出典:Shutterstock(Mehaniq)
サイバー犯罪者は存在する。そして、北朝鮮の国家支援を受けた脅威グループも存在する。
ならず者国家に結び付くサイバー犯罪グループは引き続き驚異的な成功を収めており、2025年は2月に暗号資産取引所ByBitからイーサリアムを15億ドル盗み出した事件で幕を開け、その後も企業に技術者を潜り込ませたり、ソフトウェアのサプライチェーンを侵害したりする取り組みを続けている。今年これまでに北朝鮮のグループは少なくとも20億2,000万ドル相当の暗号資産を盗み、今年盗まれたデジタル資産総額34億ドルの大半を占めていると、ブロックチェーン分析企業Chainalysisは12月18日に公開した報告書で述べた。
北朝鮮の暗号資産窃盗犯にとってのこの「当たり年」により、過去4年間の総獲得額は少なくとも67億5,000万ドルに達した。サイバー犯罪グループはますます大きな標的に焦点を当てるようになっていると、Chainalysisで国家安全保障インテリジェンス責任者を務めるアンドリュー・ファイアマン氏は語る。
「彼らが脆弱性を見つけ続けていること、そして資金洗浄メカニズムの高度さを考えると、体制がより忍耐強く、誰を標的にするか、どう標的にするか、いつ実行するかについて、より慎重に考えられるようになっていると思います」と同氏は言う。
全体として、暗号資産の侵害事案の上位3件が、Chainalysisが追跡した損失全体の69%を占めたと、同社は報告書で述べている。
サイバー犯罪は北朝鮮の国民総所得(GNI)の相当部分を占めるようになっており、推定300億ドルのGNIの約7%を構成している。この割合は、東南アジア諸国に根付いたサイバー犯罪グループ(数百億ドル規模の利益、すなわちそれらのはるかに大きい経済の約7%を占める)と同程度であり、多くの場合、政府の腐敗やサイバー犯罪サービスのエコシステムのさらなる発展につながっている。こうしたグループの成功は、米国とそのパートナーが最近、サイバー犯罪シンジケートとされるPrince Holding Groupに属する12万7,000ビットコイン超(起訴が発表された時点で約150億ドル相当)を押収したことにも表れている。
大規模ハッキングの達人
北朝鮮のハッカーには、3つの特徴が際立っていると、サイバーセキュリティ企業ESETのシニア・マルウェア研究者ピーター・カルナイ氏は言う。大規模な侵害で大きな成功を収めていることに加え、彼らは執拗で、頻繁に革新する。Bybitの作戦でサードパーティのサプライチェーン開発者を侵害したことは、極めて難易度の高い標的だったという。
「攻撃者は、デジタル上の痕跡を追いにくくするために、ネイティブスワップとクロスチェーン取引を巧妙かつ複雑に組み合わせた一連の手法を用いました」とカルナイ氏は語る。
最も重大なハッキングの多くは、北朝鮮の脅威グループ「Lazarus」によるものとされている。これにはByBitからの15億ドル相当のイーサリアム窃盗、偽の技術者ペルソナを通じたテクノロジー企業への継続的な侵入、そして最近ではAIツールや大規模言語モデル(LLM)を用いてキャンペーンを強化し攻撃ツールを作成することなどが含まれる。
「北朝鮮のIT労働者は、これらの技術を活用してソーシャルエンジニアリングを強化し、完璧なフィッシング誘導文を作成したり、さらにはライブのビデオ面接で個人になりすましたりしています」とカルナイ氏は言う。
朝鮮民主主義人民共和国(DPRK)は、暗号資産窃盗で過去最高の成功を収めた年となり、サービス侵害全体の76%を占めた。出典:Chainalysis
GoogleのThreat Intelligence Group(GTIG)によると、2025年を通じて複数の北朝鮮系脅威アクターが活動し、しばしば異なる任務や標的を追い、さまざまな手法を示した。暗号資産に焦点を当てたグループには、「CryptoCore」としても知られるUNC1069、「TraderTraitor」のUNC4899、「Contagious Interview」のUNC5342が含まれる。
「認知の高まりや妨害の取り組みが強化されているにもかかわらず、脅威アクターは執拗で成功し続けています」とGTIGの広報担当者はDark Readingに語った。「これらのアクターは検知回避のための新しい技術や手法を取り入れ続け、昨年も成功を収めました」
さらに北朝鮮のグループは、追跡が難しく当局が阻止しにくい方法で巨額の資金を洗浄することに非常に長けていると、Chainalysisのファイアマン氏は言う。
「私たちが気付いたのは、彼らが資金を例外的な速さで細分化し、単一の場所を通じて大きな塊の資金を動かすのではなく、多くの異なる経路を通じて少額ずつ洗浄していることです」と同氏は言う。少数の仲介者を通じて大口取引を流す他のグループは、法執行機関や金融コミュニティに「妨害の機会をより多く与え、追跡を容易にする」と付け加えた。
より深い同盟関係に警戒を
北朝鮮は従来から中国と緊密な関係を持ってきたが、2024年末にはロシアと戦略的パートナーシップ条約を締結し、そこには「科学技術分野における共同研究を積極的に奨励する」という明確な文言がある。この表現は、非公式にはサイバー戦への共同協力を命じるものと訳せる可能性があると、ESETのカルナイ氏は言う。
「サイバー犯罪に焦点を当てたロシアと北朝鮮の脅威アクター間で、より緊密な協力が進むと予想しています」と同氏は言う。両国とも西側による制裁下にあるため、制裁回避で協力する方向に押しやられる可能性があるとも付け加えた。例えば最近の作戦では、ロシアが強い関心を寄せるようになった無人航空機に対する北朝鮮の関心が示唆されている。
「目的は、平壌の国内ドローンプログラムを加速させ、ロシアとの軍事協力の深化を支援することにある可能性が非常に高い」と同氏は言う。
北朝鮮のグループは、中国系シンジケートや東南アジアの詐欺拠点が提供する、急速に進化するサイバー犯罪サービスも巧みに利用している。北朝鮮は過去のように中央集権型取引所を資金洗浄に使うのではなく、東南アジアに拠点を置く流動性サービスや、より広範な中国のマネーロンダリング・ネットワーク(CMLN)運営者へと移行していると、Chainalysisのファイアマン氏は言う。
こうしたアプローチや手法の洗練は、国家支援グループの進化を浮き彫りにしていると同氏は述べる。
「私たちが期待できることが一つあるとすれば、北朝鮮は体制の収益を生み出すための新しい仕組みを常に見つけ続けるということです」とファイアマン氏は言う。「それが長期的に暗号資産なのか、あるいは別のものへ移るのかは、今後見極める必要があります」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/good-year-north-korean-cybercriminals
