朝鮮

Cointelegraph の報道によると、サイバーセキュリティ会社 CrowdStrike が発表した報告書は、2025 年に北朝鮮のハッカーと脅威行為者によって引き起こされる暗号資産の損失が 20 億ドルを超え、前年比 51% 増加すると示していますが、攻撃の回数は減少しています。CrowdStrike は、北朝鮮のハッカーが暗号通貨ユーザーに対する最大の脅威組織であり、盗まれた資金はほぼ確実にこの政権の軍事計画を資金提供するために使用されていると述べています。攻撃者は高価値のターゲットを優先的に狙い、主に Web3 プロジェクトと暗号通貨取引所を対象としています。なぜなら、盗まれた資金は匿名で現金化および移転しやすいからです。今年の 4 月、イーサリアム財団は 100 名の北朝鮮のハッカーを特定し、Drift Protocol が北朝鮮の技術者によって侵入され、2.8 億ドルの損失を引き起こしました。これらの脅威行為者は、第三者の仲介を通じて対面での関係を構築しています。

Web3 セキュリティ会社 CertiK は『Skynet 北朝鮮暗号脅威報告書』を発表しました。データによると、2016 年から現在まで、北朝鮮のハッカー組織は約 675 億ドルのデジタル資産を略奪してきました。2025 年だけで、その盗難事件による損失は 206 億ドルに達し、世界の暗号業界全体の年間総損失の約 60% を占めています（その中には 15 億ドルの Bybit 盗難事件が含まれています）。2026 年初頭まで、この脅威の傾向は続いており、損失の割合は約 55% です。報告書は、北朝鮮のハッカーの攻撃パターンが根本的に変化していることを強調しており、単なるコードの脆弱性の利用から、社会工学、深層サプライチェーン攻撃、そして「物理的浸透」を組み合わせた国家レベルの攻撃体系へと進化しています。最近の Drift プロトコル事件では、攻撃者は半年間オフラインの業界会議に潜伏し、実際の資金と人間関係を通じて信頼を築いた後に攻撃を実行しました。CertiK のセキュリティ専門家は、このレベルの体系的な攻撃に直面した場合、単純な技術的防御線はもはや弱体化していると警告しています。暗号機関は「ゼロトラスト」採用モデルを全面的に実施し、第三者のサプライチェーンを強化し、資金のサーキットブレーカーを設定し、専門のセキュリティ機関と連携してコード監査、24 時間リスク監視、オンチェーンのマネーロンダリング防止/KYT（取引を知る）資金追跡をカバーする全ライフサイクル防御体系を構築する必要があります。

アメリカのマンハッタン連邦裁判所の裁判官マーガレット・ガーネットは、AaveがrsETH攻撃事件後の資産回復計画を進めることを承認し、以前にArbitrumで凍結されていた約7100万ドルのETHをAaveが管理するウォレットに移転することを許可しました。裁判所の文書によると、この決定は以前のArbitrum DAOに対する差止命令を修正し、コミュニティがオンチェーンガバナンス投票を通じてETHの移転を完了できるようにし、投票および移転の実行に関与する者の法的責任を免除しました。この事件は4月に発生したrsETH攻撃事件に起因しており、関連する攻撃は広く北朝鮮に関連するラザルスグループに起因するとされています。以前、北朝鮮のテロリズムの被害者家族を代表する弁護士は、関連資産の凍結を主張し、約8.77億ドルの未払い判決の賠償範囲に含めることを試みました。Arbitrumコミュニティは、Snapshotでの温度チェック投票で凍結されたETHをAave回復計画に返還することを高票で支持しましたが、実際の移転は正式なオンチェーンガバナンスの承認が必要です。報道によれば、この案件はアメリカの関連原告が北朝鮮に関連する暗号資産を追求する行動の一部でもあります。Arbitrumの他に、原告は以前にプライバシー協定のRailgun DAOを訴え、Digital Currency Group（DCG）を被告の一つとして挙げ、関連するガバナンスおよび経済活動に関与したと主張しています。

