2025年対北朝鮮ハッカー集団にとって、間違いなく豊作の年となった。Chainalysisが発表した2025年のハッカー攻撃レポートによると、北朝鮮のハッカーは攻撃回数を大幅に減らしながらも、盗難資金額は過去最高を記録し、この一見矛盾する現象の背後には、これらの国家レベルのサイバー犯罪集団の巧妙な手口の進化が反映されている。## 豊作の背後:攻撃減少も資金盗難増加2025年、暗号エコシステム全体は厳しい試練に直面した。統計によると、年間盗難額は340億ドル超に達し、そのうち2月に発生したBybitの大規模ハッキングだけで150億ドルの損失をもたらした。この「肥年」において、北朝鮮のハッカーのパフォーマンスは特に際立っている。2025年に彼らが盗んだ暗号資産の価値は20.2億ドルに達し、2024年の13.39億ドルと比べて51%増加した。さらに警戒すべきは、これが北朝鮮の暗号資産盗難史上最も深刻な年となり、累計盗難額は既に67.5億ドルに達していることである。データをより衝撃的にしているのは、北朝鮮による攻撃が全侵入事件の76%を占め、史上最高を記録したことだ。確認された攻撃件数は74%減少したにもかかわらず、盗難金額は大幅に増加している。これは、北朝鮮のハッカーがより効率的にターゲットを絞った攻撃を行っていることを示しており、攻撃頻度を減らしつつも、より価値の高いターゲットに集中していることを意味している。## 独特のマネーロンダリングネットワーク:北朝鮮ハッカーの運用特性北朝鮮のハッカーが「肥年」の豊作を実現できた背景には、彼らの独自のマネーロンダリング手法と運用ネットワークがある。彼らのマネーロンダリング活動は他のサイバー犯罪者と一線を画している。**マネーロンダリングの「分割」特徴**北朝鮮ハッカーのマネーロンダリングは明確な「分割」パターンを示し、60%以上の取引量が50万ドル以下に集中している。これは他のハッカーの運用ロジックと全く異なるもので、他のハッカーが資金を複数回に分けて移動させる際、60%以上が100万ドルから1000万ドル超の範囲内で段階的に行われている。**特定サービスへの明確な偏好**他のハッカーと比較して、北朝鮮ハッカーはマネーロンダリングの段階で顕著な偏りを見せている。- **中国語資金移動と保証サービス(+355%超)**:最も顕著な特徴であり、北朝鮮ハッカーは中国語の保証サービスや、多数の規制が弱いと考えられるマネーロンダリング業者によるネットワークに依存している。この偏好は他の犯罪者よりもはるかに強い。- **クロスチェーンブリッジサービス(+97%)**:異なるブロックチェーン間で資産を移動させるために高い依存度を持ち、追跡困難性を高めている。- **ミキシングサービス(+100%)**:資金の流れを隠すためにより頻繁に利用されている。- **専門サービス(+356%)**:Huioneなど特定のサービスを戦略的に利用し、マネーロンダリングを補助している。一方、北朝鮮ハッカーは他のハッカーがよく利用するマネーロンダリングチャネルを明確に避けている。借入契約(-80%)、KYC不要の取引所(-75%)、P2P取引所(-64%)、CEX(-25%)、DEX(-42%)などだ。## 45日間の資金循環:多段階洗浄サイクルの解明2025年初頭に大量に流入した盗難資金は、法執行機関にとって貴重な情報源となった。オンチェーン活動の分析から、北朝鮮ハッカーは構造化された多段階の洗浄ルートをたどり、全過程は通常約45日間続くことが判明した。**第1段階:即時の階層分け(第0-5日)**攻撃発生後の最初の数日間に、異常に活発な活動が観察された。- DeFiプロトコルからの盗難資金の流動量が最大(+370%)に増加し、主要な侵入口となる- ミキシングサービスの取引量が大幅に増加(+135-150%)、最初の混乱層を形成- この段階は緊急の「第一歩」行動を示し、最初の盗難行為と明確に区別される**第2段階:初期の統合(第6-10日)**第2週に入ると、資金をより広範なエコシステムに流入させるためのサービスに洗浄戦略がシフト。- KYC制限の少ない取引所(+37%)やCEX(+32%)が資金を受け入れ始める- 2層目のミキシングサービス(+76%)による洗浄活動が低強度で継続- クロスチェーンブリッジ(例:XMRt、+141%)が資金の分散と隠蔽を支援- これは重要な移行期であり、資金は潜在的な退出ルートへと流れ始める**第3段階:長期的な統合(第20-45日)**最後の段階では、最終的に法定通貨や他の資産に換金可能なサービスに偏る。