めており、非北朝鮮ハッカーの攻撃はすべての盗難規模において比較的均等に分布しています。このパターンは、北朝鮮ハッカーが攻撃を行う際に、大規模なサービスをターゲットにし、最大の影響を与えようとすることをさらに示しています。

今年の記録的な損失は、既知の事件の大幅な減少から生じています。この変化（事件は減少したが損失は大幅に増加）は、2025年2月のBybitの大規模ハッキング事件の影響を反映しています。

北朝鮮独自のマネーロンダリングモデル

2025年初頭に大量の盗まれた資金が流入し、北朝鮮ハッカーがどのように大規模に暗号通貨を洗浄しているかが明らかになりました。彼らのモデルは他のサイバー犯罪者とは全く異なり、時間とともに進化しています。

北朝鮮のマネーロンダリング活動は明らかに「分割」モデルを示しており、60%以上の取引量が50万ドル以下に集中しています。対照的に、他のハッカーがチェーン上で移転する資金の60%以上は100万ドルから1000万ドル以上の範囲で分割されています。北朝鮮は毎回のマネーロンダリングの金額が他のハッカーよりも高いですが、チェーン上の送金をより小さなバッチに分けることで、マネーロンダリング手法の複雑さを際立たせています。

他のハッカーと比較して、北朝鮮は特定のマネーロンダリングの段階で明らかな好みを示しています：

北朝鮮ハッカーはしばしば以下を好みます：

· 中国語の資金移転と担保サービス（+355%から1000%以上）：これは最も顕著な特徴であり、中国語の担保サービスや、規制が弱い可能性のある多くのマネーロンダリング業者から成るネットワークに大きく依存しています。

· クロスチェーンブリッジサービス（+97%）：異なるブロックチェーン間で資産を移転するためにクロスチェーンブリッジに高度に依存し、追跡の難易度を増そうとしています。

· ミキシングサービス（+100%）：資金の流れを隠すためにミキシングサービスをより多く使用しています。

· Huioneなどの専門サービス（+356%）：特定のサービスを戦略的に使用してマネーロンダリング活動を支援しています。

他のマネーロンダリング活動に関与するハッカーはしばしば以下を好みます：

· 貸付プロトコル（-80%）：北朝鮮はこれらのDeFiサービスの使用を避けており、より広範なDeFiエコシステムとの統合が限られていることを示しています。

· KYCなしの取引プラットフォーム（-75%）：驚くべきことに、他のハッカーは北朝鮮よりも多くKYCなしの取引プラットフォームを使用しています。

· P2P取引プラットフォーム（-64%）：北朝鮮はP2Pプラットフォームに対する関心が限られています。

· CEX（-25%）：他のハッカーは伝統的な取引プラットフォームとの直接的な相互作用がより多いです。

· DEX（-42%）：他のハッカーは流動性が高く匿名性が強いDEXを使用する傾向があります。

これらのパターンは、北朝鮮の運営が国家支援のネット犯罪者とは異なる制約と目標の影響を受けていることを示しています。彼らは専門の中国語マネーロンダリングサービスや店頭（OTC）業者を大量に使用しており、北朝鮮ハッカーがアジア太平洋地域の違法行為者と密接に関係していることを示しています。

北朝鮮ハッカー攻撃後の盗まれた資金のマネーロンダリングタイムライン

2022年から2025年の間に北朝鮮に起因するハッカー事件後のチェーン上活動の分析は、これらの事件と盗まれた資金が暗号エコシステム内で流動するパターンに一貫性があることを示しています。重大な盗難事件の後、盗まれた資金は構造化された多段階のマネーロンダリングパスに従い、このプロセスは約45日間続きます：