OpenSourceMalwareの研究によると、北朝鮮のハッカー集団Lazarusは「感染性面接」や「TaskJacker」などの開発者を狙った悪意のある活動に新しい手法を採用し、第二段階のローダーをGit Hooksのpre-commitスクリプトに隠しています。「感染性面接」は、この組織が偽の暗号通貨/DeFi分野の採用プロセスを通じて、開発者を悪意のあるコードリポジトリをクローンさせる一連の攻撃活動であり、最終的に暗号資産や資格情報を盗みます。研究者は、面接プロセスの一環としてコードリポジトリをクローンするよう求められた開発者に対し、このようなリスクに警戒するように勧めており、個人のブラウザ設定、SSHキー、暗号ウォレットをマウントしないように、隔離された環境で実行することを推奨しています。

FinanceFeeds の報道によると、北朝鮮の被害者弁護士はマンハッタン連邦裁判所の公聴会前に、Aave で発生した rsETH 攻撃事件を「盗難」ではなく「詐欺」と再定義し、7100 万ドル相当の ETH の差し押さえ命令を維持しようとしています。弁護士は、攻撃者が無価値な担保を利用して資産を借り入れ、返済しなかったことは詐欺的な貸付取引に該当し、これらの差し押さえ資産をテロリズム判決の賠償に充てることを目的としていると主張しています。以前、Lazarus Group に関連するハッカーはクロスチェーンブリッジの脆弱性を利用して無担保の rsETH を鋳造し、Aave から約 2.3 億ドルの資産を借り入れ、そのうち7100 万ドルが Arbitrum の開発者によって押収されました。被害者弁護士は同時に Aave の抗弁資格に疑問を呈し、そのサービス利用規約がユーザー資産に対する管理権を持たないと指摘しました。さらに、DeFi United は 3.27 億ドルの資金を調達しており、今回の論争の金額を上回っています。

CoinDesk の報道によると、Drift Protocol は 4 月 1 日に約 2.95 億ドルのセキュリティ脆弱性に対するユーザー回復計画を発表しました。この攻撃は北朝鮮支援のハッカー組織に起因しています。回復計画の核心は、確認されたユーザーの損失を表すレシートトークンを発行することであり、各トークンは 1 ドルの確認された損失を表します。保有者は、時間の経過とともに蓄積される回復プールの価値に基づいて償還することができます。回復プールの初期資金は約 380 万ドルで、取引所の収入から最大 1.275 億ドル、Tether の支援およびパートナーから最大 2000 万ドルなどの方法で増加することが期待されており、約 2.954 億ドルの総損失をカバーするまで成長します。Drift は約 336 万ドルの USDC を凍結し、資産回収の 10% に対する公開報奨金を開始しました。Drift は第2四半期に「安全優先」の取引所で再上場する予定です。法的な回収作業はまだ進行中です。

CoinDeskの報道によると、Rippleは月曜日に暗号業界の脅威インテリジェンス共有組織Crypto ISACに対して、北朝鮮のハッカーに関する内部情報を共有することを発表し、企業が協調的な浸透行動を識別するのを助けることを目的としています。この動きの背景には、暗号業界が最近直面している攻撃パターンの変化があります。Rippleは「最も強力な暗号セキュリティ状況は情報の共有です。ある会社が背景調査を通過していない脅威行為者が、同じ週に別の三社に履歴書を送ることがあります。情報を共有しなければ、各社はゼロから始めることになります」と述べています。

The Blockの報道によると、北朝鮮は外部からの暗号資産盗難への関与に関する非難を否定し、関連する主張を「荒唐無稽な中傷」および「政治的道具」と表現した。この声明は公式メディアによって発表され、国家利益を守るために必要な措置を講じることを強調している。しかし、ブロックチェーン分析機関TRM Labsのデータによると、北朝鮮に関連するハッカーグループは約5.77億ドルを盗んでおり、これは同期間の世界的な暗号盗難損失の約76%を占めている。その中にはKelpDAO（約2.92億ドル）とDrift Protocol（約2.85億ドル）に対する2件の重大な攻撃事件が含まれている。TRMは、関連する攻撃が主にLazarus Groupおよびその子組織に関連していると指摘している。2017年以降、北朝鮮に関連する暗号盗難の累計規模は60億ドルを超えている。アメリカおよび国際機関は、このような資金が軍事およびミサイルプロジェクトの支援に使用されていると広く考えている。一方、アメリカ財務省は最近、関連する個人および団体に対して制裁を実施しており、2024年に約8億ドルの違法資金の流出に関与している。