- KYC不要の取引所(+82%)や担保サービス(例:ジャガイモ担保、+87%)の利用が顕著に増加- 即時取引所(+61%)や中国語プラットフォーム(例:匯旺、+45%)が最終的な換金ポイントとなる- CEX(+50%)も資金を受け入れ、合法的な資金と混合しようとする複雑な試みが見られる- 監督規制の少ない法域、例えば中国語のマネーロンダリングネットワーク(+33%)やGrinex(+39%)などのプラットフォームがこのパターンを完成させているこの通常約45日間の洗浄操作ウィンドウは、法執行やコンプライアンスチームにとって重要な情報源となる。このパターンは過去数年にわたり一貫しており、北朝鮮ハッカーの操作上の制約、金融インフラの獲得難易度、特定の仲介者との調整の必要性と関係していると考えられる。## 個人ユーザーへの脅威の継続的な高まり2025年の「肥年」の豊作の中で、もう一つ懸念される動きは、個人ウォレットへの攻撃の激増だ。**規模拡大する盗難事件**2025年、個人ウォレットの盗難事件は15.8万件に急増し、2022年の5.4万件の約3倍に達した。被害者数も2022年の4万人から2025年には少なくとも8万人に増加した。この著しい増加は、暗号通貨の普及拡大に起因すると考えられる。例えば、最もアクティブな個人ウォレットを持つブロックチェーンの一つ、Solanaでは、盗難事件の数が圧倒的に多く、約2.65万の被害者がいる。**被害者一人あたりの盗難額は逆に減少**事件数と被害者数が増加する一方で、2025年に一人の被害者から盗まれた総額は、2024年のピークの15億ドルから7.13億ドルに減少した。これは、攻撃者のターゲットとなるユーザー層が拡大した一方で、一人あたりの盗難額が減少していることを示しており、注目に値する変化だ。**リスクの偏り**イーサリアムやトロンの盗難率は最も高く(10万ウォレットあたりの犯罪率で測定)、BaseやSolanaのユーザーベースは巨大だが、被害率は低い。これは、個人ウォレットのセキュリティリスクが均一ではなく、技術的要因だけでなく、ユーザー層の特性や人気アプリ、犯罪インフラの存在なども盗難率に大きく影響していることを示している。## DeFiの安全性向上の意外な兆し2025年に北朝鮮ハッカーが「肥年」を迎えた一方で、暗号エコシステムには希望の兆しも見られる。DeFi領域のセキュリティ状況が改善しつつあるのだ。**DeFi TVLの上昇と攻撃損失の安定**以下の3つの段階が示す通りだ。- 第1段階(2020-2021年):DeFi TVLとハッカー攻撃による損失が同期して増加- 第2段階(2022-2023年):両者が同期して減少- 第3段階(2024-2025年):TVLが回復する一方、攻撃による損失は安定したままこの差異は特に顕著だ。DeFiのTVLは2023年の最低点から大きく回復しているが、ハッカー攻撃による損失はそれに伴って増加していない。数十億ドルがこれらのプロトコルに再流入しているにもかかわらず、DeFiのハッキング事件は引き続き低水準を維持しており、重要な変化を示している。この差異を説明できる要因は二つ。まず、安全性の向上だ。DeFiプロトコルは2020-2021年よりも効果的なセキュリティ対策を実施している可能性がある。次に、ターゲットの変化だ。個人ウォレットの盗難や中央集権型サービスへの攻撃が増加していることは、攻撃者の関心が他のターゲットに移っていることを示している。## Venusプロトコルの防御成功例2025年後半に起きたVenusの攻撃事例は、セキュリティ対策の改善が実際に効果を上げていることを示している。当時、攻撃者は侵入したZoomの脆弱性を利用し、システムアクセス権を取得、価値1300万ドルのアカウントに委託権限を付与させた可能性があったが、Venusはちょうど1か月前にHexagateのセキュリティ監視プラットフォームを導入していた。このプラットフォームは攻撃の18時間前に異常な活動を検知し、悪意のある取引が発生した瞬間に警報を発した。20分以内にVenusはプロトコルを一時停止し、資金の流出を阻止した。その後の対応も迅速かつ効果的だった。- 5時間以内にセキュリティチェックを完了し、一部機能を復旧- 7時間以内に攻撃者のウォレットを強制清算- 12時間以内に盗難資金を全て回収し、サービスを復旧特に注目すべきは、Venusがガバナンス提案を通じて、攻撃者が依然コントロールしていた300万ドルの資産を凍結した点だ。