2025年に盗まれた暗号資産は総額34億ドル超、北朝鮮が再び最大の犯人に

新たな報告書によると、2025年に暗号資産業界から盗まれた金額は34億ドル超に上り、その損失の大半は北朝鮮のハッカーに関連している。 

ブロックチェーンセキュリティ企業のChainalysisは、年間レポートとして同年の暗号資産盗難をまとめた報告書を公表し、より大規模で高コストな攻撃への全体的なシフトと、北朝鮮のハッカーが盗んだ資金を洗浄するために用いた新たな戦術を明らかにした。

Chainalysisは、暗号資産を盗まれる個人保有者の件数が増加していると指摘した一方で、今年の報告書の主要な示唆の一つは、北朝鮮がより少ない攻撃件数に注力しつつ、より高い見返りを得られる能力を示した点だ。 

Chainalysisで国家安全保障インテリジェンス部門の責任者を務めるアンドリュー・ファイアマンは、Recorded Future Newsに対し、北朝鮮関連のオペレーターが「ミキサー、DeFiプロトコル、ブリッジ、KYC不要の取引所に加え、地下の非公式な中国系マネーロンダリング・ネットワークを用いて、一貫した資金洗浄サイクルを維持していた」と述べた。

1月から12月までに盗まれた34億ドルの暗号資産のうち、Chainalysisは少なくとも20億2,000万ドルを北朝鮮のハッカーによるものとした。この額は、同国のハッカーが2024年に盗んだと推定される額より6億8,100万ドル多い。

この金額の多くは、2月に発生したドバイ拠点のプラットフォームBybitからの15億ドルの盗難に起因するが、2週間前には韓国当局も、暗号資産プラットフォームUpbitから3,000万ドル相当の暗号資産を盗んだとして北朝鮮を非難した。 

ファイアマンは、Chainalysisが北朝鮮に結び付けている他の事案については明言を避けたが、2025年に同国が相当な準備金を持つ大規模な中央集権型の標的に焦点を当てたと述べた。 

ハッカーは通常、秘密鍵を盗み出すことができた。秘密鍵は、デジタル資産を完全に制御する権限を個人に与える極めて重要な暗号学的秘密情報だ。 

ファイアマンは、これらの事案を北朝鮮の並行するIT労働者キャンペーンと結び付けた。そこでは、同国の軍関係者が西側のテック企業にひそかに雇用される。 

このIT労働者キャンペーンは、北朝鮮人を暗号資産取引所、カストディアン、Web3企業に採用させることに長けており、後に攻撃に用いられる情報を盗んだり、暗号資産業界内での横方向の移動を可能にするバックドアを仕込んだりできるようにしている。

「今年は、中央集権型サービスに対する少数の大規模な秘密鍵侵害によって特徴づけられ、総額に大きな影響を与えました。ソーシャルエンジニアリングは引き続き主要な攻撃ベクトルであり、IT労働者を装う場合であれ、リクルーターを装って信頼を得て被害者のシステムへのアクセスを獲得する場合であれ同様です」とファイアマンは説明した。 

「しかし、ByBitのハッキングで第三者ベンダーを介したサプライチェーン攻撃があったように、北朝鮮はセキュリティ脆弱性を悪用するアプローチにおいて引き続き創造的です。」

北朝鮮は、世界の金融システムから遮断されていることを補う主要な収入源として、IT労働者キャンペーンと暗号資産盗難を利用してきた。 

Chainalysisは、盗難額ベースで北朝鮮が暗号資産サービス侵害全体の76%に責任を負っているため、これは北朝鮮による暗号資産盗難として記録上最も深刻な年だったと述べた。 

Chainalysisが2022年に追跡を開始して以来、北朝鮮は暗号資産を67億5,000万ドル盗んでいる。国連は昨年、5年間にわたる数十件の事案を追跡しており、北朝鮮が約30億ドルを得たとしていると述べた。

北朝鮮が2025年に際立ったもう一つの理由は、盗んだ資金を多くのサイバー犯罪者とは異なる方法で洗浄したことだ。平壌のハッカーは通常、一般的な100万〜1,000万ドルの範囲ではなく、50万ドル単位で資金を洗浄する。

また、コンプライアンス管理が弱いカンボジアのサイトHuioneのような中国語プラットフォームを好んで利用する。Huioneは今年、米当局により制裁対象となった。Chainalysisは昨年、Huioneが2021年以降に490億ドル超の暗号資産取引を処理してきたと述べている。

「中国語の専門的なマネーロンダリング・サービスや店頭取引（OTC）トレーダーを多用していることは、DPRKの脅威アクターがアジア太平洋地域全体の不正アクターと緊密に統合されていることを示唆しており、国際金融システムへのアクセスを得るために中国拠点のネットワークを歴史的に利用してきた平壌の姿勢とも整合します」とChainalysisの専門家は述べた。