MegaETHの管理者PaperImperiumは、Xプラットフォームでニューヨーク南区連邦裁判所の文書を公開し、アメリカの裁判所がArbitrum DAOに対して、KelpDAOのハッキング事件で凍結された約7100万ドルのETH資産を移転しないようにという禁制令を出したことを示しました。原告側は、この資金を北朝鮮に対するテロリズム、誘拐などの案件に関する未払いの判決賠償を執行するために使用しようとしており、Arbitrum DAOに対して法的通知を代替送達方式で発出するよう申請し、これを責任を追及できる「パートナー組織」と見なしています。裁判所の文書はまた、Arbitrum DAOがARB保有者によって運営されるセキュリティカウンシルを設置しており、緊急時に行動を取る能力を持っていることを指摘しています。そのため、関連メンバーが協力を拒否した場合、法廷侮辱などの法的責任を負う可能性があります。市場は、この事件がアメリカの司法制度がDAOのガバナンス構造を直接制約する重要なケースとなる可能性があり、DeFiプロトコルが現実の法的枠組みの下でのコンプライアンスの圧力をさらに浮き彫りにすることを示唆しています。

MegaETHの管理者PaperImperiumは、Xプラットフォームでニューヨーク南区連邦裁判所の文書を公開し、アメリカの裁判所がArbitrum DAOに対して、KelpDAOハッキング事件で凍結された約7100万ドルのETH資産を移転しないようにという禁制令を出したことを示しました。原告側は、この資金を北朝鮮に対するテロリズムや誘拐などの案件に関する未払い判決の賠償を実行するために使用しようとしており、Arbitrum DAOに対して法律通知を代替送達方式で発出するよう申請しました。これにより、Arbitrum DAOを責任を追及できる「パートナー組織」と見なしています。裁判所の文書はまた、Arbitrum DAOにはARB保有者によって運営されるSecurity Councilが設置されており、緊急時に行動を取る能力があることを指摘しています。そのため、関連メンバーが協力を拒否した場合、法廷侮辱などの法的責任を負う可能性があります。市場は、この事件がアメリカの司法制度がDAOのガバナンス構造に直接的に制約をかける重要な事例となる可能性があると考えており、DeFiプロトコルが現実の法的枠組みの下でのコンプライアンス圧力をさらに浮き彫りにすることを示しています。

TRM Labs の最新レポートによると、北朝鮮のハッカーは Drift Protocol と Kelp DAO の攻撃事件で、約 6 億ドル相当の暗号通貨を盗み、総損失の 76% を占めています。TRM Labs は、2017 年以来、北朝鮮に関連するハッカーが暗号プロトコルやプロジェクトから 60 億ドル以上を盗んだと推定しています。レポートによると、北朝鮮のハッカーによる損失は、世界の暗号通貨ハッキング攻撃による損失の中での割合が、2020 年と 2021 年の 10% 未満から 2022 年の 22%、2023 年の 37%、2024 年の 39%、そして 2025 年の 64% に増加しています。

北朝鮮のハッカーは、Drift Protocolを攻撃する前に、数ヶ月間その従業員とオフラインで接触し、浸透していました。最終的に、暗号業界史上最大規模のソーシャルエンジニアリング攻撃の一つを実施し、約2.85億ドルの損失を引き起こしました。ブロックチェーンセキュリティ会社TRM Labsのデータによると、2026年現在、北朝鮮のハッカーは全ての暗号通貨ハッカーによる損失の76%を占めています。