攻撃者は利益を得られず、むしろ資金を失った。## 北朝鮮ハッカーの手口の進化と今後の脅威北朝鮮のハッカーが2025年に「肥年」の豊作を実現した背景には、資金盗難額の増加だけでなく、その攻撃手法の絶え間ない進化もある。**内部侵入から高度なソーシャルエンジニアリングへ**北朝鮮のハッカーは、IT人員を暗号サービス内部に潜入させて特権アクセスを得る手法を増やしてきたが、最近では、北朝鮮に関連するハッカー組織がこのパターンを完全に覆している。彼らは単に職を申請し従業員として潜入するのではなく、Web3やAI関連の有名企業の採用担当者を偽装し、巧妙に偽の採用プロセスを仕立て、最終的に「技術的な選別」を口実に、被害者のログイン証明書やソースコード、雇用先のVPNやSSOアクセス権を奪取している。上層部においても、偽の戦略投資家や買収者の接触を装ったソーシャルエンジニアリングが行われている。彼らは紹介会議や偽のデューデリジェンスを利用し、敏感なシステム情報や高価値のインフラを探り出そうとしている。この進化は、初期のIT従業員詐欺行為の土台の上に築かれている。**高価値ターゲットへの精密攻撃**2022年から2025年にかけて、北朝鮮のハッカーは最も高価値の範囲を攻撃し、北朝鮮に由来しない攻撃は全ての盗難規模の中で比較的正常に分布している。このパターンは、北朝鮮のハッカーが攻撃を仕掛ける際に、大規模なサービスを狙い、最大のインパクトを狙っていることをさらに示している。**攻撃リズムの戦略的調整**2025年前半の三大攻撃による損失は全損失の69%を占め、最大規模の攻撃と全事件の中央値との比率は、初めて1000倍を超えた。Bybit事件の年間活動パターンへの影響は、北朝鮮が大規模な盗難を成功させた際に、行動リズムを抑え、洗浄に集中する傾向を示している。## 2026年の新たな挑戦2025年の北朝鮮ハッカーの「肥年」パフォーマンスは、現代の暗号セキュリティの複雑な現状を深く浮き彫りにしている。DeFiの防御能力が向上し、Venusのような成功例もある一方で、資金盗難の史上最高記録は、暗号エコシステム全体が依然として深刻な脅威に直面していることを示している。暗号業界にとって、この進化は高価値ターゲットへの警戒を強化し、北朝鮮特有のマネーロンダリングパターンの識別能力を高める必要性を示唆している。彼らの中国語保証サービス、クロスチェーンブリッジ、特定の送金額への継続的な偏りは、検知の手がかりとなり、他の犯罪者と差別化し、調査官がそのオンチェーン行動の特徴を特定する助けとなる。北朝鮮は引き続き暗号資産の窃盗を国家の優先事項の資金調達や国際制裁の回避に利用しており、2025年に記録的な成果を挙げたことは、攻撃回数が74%減少したにもかかわらず、資金盗難額が大幅に増加した事実が、現状の活動の一端にすぎないことを示している。2026年の重要な課題は、Bybit規模の大規模攻撃を再び仕掛ける前に、それらを検知し阻止することだ。業界は安全対策を強化しつつ、北朝鮮ハッカーの独特な運用パターンを継続的に監視・分析し、将来の防御戦略のためのデータを蓄積していく必要がある。
北朝鮮ハッカーの「肥年」:2025年に盗難資金が史上最高を記録
2025年対北朝鮮ハッカー集団にとって、間違いなく豊作の年となった。Chainalysisが発表した2025年のハッカー攻撃レポートによると、北朝鮮のハッカーは攻撃回数を大幅に減らしながらも、盗難資金額は過去最高を記録し、この一見矛盾する現象の背後には、これらの国家レベルのサイバー犯罪集団の巧妙な手口の進化が反映されている。
豊作の背後:攻撃減少も資金盗難増加
2025年、暗号エコシステム全体は厳しい試練に直面した。統計によると、年間盗難額は340億ドル超に達し、そのうち2月に発生したBybitの大規模ハッキングだけで150億ドルの損失をもたらした。
この「肥年」において、北朝鮮のハッカーのパフォーマンスは特に際立っている。2025年に彼らが盗んだ暗号資産の価値は20.2億ドルに達し、2024年の13.39億ドルと比べて51%増加した。さらに警戒すべきは、これが北朝鮮の暗号資産盗難史上最も深刻な年となり、累計盗難額は既に67.5億ドルに達していることである。
