Amazonとブロックチェーン分析企業Chainalysisのデータによると、北朝鮮は制裁下の体制を資金面で支えるため、デジタル作戦を劇的に拡大している。
Chainalysisの新たな報告書によれば、北朝鮮のハッカーは2025年に20億ドル超相当の暗号資産を盗み、2024年に記録された約13億ドルから大幅に増加した。
こうした窃盗を補完するのが、広範に張り巡らされた偽装IT労働者のネットワークであり、Amazonは高度な身元詐称を通じて高給のリモート職を得ようとした北朝鮮のIT労働者1,800人を検知し、遮断したと報告している。
北朝鮮の暗号資産強奪
Chainalysisが木曜日に公開した報告書によると、2025年1月から12月上旬までにハッカーが盗んだ暗号資産の総額は34億1,000万ドルに達し、その大きな部分をBybitでの15億ドル強奪が占めている。2025年の総額は、33億8,000万ドルが盗まれた2024年と比べてわずかに高いにとどまる。
34億1,000万ドルのうち、少なくとも20億2,000万ドル相当の暗号資産は北朝鮮のハッカーによって盗まれたとみられ、彼らはBybitへのハッキングの背後にもいる。
「これは、盗難額という観点でDPRK(北朝鮮)による暗号資産窃取として記録上最も深刻な年であり、DPRKの攻撃は全サービス侵害のうち過去最高の76%を占めた」とChainalysisは述べた。
同社の試算によれば、北朝鮮の脅威アクターがこれまでに盗んだ暗号資産の累計額は67億5,000万ドルに達している。
2025年は盗難額が過去最高を記録した一方で、北朝鮮のハッカーが実行した攻撃の頻度自体は減少しており、Chainalysisは、Bybit攻撃の後に作戦テンポを落として盗んだ暗号資産のマネーロンダリングに注力している可能性が高いと指摘している。
Chainalysisはまた、北朝鮮の暗号資産窃取作戦が、暗号資産取引所、カストディアン、Web3企業に就職して内部者として活動するIT労働者に、ますます依存するようになっていると指摘した。
さらに、北朝鮮の脅威アクターは採用担当者を装うケースが増えており、偽の採用プロセスを仕組んで認証情報、ソースコード、その他の価値ある情報を収集しようとしている。彼らはまた、潜在的な投資家や買収者を装って情報収集も行う。
北朝鮮のIT労働者に狙われたAmazon
北朝鮮のIT労働者スキームの規模は、Amazonのデータによって示されている。テック大手の最高セキュリティ責任者(CSO)であるスティーブン・シュミット氏は、同社が2024年4月以降、雇用を得ようとする北朝鮮関係者と疑われる人物を1,800人超特定しており、今年は前四半期比で27%増加したと述べた。
「当社のAIモデルは、約200の高リスク機関との接点、応募全体にわたる異常、地理的な不整合を分析します」とシュミット氏は説明した。「身元確認は、身元調査、資格情報の検証、構造化面接を通じて行っています」。
北朝鮮のIT労働者はしばしば盗用された身元に依存し、被害企業から支給されたノートPCを米国内でホストして、従業員が米国にいるように見せかける米国内の協力者に支援されている。
シュミット氏は、彼らの手口がますます高度化していると指摘した。実在するソフトウェアエンジニアの身元を盗み、LinkedInアカウントをハッキングしたり、他人のアカウントへのアクセス権を購入して成功確率を高めたりしている。また、需要が高いことからAI関連職を狙う傾向も強まっているという。
こうした脅威を見分ける方法として、AmazonのCSOは、米国の電話番号で「1」の代わりに「+1」を使うといった小さな細部に注目することを推奨している。
学歴の不整合も重要な指標となる。シュミット氏は、記載した大学では提供されていない専攻の学位を主張したり、標準的な学年暦と矛盾する卒業時期を提示したりする候補者がいるとして警告した。