ブロックチェーン情報機関 TRM Labs の最新レポートによると、世界の暗号通貨ハッキングによる損失の約 76% が北朝鮮関連の組織に関係しており、累計で約 5.77 億ドルが盗まれています。北朝鮮の世界的な暗号盗難における占有率は継続的に上昇しています：2022 年は 22%、2023 年は 37%、2024 年は 39%、2025 年は 64% に上昇し、2026 年にはさらに 76% に達します。2017 年以来、累計で不法に得た利益は 60 億ドルを超えています。レポートは、これらの損失が主に 4 月の二つの重大な事件から来ていることを指摘しています：KelpDAO が遭遇した 2.92 億ドルの攻撃と、Drift Protocol が盗まれた 2.85 億ドルの事件で、これら二つの攻撃は同期間の全ハッカー事件の約 3% を占めています。

ネットセキュリティ会社Expelの研究報告によると、同社は北朝鮮（DPRK）国家支援のAPT組織「HexagonalRodent」を追跡しており、この組織はWeb3開発者を主なターゲットとして、高価値のデジタル資産である暗号通貨やNFTを専門に盗む活動を行っています。この組織は主に偽の求人情報を通じて攻撃を実施しています------LinkedInやWeb3求人プラットフォームに高給の職を掲載し、求職者を誘導して埋め込まれた悪意のあるコードを含む「スキルテスト」を完了させ、VSCodeのtasks.json機能を利用して被害者がプロジェクトフォルダーを開くと自動的に悪意のあるプログラムを実行します。使用されるマルウェアにはBeaverTail、OtterCookie、InvisibleFerretが含まれ、パスワード窃取、リモートコントロール、リバースシェルなどの機能を備えています。注目すべきは、この組織がChatGPT、Cursorなどの生成AIツールを大量に利用して悪意のあるソフトウェアを開発し、偽の会社ウェブサイトやAI生成の経営陣を構築していることです。さらに、メキシコにペーパーカンパニーを登録して攻撃の信頼性を高めています。また、この組織は最近、初めてサプライチェーン攻撃を実施し、VSCode拡張を成功裏に侵入しました。

CoinDeskによると、CertiKの監視によれば、Lazarusグループは金融テクノロジーおよび暗号通貨業界の幹部を対象に「Mach-O Man」と呼ばれる攻撃を展開しています。この操作はClickFixのソーシャルエンジニアリング技術を利用し、虚偽のオンライン会議招待を送信することで、被害者にMac端末で修復指令を貼り付けさせ、会社および財務システムへのアクセス権を取得します。CertiKの研究者ナタリー・ニューソンは、Lazarusグループが過去2週間でDriftとKelpDAOを通じて5億ドル以上を盗んだと述べています。Mach-O ManはLazarusグループの傘下にあるChollima部門によって開発されたモジュラーmacOSマルウェアツールキットで、使用後に自動的に削除され、検出を回避します。さらに、攻撃者はDeFiプロジェクトのドメイン名をハイジャックし、虚偽のCloudflareメッセージに置き換える方法でこの攻撃を実施しています。

イーサリアム財団は最近、ETH Rangersセキュリティプロジェクトのまとめ報告を発表し、6ヶ月間のセキュリティ助成プログラムで、研究者が約100名の国家資金提供を受けたネットワーク活動者を特定したことを明らかにしました。その中には、北朝鮮からの侵入者が含まれており、複数のWeb3プロジェクトで活動しています。報告書によると、関連調査は「Ketman Project」などのプロジェクトを通じて進められ、研究者は約53のブロックチェーンプロジェクトに警告を発し、これらの人物が偽の身分で開発チームに侵入し、資金の流れや技術職に関与していることを明らかにしました。同時に、一部の関連資金は凍結され、規模は数十万ドルに達しています。セキュリティチームは、関連情報をLazarus Groupの脅威分析システムに組み込み、DEF CONなどのセキュリティ会議で公開し、国家レベルのサイバー攻撃が暗号業界のインフラに持続的に浸透していることを示しています。全体的な成果として、このプログラムは累計で580万ドル以上の資金を凍結または回収し、報告または記録された脆弱性は785件を超え、36件のセキュリティ事件を処理しました。これは、現在のイーサリアムエコシステムが直面しているセキュリティ脅威が単なる脆弱性攻撃から、国家レベルの行為者を含む体系的リスクに進化していることを示しています。さらに、報告書は、北朝鮮関連のハッカーが「リモートITワーカー」などの方法でプロジェクトに侵入し、アカウントの乗っ取り、フリーランスプラットフォームへの侵入、資金移動などのさまざまな攻撃経路に関与していることを指摘し、業界の重点防止対象となっています。イーサリアム財団は、分散型ネットワークのセキュリティには「分散型防御」が必要であると強調し、今後もセキュリティ研究、脅威情報、そして人材育成を継続的に支援し、不断に進化する国家レベルのサイバー脅威に対処していくとしています。