データをより衝撃的にしているのは、北朝鮮による攻撃が全侵入事件の76%を占め、史上最高を記録したことだ。確認された攻撃件数は74%減少したにもかかわらず、盗難金額は大幅に増加している。これは、北朝鮮のハッカーがより効率的にターゲットを絞った攻撃を行っていることを示しており、攻撃頻度を減らしつつも、より価値の高いターゲットに集中していることを意味している。
独特のマネーロンダリングネットワーク:北朝鮮ハッカーの運用特性
北朝鮮のハッカーが「肥年」の豊作を実現できた背景には、彼らの独自のマネーロンダリング手法と運用ネットワークがある。彼らのマネーロンダリング活動は他のサイバー犯罪者と一線を画している。
マネーロンダリングの「分割」特徴
北朝鮮ハッカーのマネーロンダリングは明確な「分割」パターンを示し、60%以上の取引量が50万ドル以下に集中している。これは他のハッカーの運用ロジックと全く異なるもので、他のハッカーが資金を複数回に分けて移動させる際、60%以上が100万ドルから1000万ドル超の範囲内で段階的に行われている。
特定サービスへの明確な偏好
他のハッカーと比較して、北朝鮮ハッカーはマネーロンダリングの段階で顕著な偏りを見せている。
中国語資金移動と保証サービス(+355%超):最も顕著な特徴であり、北朝鮮ハッカーは中国語の保証サービスや、多数の規制が弱いと考えられるマネーロンダリング業者によるネットワークに依存している。この偏好は他の犯罪者よりもはるかに強い。
クロスチェーンブリッジサービス(+97%):異なるブロックチェーン間で資産を移動させるために高い依存度を持ち、追跡困難性を高めている。
ミキシングサービス(+100%):資金の流れを隠すためにより頻繁に利用されている。
専門サービス(+356%):Huioneなど特定のサービスを戦略的に利用し、マネーロンダリングを補助している。
一方、北朝鮮ハッカーは他のハッカーがよく利用するマネーロンダリングチャネルを明確に避けている。借入契約(-80%)、KYC不要の取引所(-75%)、P2P取引所(-64%)、CEX(-25%)、DEX(-42%)などだ。
45日間の資金循環:多段階洗浄サイクルの解明
2025年初頭に大量に流入した盗難資金は、法執行機関にとって貴重な情報源となった。オンチェーン活動の分析から、北朝鮮ハッカーは構造化された多段階の洗浄ルートをたどり、全過程は通常約45日間続くことが判明した。
第1段階:即時の階層分け(第0-5日)
攻撃発生後の最初の数日間に、異常に活発な活動が観察された。
第2段階:初期の統合(第6-10日)
第2週に入ると、資金をより広範なエコシステムに流入させるためのサービスに洗浄戦略がシフト。
第3段階:長期的な統合(第20-45日)
最後の段階では、最終的に法定通貨や他の資産に換金可能なサービスに偏る。
この通常約45日間の洗浄操作ウィンドウは、法執行やコンプライアンスチームにとって重要な情報源となる。このパターンは過去数年にわたり一貫しており、北朝鮮ハッカーの操作上の制約、金融インフラの獲得難易度、特定の仲介者との調整の必要性と関係していると考えられる。
個人ユーザーへの脅威の継続的な高まり
2025年の「肥年」の豊作の中で、もう一つ懸念される動きは、個人ウォレットへの攻撃の激増だ。
規模拡大する盗難事件
2025年、個人ウォレットの盗難事件は15.8万件に急増し、2022年の5.4万件の約3倍に達した。被害者数も2022年の4万人から2025年には少なくとも8万人に増加した。この著しい増加は、暗号通貨の普及拡大に起因すると考えられる。例えば、最もアクティブな個人ウォレットを持つブロックチェーンの一つ、Solanaでは、盗難事件の数が圧倒的に多く、約2.65万の被害者がいる。
被害者一人あたりの盗難額は逆に減少
事件数と被害者数が増加する一方で、2025年に一人の被害者から盗まれた総額は、2024年のピークの15億ドルから7.13億ドルに減少した。これは、攻撃者のターゲットとなるユーザー層が拡大した一方で、一人あたりの盗難額が減少していることを示しており、注目に値する変化だ。
リスクの偏り
イーサリアムやトロンの盗難率は最も高く(10万ウォレットあたりの犯罪率で測定)、BaseやSolanaのユーザーベースは巨大だが、被害率は低い。これは、個人ウォレットのセキュリティリスクが均一ではなく、技術的要因だけでなく、ユーザー層の特性や人気アプリ、犯罪インフラの存在なども盗難率に大きく影響していることを示している。
DeFiの安全性向上の意外な兆し
