## 北朝鮮ハッカーがデータにアクセスして記録更新：2025年の暗号盗難が歴史的水準に

暗号業界は2025年、北朝鮮によるサイバー攻撃の脅威に直面し続けた。チェーン分析企業の調査によると、北朝鮮ハッカーは今年、少ない攻撃回数でより大きな打撃を与える戦術に転じ、過去最高の盗難規模を記録した。この変化は、攻撃者がセキュリティの隙をより精密に狙い、その侵入手法がより巧妙化していることを示唆している。

### 記録的な盗難額：質から量への転換

2025年1月から12月初旬にかけて、暗号エコシステムから盗まれた総額は34億ドルを超え、その中核を占めたのが北朝鮮に関連するハッカーグループだ。同年に盗まれた暗号資産は最低でも20.2億ドルに達し、2024年比で51%の増加となった。

注目すべきは、攻撃の件数は減少しているにもかかわらず、盗難額が大幅に増加している点である。これは北朝鮮ハッカーの戦術が変わったことを意味している。以前は多数の小規模な侵入を試みていたが、現在はより限定的な高価値ターゲットへの集中的な攻撃に転換している。その結果、北朝鮮による累計盗難総額は67.5億ドルに到達し、暗号史上最大級となった。

2025年の盗難事件の上位3件だけで、全体の69%を占めている。最大規模の単一インシデントと平均的なハッキングの損失額の差は、かつてないほど拡大し、1000倍の幅に達した。これは2021年のブルマーケット最盛期さえも上回る極端な格差を示している。

### 攻撃手法の進化：IT職員への潜入から経営層への詐欺へ

北朝鮮ハッカーの攻撃方法は単純な内部潜入にとどまらず、より高度な社会工学的手法へと発展している。

従来、彼らはITスタッフとして企業内に浸透し、特権アクセスを獲得するという手段を用いていた。しかし最近の活動から、この戦術が根本的に変わったことが明らかになった。現在のグループは、大手Web3企業やAI企業の採用担当者になりすまし、虚偽の採用プロセスを構築している。被害者が「技術面接」に進むと、ハッカーはログイン認証情報、ソースコード、VPNアクセス、シングルサインオン（SSO）認証を要求する。一度こうした機密情報を入手すれば、システム全体への侵入経路が確保される。

さらに危険な傾向として、経営層を狙ったソーシャルエンジニアリング攻撃も報告されている。虚偽の戦略投資家や買収企業の代理人になりすまし、デューデリジェンス会議と称した打ち合わせを通じて、システム情報や重要インフラの詳細を探ろうとしている。

このような進化する攻撃パターンは、北朝鮮のグループが単なる犯罪集団ではなく、国家支援の組織であり、戦略的に重要な企業をターゲットとしていることを示唆している。

### マネーロンダリングの独自パターン：45日サイクルの秘密

北朝鮮ハッカーは盗んだ資金を処理する際に、他の犯罪グループとは全く異なるパターンを示している。その活動を分析すると、盗難後から資金が最終的に法定通貨に変換されるまでのプロセスは、約45日間の一貫したサイクルに従っていることが判明した。

**初期段階（盗難後0～5日）**

攻撃直後の混乱期において、盗まれた資金はDeFiプロトコルへの流入が370%増加する。同時にミキシングサービスの利用も135～150%跳ね上がり、資金の追跡を困難にする「第一層」が形成される。この時期は、盗難の痕跡を急速に隠蔽することが優先される。

**中期段階（6～10日目）**

資金がエコシステム全体に分散される段階では、確認不要の取引プラットフォームや中央集権取引所（CEX）への流入が始まる。これらのサービスの利用額は37～32%増加する。クロスチェーンブリッジを用いて異なるブロックチェーン間での移転も活発化し、資金の追跡がさらに複雑になる。

**最終段階（20～45日目）**

この段階では、資金が確認不要プラットフォーム、担保サービス、中国語のマネーロンダリングネットワークへと流入する。ここで資金は法定通貨への最終的な交換が行われると考えられている。

北朝鮮グループが特に好む手法として、中国語の資金移転サービスと担保機関（利用率が355～1000%以上増加）の利用が顕著である。これは、彼らが東アジアのアンダーグラウンド金融ネットワークと緊密に結びついていることを示唆している。対照的に、DeFi貸付プロトコルやP2P取引プラットフォームの利用率は他のハッカーグループと比べて大幅に低い。

このパターンの一貫性は、北朝鮮がマネーロンダリングプロセスに対して高度に組織化されたアプローチを取っており、特定の仲介者や規制が緩い管轄区域に依存していることを示している。

