金正恩の暗号資産窃盗は2025年に過去最高の20億ドルに達した

北朝鮮による年間の暗号資産窃盗は加速しており、金正恩の国家支援を受けたサイバー犯罪者たちは2025年に20億ドル強相当のトークンを略奪した。

これはブロックチェーン企業Chainalysisの調査によるもので、同社の専門家は、この数字が前年比51％増であり、世界全体で盗まれた総額34億ドルのうち非常に大きな割合を占めると述べている。

同社の報告書は、「これは盗まれた価値という点で、DPRK（北朝鮮）による暗号資産窃盗として記録上最も深刻な年であり、DPRKの攻撃はすべてのサービス侵害のうち過去最高の76％も占めた」と指摘した。

急増に大きく影響した要因は、北朝鮮が2月に行ったBybitへの攻撃で、約15億ドル相当のデジタル資産を得た。

この増加のもう一つの理由は、個人ウォレットを狙う動きが強まったことで、総額のほぼ半分（44％）を占めている点だ。2022年には、これは同国の活動のわずか7.3％に過ぎなかった。

北朝鮮は今年、およそ15万8,000件の個別ウォレット攻撃に関与し、8万人のユニークな個人に影響を与えた。

Chainalysisは、これは暗号資産投資への関心が高まっていることが背景にある可能性が高いと述べた。例としてSolanaを挙げ、Solanaに接続されたウォレットへの攻撃は被害者2万6,500人に上ったとしている。

総じて、金正恩の取り巻きは2025年の暗号資産窃盗における支配的勢力としての地位を固め、研究者が追跡を開始して以来、襲撃による総額は推定67億5,000万ドルに達した。

Chainalysisは次のように述べた。「既知の攻撃件数が74％少ない中で達成された同国の記録的な2025年の成果は、私たちがその活動の最も目に見える部分しか見ていない可能性を示唆している。2026年の課題は、DPRK関連のアクターがBybit級の事件を再び引き起こす前に、こうした高インパクトの作戦を検知し阻止することだ。」

IT労働者モデルの転用

北朝鮮は今年、中央集権型サービスへの攻撃の過去最高となる76％を担った。これは秘密鍵の侵害と、暗号資産サービス企業に熟練人材を潜り込ませようとする試みを継続することで成し遂げた。

偽のIT労働者を使って西側企業に潜入しようとする同国の取り組みはよく知られているが、今年は北朝鮮のIT部隊が、職を確保することから、暗号資産やその他のweb3系ビジネスの採用担当者を装う方向へとシフトしている。

そうすることで、偽の技術面接（テクニカルスクリーニング）を実施でき、その過程でアクセス権を得て最終的に認証情報やソースコードを盗み、応募者が現在勤務しているネットワークへのリモートアクセスも確保している。

報告書はさらにこう付け加えた。「経営層レベルでも、同様のソーシャルエンジニアリングの手口が、戦略的投資家や買収者を名乗る偽の接触という形で見られる。彼らはピッチミーティングや疑似的なデューデリジェンスを用いて、機微なシステム情報や高価値インフラへの潜在的な侵入経路を探る。これはDPRKのIT労働者詐欺作戦と、戦略的に重要なAIおよびブロックチェーン企業に焦点を当てる姿勢の延長線上にある進化だ。」

DeFiはもう終わり？

研究者の観察によれば、個人ウォレットと中央集権型サービスへの新たな注力が、従来の分散型金融（DeFi）プロトコルへの襲撃に取って代わりつつある。

web3の用語に馴染みのない人のために説明すると、DeFiプロトコルはブロックチェーン上に存在し、仲介者を必要とせずに、スマートコントラクトを用いて貸し借りなどの行為を可能にする。

これらのスマートコントラクトは通常、ブロックチェーン資産の膨大な額を保持している。いずれかの脆弱性を突けば、攻撃者はその総額の資産を完全に掌握でき、取り消し不能な取引によって自分に支払うことが可能になる。

もう一つ理解しておくべき用語が、Total Value Locked（TVL：ロックされた総価値）だ。これはユーザーが預け入れた全資産の合計を指す。TVLが大きいほど、たとえばスマートコントラクトの脆弱性を通じて攻撃者が盗める潜在的な資産プールも大きくなり、誘惑も増す。

しかしChainalysisは、2024年と2025年の活動はこの傾向からの乖離を示し始めたと述べた。この期間にTVLは増加した一方で、プロトコルを標的とする攻撃は減少しており、DeFiのセキュリティ基準が改善して攻撃者を思いとどまらせていることを示唆している。

DeFiへの攻撃は依然としてweb3領域で頭痛の種となっている。過去1年の利益の大きい襲撃にはGardenやBalancerへのものが含まれるが、TVLに対する総損失の比率は大幅に低下している。 ®