北朝鮮が仮想通貨をハッキング：概要と防御策

北朝鮮が仮想通貨をハッキングする事例は、近年のブロックチェーン業界にとって大きなリスクとなっています。この記事では「北朝鮮が仮想通貨をハッキング」という観点から、代表的な事件の経緯、動機、手口、資金洗浄の方法、捜査・回収事例、業界と政府の対応、そして実務的な防御策までを整理します。読み終えることで、仮想通貨事業者や開発者、利用者が現実的に取るべき準備と対応が分かります。

（報道時点の注記：2025年以降の主要報道・セキュリティ企業報告を参照）

概要

北朝鮮が仮想通貨をハッキングしたとされる一連の事件は、取引所のホットウォレット、ブリッジ、DeFiプロトコル、カストディサービス、ソフトウェア供給網を標的に繰り返されています。報道・チェーン解析の集計によれば、2010年代後半以降の累積被害額は数十億ドル規模に上ると推定されています（出典：セキュリティ企業報告、報道機関の報告を参照）。

本文では主要事件を時系列で整理し、手口と追跡手法、業界が採るべき防御策を示します。

背景

動機と国家支援の議論

北朝鮮が仮想通貨をハッキングする理由として一般に指摘されるのは、国際制裁下での資金調達、外貨獲得、情報収集など実務的な目的です。複数の政府機関やセキュリティ企業は、これらの活動に国家的な支援や指示が関与している可能性を指摘しています。報道・公的発表では、特定のハッカーグループに国家機関との関連性が示唆されるケースが複数あります（報道例：米国の公開声明、セキュリティ企業レポート）。

（報道時点：各国政府声明・セキュリティ企業報告を参照）

仮想通貨が標的となる脆弱性

仮想通貨が繰り返し狙われる技術的・制度的理由は以下の通りです：

ホットウォレット運用の脆弱性：オンラインに接続された鍵管理を突かれれば短時間で資金移動が可能です。カストディアンの不適切なACLや複数署名の欠如が被害を拡大させます。
ソフトウェア供給網の弱点：サードパーティライブラリやCI/CD、外注ツールが侵害されると、広範囲に渡る感染やバックドア設置が可能です。
プライバシーツールとトークン間スワップ：盗難資金はミキサーやプライバシートークン、DEXを経由して追跡困難化されます。
仕組みの匿名性：パーミッションレスなブロックチェーン上でのトランザクションは透明である一方、匿名化技術やオフチェーンのやり取りにより実態把握が難しくなります。

これらの脆弱性を突くのが、北朝鮮が仮想通貨をハッキングする活動の基本的構図です。

主要な攻撃事例

ここでは公開報道・専門家分析に基づく代表例を時系列で示します。被害額や帰属は報道により差異があるため、出典を明示して記載しています。

大手取引所での大規模流出（2025年2月 — 約15億ドル相当）

（報道時点：2025年2月、複数メディアおよびチェーン解析報告）

2025年2月に発生した大規模流出は、オフラインとされていた鍵管理の一部が悪用され、広範囲に資金が移動したとされます。チェーン解析は複数のトランザクションとラベル付けにより攻撃資金の移動経路を追跡し、複数のプライバシーツールや中継アドレスを経由したことを示しました。法執行機関とチェーン解析企業による共同追跡・凍結の試みが行われ、一部資金の凍結・回収が報告されていますが、完全な回収には至っていません（出典：セキュリティ企業レポート、政府発表）。

この事件は市場に短期的な価格変動や流動性懸念を与え、取引所のリスク管理強化の議論を促しました。

DMM関連の流出（2024年）

（報道時点：2024年、セキュリティレポート）

2024年に報告されたDMM系サービスの流出事案では、サードパーティの開発者環境が侵害され、そこから配布されたバイナリにマルウェアが混入したと指摘されています。追跡の過程で、盗難資金の一部がいくつかの匿名化ツールを経由して動かされた形跡が確認されました（出典：チェーン解析企業レポート）。

韓国・日本の取引所被害（Upbit 等の国別事例）

（報道時点：過去の公開事件を参照）

韓国や日本の複数の取引所が過去に被害を受けており、Upbitや日本の一部事案ではホットウォレットの不備や内部設定ミスが影響を拡大させました。いずれの事例でも、追跡・ラベリングによって資金流路が断片的に明らかになり、法執行機関と民間企業の協力による一部凍結例が報告されています。

小規模〜中規模事例と傾向

取引所以外にも、DeFiプロトコルやクロスチェーンブリッジ、ウォレットプロバイダ、スマートコントラクトの脆弱性を狙った攻撃が多数観測されています。共通点としては、次の傾向が挙げられます：

ブリッジ脆弱性の悪用による資金抜き取り
フロントエンド改ざんやフィッシングを通じたユーザー資金の窃取
開発者環境やCIの侵害によるサプライチェーン攻撃

これらは「北朝鮮が仮想通貨をハッキング」する活動の多様化を示しています。

主体（攻撃者）と属性の帰属

複数の報道・セキュリティ企業は、特定のハッカーグループ名を挙げて攻撃の帰属を試みています。代表的なグループ名と特徴は以下の通りです（出典：セキュリティ企業レポート、政府声明）。

Lazarus Group：長年にわたり高度な標的型攻撃や金融目的の侵害を行ってきたとされるグループ。マルウェアやサプライチェーン攻撃を使うことで知られます。
APT38：主に金融機関や決済インフラを狙うとされる別系統の活動が報告されています。
その他のタグ（UNCやTraderTraitor等）：調査企業が識別する攻撃キャンペーンを示すラベルで、ツールや戦術の類似性から分類されています。