Cointelegraph の報道によると、イーサリアム財団は、資金提供した Ketman プロジェクトが 6 ヶ月以内に Web3 組織に潜伏している北朝鮮の IT 人員 100 名を特定し、約 53 のプロジェクトに警告を発したと述べています。これは、関連する人員を雇用している可能性があることを示しています。このプロジェクトは、暗号業界における「偽の開発者」の問題に焦点を当てており、ETH Rangers 公共安全資金提供プログラムの一部です。Ketman は、疑わしい GitHub 活動を特定するためのオープンソースの検出ツールも開発し、Security Alliance と共同で北朝鮮の IT 人員を特定するための業界識別フレームワークの策定にも参加しています。

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

暗号業界に対する盗作の浸透と攻撃が続く中、セキュリティ専門家は、その背景にある他国のハッカーとの核心的な違いは、暗号資産がその国の軍事費を維持するための重要な直接的な資金源となっていることだと指摘しています。報道によると、最近の Drift Protocol に対する数ヶ月にわたる浸透行動の中で、北朝鮮のハッカーが再び業界に衝撃を与えました。専門家は、このモデルは単なる「資金移転ツール」ではなく、直接的な「略奪的利益」であり、国際制裁を回避し、即座に使用可能なハードカレンシー資金を得るために使用されると述べています。セキュリティ研究者は、ロシアやイランなどの国々とは異なり、北朝鮮は持続可能な対外経済や商品輸出能力がほとんどないため、核兵器や弾道ミサイル計画を支えるための主要な収入源として暗号盗難に依存していると指摘しています。専門家はさらに、北朝鮮のハッカーの攻撃対象が単純なフィッシングから取引所、ウォレットサービス、DeFiプロトコルの重要な権限を持つ者に拡大しており、長期間のソーシャルエンジニアリングや身分偽装の浸透手段を広く採用していると強調しています。ブロックチェーン取引の「一度確認されると不可逆」である特性により、暗号業界は資金の凍結や回収において伝統的な金融システムよりもはるかに弱く、このような攻撃は速度と規模においてより破壊的です。セキュリティ専門家は、このような「長期潜伏＋精密な権力奪取」の攻撃モデルは、業界によってまだ効果的に解決されていないと警告しています。

ZachXBT の報告によると、匿名の情報源が北朝鮮内部の決済サーバーから盗まれたデータを共有し、390 のアカウント、チャット履歴、暗号通貨取引情報を含んでいます。関連する決済ウォレットアドレスは、2025 年 11 月末から現在までに 350 万ドル以上を受け取っており、資金は取引所を通じて引き出されるか、Payoneer などのプラットフォームを介して法定通貨に換金され、中国の銀行口座に入金されています。オンチェーンの追跡によると、内部決済アドレスは既知の北朝鮮の IT 労働者グループと関連があり、その中の一つの Tron 決済アドレスは 2025 年 12 月に Tether によって凍結されました。ユーザーリストに含まれる三つの関連会社は OFAC によって制裁を受けており、Sobaeksu も含まれています。ZachXBT は完全な組織構造図を整理しており、データの範囲は 2025 年 12 月から 2026 年 2 月までをカバーしています。