### 個人ウォレットの被害が急増：暗号ユーザーへの警告

個人レベルでの暗号盗難は、2025年に前例のないペースで増加した。盗難件数は15万8000件に達し、2022年の5万4000件からほぼ3倍に跳ね上がった。被害者数も4万人から少なくとも8万人へと倍増している。

この増加は暗号通貨の採用拡大と平行しており、より多くの一般ユーザーが暗号資産を保有するようになったことを反映している。特にSolanaブロックチェーンでは、約2万6500人の被害者を記録し、盗難件数が際立って多い。

興味深い点は、件数は増加しているものの、1件あたりの被害額は減少しているということだ。2024年の被害総額が15億ドルであったのに対し、2025年は7.13億ドルにとどまっている。つまり、攻撃者がターゲットユーザー層を拡大させる一方で、各被害者からの盗難額は平均的に縮小しているということである。

ネットワーク別の被害率を調査すると、イーサリアムとTRONの盗難リスクが最も高く、10万ウォレットあたりの犯罪率で測定すると両者が突出している。対照的に、BaseとSolanaは大規模なユーザーベースを抱えながらも被害率は相対的に低い。これは、単なるユーザー数ではなく、ネットワーク上のアプリケーション環境、ユーザー属性、犯罪インフラの存在といった複数の要因が盗難リスクを決定していることを示唆している。

### DeFi分野に見える希望：セキュリティ投資の効果

2024年から2025年にかけて、DeFi分野の傾向は過去の常識を打ち破った。DeFiのロック価値（TVL）が過去最低水準から大幅に回復したにもかかわらず、ハッキングによる損失は安定した低水準を維持しているのだ。

歴史的には、リスク資産の規模が増えば増えるほどハッキングによる損失も増えるというパターンが一般的だった。2020年から2021年はこの傾向を示していたし、2022年から2023年の低迷期も同じ相関性が見られた。しかし、2024年から2025年の回復局面では、この常識が成り立たなくなった。

この変化は、DeFiプロトコルが取り組んできたセキュリティ強化が実質的な効果を生み出していることを強く示唆している。プロトコルチームによる監視体制の強化、リアルタイム検知システムの導入、迅速な対応メカニズムの構築が、攻撃の実行率を低下させている。

**ケーススタディ：Venusプロトコルの防御成功**

2025年9月のVenusプロトコル事件は、改善されたセキュリティシステムの有効性を実証した。攻撃者はZoomクライアントの侵害を通じてシステムアクセスを獲得し、ユーザーに1300万ドルの委任権を承認させようとした。

しかしVenusはこの事件の1ヶ月前にセキュリティ監視システムを導入していた。システムは攻撃開始前18時間の時点で異常を検知し、悪意のある取引時に即座にアラートを発した。これにより、以下の対応が可能になった：

- **20分以内**：プロトコルを緊急停止し、資金流出を阻止
- **5時間以内**：セキュリティ確認後、部分機能を復旧
- **7時間以内**：攻撃者のポジションを強制清算
- **12時間以内**：盗まれた資金をすべて回収、サービス完全復旧

さらに注目すべきは、ガバナンスを通じて攻撃者がなお保有していた300万ドルの資産まで凍結したことだ。結果として、攻撃者は利益を得るどころか、資金を失う羽目になった。

このケースは、DeFiセキュリティが単なる技術的対策にとどまらず、監視、対応、ガバナンスが統合されたエコシステムへと進化していることを示している。

### データにアクセスする脅威の今後と対策

2025年のデータが明らかにしたのは、北朝鮮の脅威が質的に変化しているということだ。攻撃の件数は減ったが破壊力は増し、手法はより忍耐強く巧妙になっている。2月の大型事件がその年間パターンに与えた影響から、彼らが大規模盗難を成功させた後、一時的にペースを落としてマネーロンダリングに注力する傾向も見えてきた。

暗号業界にとっての課題は多岐にわたる。高価値ターゲットへの警戒強化、北朝鮮独有のマネーロンダリング手法の認識向上、そして45日サイクルという特有のパターン認識が重要になる。これらの特徴は、他の犯罪グループとの区別を可能にし、検知と対応の精度を高める機会を提供する。

国家制裁の回避手段として暗号盗難を継続する北朝鮮にとって、現在の活動は氷山の一角に過ぎない可能性も考慮する必要がある。2026年以降の最大の課題は、次の大規模攻撃に先制して対応できるか、という点に集約される。