第一段階：即時分層（第0-5日）

ハッキング攻撃が発生した最初の数日間、観察される活動は異常に活発で、盗まれた源から資金を即座に移転することに重点が置かれます：

· DeFiプロトコルの盗まれた資金の流動量は最大の増加（+370%）を示し、主要な切り口となります。

· ミキシングサービスの取引量も大幅に増加（+135-150%）し、第一層の混乱を形成します。

· この段階は、最初の盗難行為との区別をつけるための緊急の「第一歩」行動を表しています。

第二段階：初期統合（第6-10日）

第二週に入ると、マネーロンダリング戦略は資金をより広範なエコシステムに流入させるのに役立つサービスにシフトします：

· KYC制限が少ない取引プラットフォーム（+37%）とCEX（+32%）が資金の流入を受け始めます。

· 第二層のミキシングサービス（+76%）のマネーロンダリング活動は低い強度で続きます。

· クロスチェーンブリッジ（例えばXMRt、+141%）は、資金のブロックチェーン間の流動を分散し隠すのに役立ちます。

· この段階は、資金が潜在的な退出チャネルに向かい始める重要な移行期間です。

第三段階：ロングテール統合（第20-45日）

最終段階は、最終的に法定通貨や他の資産に交換できるサービスに明らかに傾いています：

· KYC不要の取引プラットフォーム（+82%）と担保サービス（例えばポテト担保、+87%）の使用量が顕著に増加します。

· 即時取引プラットフォーム（+61%）や中国語プラットフォーム（例えば汇旺、+45%）が最終的な交換ポイントとなります。

· CEX（+50%）も資金を受け入れ、合法的な資金と混ぜようとする複雑な試みが存在することを示しています。

· 規制が少ない管轄区域、例えば中国語のマネーロンダリングネットワーク（+33%）やGrinex（+39%）などのプラットフォームがこのモデルを強化しています。

この通常45日間のマネーロンダリング操作ウィンドウは、法執行機関やコンプライアンスチームに重要な情報を提供します。このパターンは数年にわたり持続しており、北朝鮮ハッカーが操作上の制約に直面していることを示しており、これは彼らが金融インフラにアクセスする手段が限られていることや、特定の仲介者と調整する必要があることに関連している可能性があります。

これらのハッカーが常にこの正確なタイムラインに従うわけではありませんが------盗まれた資金の一部は数ヶ月または数年休眠することがあります------このパターンは、彼らが積極的にマネーロンダリングを行う際の典型的なチェーン上の行動を表しています。さらに、特定の活動（例えばプライベートキーの移転や場外暗号通貨の法定通貨への交換）は、証拠情報がない限りチェーン上で見えないため、この分析には盲点が存在する可能性があることを認識する必要があります。

個人ウォレットの盗難：個人ユーザーへの脅威が増大

チェーン上のパターンの分析や被害者および業界パートナーの報告を通じて、個人ウォレットの盗難の深刻さを理解することができますが、実際に盗まれた数ははるかに多い可能性があります。最低でも、2025年の個人ウォレットの盗難による価値損失は総損失の20%を占め、2024年の44%から減少しました。これは、規模とパターンの両方で変化があったことを示しています。2025年の盗難事件の総数は15.8万件に急増し、2022年の記録である5.4万件のほぼ3倍に達しました。被害者数は2022年の4万人から2025年には少なくとも8万人に増加しました。これらの顕著な増加は、暗号通貨のより広範な採用によるものと考えられます。例えば、最も多くのアクティブな個人ウォレットを持つブロックチェーンの1つであるSolanaでは、盗難事件の数が圧倒的に多く（約2.65万人の被害者）、その盗難事件数は際立っています。

しかし、事件と被害者の数が増加しているにもかかわらず、2025年に単一の被害者から盗まれたドルの総額は2024年のピークである15億ドルから7.13億ドルに減少しました。これは、攻撃者のターゲットユーザーが増加しているが、各被害者の盗まれた金額が減少していることを示しています。

特定のネットワークの被害データは、どの分野が暗号ユーザーに対して最大の脅威をもたらしているかについてのさらなる洞察を提供します。下の図は、各ネットワークのアクティブな個人ウォレットに対する調整後の被害データを示しています。2025年の10万ウォレットあたりの犯罪率で測定すると、イーサリアムとトロンの盗難率が最も高いです。イーサリアムの膨大なユーザー規模は、その盗難率と被害者数が高いことを示しており、トロンのランキングは、アクティブなウォレット数が少ないにもかかわらず、盗難率が依然として高いことを示しています。対照的に、BaseとSolanaはユーザー基盤が大きいにもかかわらず、被害率は低いです。

これは、暗号エコシステムにおける個人ウォレットのセキュリティリスクが均等ではないことを示しています。技術的なアーキテクチャが類似していても、異なるブロックチェーンの被害率には差があり、これは技術的要因に加えて、ユーザー群の特性、人気のアプリケーション、犯罪インフラなどの要因が盗難率を決定する上で重要な役割を果たしていることを示しています。