帰属における手法と限界：

手法：マルウェアのコード類似性、インフラの再利用、作業時間帯や言語痕跡、資金移動パターン、技術的フォレンジックを総合して帰属が試みられます。
限界：攻撃者は偽装やインフラの借用（プロキシ）を行うため、確定的帰属には慎重さが必要です。セキュリティ企業や政府の声明は、証拠の提示方法と範囲が異なる場合があります。

手口（攻撃手法とツール）

北朝鮮が仮想通貨をハッキングする事例で確認される主要な手口は以下です（出典：WIRED、セキュリティベンダー報告）。

ソーシャルエンジニアリング / スピアフィッシング：組織内の担当者を狙ったフィッシングメールや偽装求人、偽のサポート連絡で認証情報や権限を奪取します。
マルウェア：AppleJeusやRN Loader、PLOTTWIST、TIEDYE 等の既知マルウェア名が報告されています。これらはバックドア、キーロガー、リモートアクセスの機能を持ちます。
サプライチェーン攻撃：サードパーティのライブラリやプラグイン、CIパイプラインを侵害して正規ソフトウェアに悪意あるコードを混入させる手口です。
内部者リスク：外注先やフリーランスの開発者、あるいは内部従業員を標的にした働きかけにより権限を不正取得するケースがあります。
偽アカウント／フロントエンド改ざん：公式ウェブやフロントエンドを偽装して秘密鍵やシードフレーズを詐取します。

これらは複合的に組み合わされ、短時間で大規模な資金移動が行われることが多い点が特徴です。

資金洗浄（マネーロンダリング）の方法

盗難資金は発見直後から追跡困難化のために多様な手段で移動されます。典型的な流れは次の通りです：

即時分割とマルチウォレット分散：単一のアドレスから多数の中継アドレスへ短時間で分散されます。
トークン間スワップ：ステーブルコインや匿名化トークン、ブリッジを介して形を変えます。
DEXとプライバシーツール：分散型取引所やミキサー（プライバシーツール）を使いトランザクションの追跡性を低下させます。
オフチェーン変換と法定通貨化：ピアツーピア取引やOTC、仲介者を使って法定通貨に変換します。

チェーン解析企業や法執行機関が用いる追跡手法：

アドレスのラベリング、ヒューリスティック分析、交換所のKYT（Know Your Transaction）情報、オンチェーンの相関解析などを組み合わせます。
成功例としては、早期発見と関係交換所の協力により一部資金を凍結・回収したケースがあります。限界としては、プライバシーツールやオフチェーン取引の増加により完全追跡は難しい点です。

市場・経済的影響

大規模な流出は以下のような市場・経済的影響を及ぼします：

価格変動と流動性リスク：市場心理が悪化し、対象資産や関連市場の価格に短期的なショックを与えることがあります。
取引所の信頼低下：管理体制の脆弱性が露呈すると利用者離れや出金制限の懸念が生まれます。
保険とリスク評価の変化：サイバー保険料の上昇、外部監査・コンプライアンス強化の圧力が高まります。

取引所対応の例としては、補填基金の使用、社内資金や借入によるユーザー補填、引き出し制限や一時停止が行われることがあります。業界としては資金管理方針や第三者監査、鍵管理の厳格化が進んでいます。

国際的・政策的対応

国際社会と業界は共同で対応を進めています。代表的な取り組みは以下です：

政府間協力：複数国の法執行機関と情報共有を行い、資金凍結や制裁対象の拡大が実施される場合があります（出典：各国の公式声明）。
公私パートナーシップ：チェーン解析企業、取引所、セキュリティベンダーによる情報共有の枠組みが形成されています（例：業界のISAC等）。
規制強化：KYC/AML要件の厳格化や取引所のオペレーション審査、インシデント報告義務化が進行しています。

これらの枠組みは、早期検知と資金の追跡・回収能力を高めることを目的としています。

捜査・回収努力と事後処理

法執行機関やチェーン解析企業は以下の手段で資金追跡・回収を試みます：

早期のトランザクション監視とラベリング
関係取引所への通報と凍結依頼（取引所の協力が鍵）
オフチェーンの仲介者やOTC業者の監視

成功例としては、盗難後まもなく動いた資金の一部が特定され、提携する取引所の協力で凍結・回収されたケースがあります。一方、プライバシーツールや分散型ルートを介した移転は回収が極めて困難です。

防御策とベストプラクティス

取引所・カストディアン・プロジェクト開発者向けに実務で推奨される対策を列挙します。これらは即時実行可能で、継続的な改善が前提です。

鍵管理の厳格化：コールドウォレットの割合を高め、多要素認証とハードウェア隔離を実施する。定期的な鍵ローテーションとアクセスログの厳密管理を行う。
サプライチェーンセキュリティ：外注先やライブラリ、CIパイプラインの監査、署名検証、サードパーティ監査を義務化する。ソフトウェアSBOM（ソフトウェア部品表）の整備を推奨。
従業員教育と内部統制：フィッシング訓練、最小権限モデル、定期的な権限レビューを実施する。
監視とインシデント対応：リアルタイムのトランザクション監視、異常検知ルール、事前のインシデント対応計画（IRP）と復旧演習を整備する。
外部監査と保険：定期的な第三者セキュリティ監査、サイバー保険の適正化を行う。

ユーザー向けの基本対策としては、個人ウォレットの秘密鍵管理、フィッシングメールの警戒、公式情報の確認、二段階認証の活用を徹底することが重要です。

※ 取引所の推奨：セキュリティ面での信頼構築を重視する場合、BitgetとそのBitget Walletの利用を検討してください。Bitgetはセキュリティ運用やユーザー保護に重点を置いた機能を提供しています。