DeFiハッキング攻撃：分化したパターンが市場の変化を示唆

DeFi分野の2025年の犯罪データは、歴史的な傾向とは明らかに異なる独特のパターンを示しています。

データは3つの全く異なる段階を示しています：

· 第一段階（2020-2021年）：DeFi TVLとハッキング攻撃の損失が同時に増加

· 第二段階（2022-2023年）：両指標が同時に減少

· 第三段階（2024-2025年）：TVLが回復する一方で、ハッキング攻撃の損失は安定している

最初の2つの段階は直感的なパターンに従っています：直面するリスクの価値が大きいほど、盗まれる価値も大きくなり、ハッカーは高価値のプロトコルに対する攻撃を強化します。銀行強盗のウィリー・サットンが言ったように、「そこにお金があるからだ。」

これにより、第三段階の違いがより顕著になります。DeFi TVLは2023年の低点から大幅に回復しましたが、ハッキング攻撃による損失はそれに伴って増加していません。数十億ドルがこれらのプロトコルに戻ってきたにもかかわらず、DeFiハッキング攻撃事件は依然として低水準を維持しており、これは重要な変化を示しています。

以下の2つの要因がこの違いを説明するかもしれません：

· セキュリティの向上：TVLが増加し続ける一方で、ハッキング攻撃率が低下し続けていることは、DeFiプロトコルが2020-2021年の期間よりも効果的なセキュリティ対策を実施している可能性を示しています。

· 目標の移行：個人ウォレットの盗難と中央集権サービスへの攻撃事件の同時増加は、攻撃者の注意が他のターゲットに移っている可能性を示唆しています。

ケーススタディ：Venusプロトコルのセキュリティ対応

2025年9月に発生したVenusプロトコル事件は、改善されたセキュリティ対策が実際の効果を生んでいることを示しています。当時、攻撃者は侵害されたZoomクライアントを利用してシステムへのアクセスを取得し、ユーザーに1300万ドルのアカウントの委任権限を付与させるように仕向けました。この状況は壊滅的な結果をもたらす可能性がありましたが、Venusはちょうど1ヶ月前にHexagateのセキュリティ監視プラットフォームを有効にしていました。

このプラットフォームは攻撃が発生する18時間前に疑わしい活動を検出し、悪意のある取引が発生するとすぐに別の警告を発しました。20分以内に、Venusはそのプロトコルを一時停止し、資金の流れを阻止しました。この調整の取れた反応は、DeFiセキュリティの進化を示しています：

· 5時間以内：セキュリティチェックが完了した後、一部機能が復元されます。

· 7時間以内：攻撃者のウォレットが強制清算されます。

· 12時間以内：盗まれた資金がすべて回収され、サービスが復元されます。

特に注目すべきは、Venusが攻撃者が依然として制御している300万ドルの資産を凍結するためのガバナンス提案を通過させたことです。攻撃者は利益を得ることができず、逆に資金を失いました。

この事件は、DeFiセキュリティインフラが実質的に改善されたことを示しています。積極的な監視、迅速な対応能力、そして果断に行動できるガバナンスメカニズムが組み合わさることで、全体のエコシステムがより柔軟で弾力性のあるものになっています。攻撃は依然として発生していますが、攻撃を検出し、対応し、さらには逆転させる能力は、初期のDeFi時代に成功した攻撃がしばしば永久的な損失を意味していた状況と比べて、根本的な変化をもたらしました。

2026年以降への影響

2025年のデータは、北朝鮮が暗号業界に対する最大の脅威としての複雑な進化の様子を示しています。この国の攻撃回数は減少していますが、破壊力は大幅に増加しており、手段がますます巧妙で忍耐強くなっていることを示しています。Bybit事件がその年間活動パターンに与えた影響は、北朝鮮が重大な盗難を成功させた際に行動のペースを落とし、マネーロンダリングに焦点を当てることを示しています。

暗号業界にとって、この進化は高価値のターゲットに対する警戒を強化し、北朝鮮特有のマネーロンダリングパターンを識別する能力を向上させることを要求します。彼らが特定のサービスタイプや送金額に対して持続的な好みを示していることは、他の犯罪者と区別するための検出の機会を提供し、調査者がそのチェーン上の行動特性を識別するのに役立ちます。

北朝鮮が暗号通貨盗難を利用して国家の優先事項を資金調達し、国際制裁を回避し続ける中で、暗号業界は北朝鮮の運営が典型的なネット犯罪者とは全く異なることを認識する必要があります。北朝鮮の2025年の記録的な成果（既知の攻撃が74%減少した状況で）は、現在見えている活動の最も明白な部分だけである可能性を示しています。2026年の課題は、北朝鮮が再びBybit規模の攻撃を仕掛ける前に、これらの行動を検出し阻止する方法です。