2025年に北朝鮮ハッカーが「肥年」を迎えた一方で、暗号エコシステムには希望の兆しも見られる。DeFi領域のセキュリティ状況が改善しつつあるのだ。
DeFi TVLの上昇と攻撃損失の安定
以下の3つの段階が示す通りだ。
この差異は特に顕著だ。DeFiのTVLは2023年の最低点から大きく回復しているが、ハッカー攻撃による損失はそれに伴って増加していない。数十億ドルがこれらのプロトコルに再流入しているにもかかわらず、DeFiのハッキング事件は引き続き低水準を維持しており、重要な変化を示している。
この差異を説明できる要因は二つ。まず、安全性の向上だ。DeFiプロトコルは2020-2021年よりも効果的なセキュリティ対策を実施している可能性がある。次に、ターゲットの変化だ。個人ウォレットの盗難や中央集権型サービスへの攻撃が増加していることは、攻撃者の関心が他のターゲットに移っていることを示している。
Venusプロトコルの防御成功例
2025年後半に起きたVenusの攻撃事例は、セキュリティ対策の改善が実際に効果を上げていることを示している。
当時、攻撃者は侵入したZoomの脆弱性を利用し、システムアクセス権を取得、価値1300万ドルのアカウントに委託権限を付与させた可能性があったが、Venusはちょうど1か月前にHexagateのセキュリティ監視プラットフォームを導入していた。
このプラットフォームは攻撃の18時間前に異常な活動を検知し、悪意のある取引が発生した瞬間に警報を発した。20分以内にVenusはプロトコルを一時停止し、資金の流出を阻止した。その後の対応も迅速かつ効果的だった。
特に注目すべきは、Venusがガバナンス提案を通じて、攻撃者が依然コントロールしていた300万ドルの資産を凍結した点だ。攻撃者は利益を得られず、むしろ資金を失った。
北朝鮮ハッカーの手口の進化と今後の脅威
北朝鮮のハッカーが2025年に「肥年」の豊作を実現した背景には、資金盗難額の増加だけでなく、その攻撃手法の絶え間ない進化もある。
内部侵入から高度なソーシャルエンジニアリングへ
北朝鮮のハッカーは、IT人員を暗号サービス内部に潜入させて特権アクセスを得る手法を増やしてきたが、最近では、北朝鮮に関連するハッカー組織がこのパターンを完全に覆している。彼らは単に職を申請し従業員として潜入するのではなく、Web3やAI関連の有名企業の採用担当者を偽装し、巧妙に偽の採用プロセスを仕立て、最終的に「技術的な選別」を口実に、被害者のログイン証明書やソースコード、雇用先のVPNやSSOアクセス権を奪取している。
上層部においても、偽の戦略投資家や買収者の接触を装ったソーシャルエンジニアリングが行われている。彼らは紹介会議や偽のデューデリジェンスを利用し、敏感なシステム情報や高価値のインフラを探り出そうとしている。この進化は、初期のIT従業員詐欺行為の土台の上に築かれている。
高価値ターゲットへの精密攻撃
2022年から2025年にかけて、北朝鮮のハッカーは最も高価値の範囲を攻撃し、北朝鮮に由来しない攻撃は全ての盗難規模の中で比較的正常に分布している。このパターンは、北朝鮮のハッカーが攻撃を仕掛ける際に、大規模なサービスを狙い、最大のインパクトを狙っていることをさらに示している。
攻撃リズムの戦略的調整
2025年前半の三大攻撃による損失は全損失の69%を占め、最大規模の攻撃と全事件の中央値との比率は、初めて1000倍を超えた。Bybit事件の年間活動パターンへの影響は、北朝鮮が大規模な盗難を成功させた際に、行動リズムを抑え、洗浄に集中する傾向を示している。
2026年の新たな挑戦
2025年の北朝鮮ハッカーの「肥年」パフォーマンスは、現代の暗号セキュリティの複雑な現状を深く浮き彫りにしている。DeFiの防御能力が向上し、Venusのような成功例もある一方で、資金盗難の史上最高記録は、暗号エコシステム全体が依然として深刻な脅威に直面していることを示している。
暗号業界にとって、この進化は高価値ターゲットへの警戒を強化し、北朝鮮特有のマネーロンダリングパターンの識別能力を高める必要性を示唆している。彼らの中国語保証サービス、クロスチェーンブリッジ、特定の送金額への継続的な偏りは、検知の手がかりとなり、他の犯罪者と差別化し、調査官がそのオンチェーン行動の特徴を特定する助けとなる。
北朝鮮は引き続き暗号資産の窃盗を国家の優先事項の資金調達や国際制裁の回避に利用しており、2025年に記録的な成果を挙げたことは、攻撃回数が74%減少したにもかかわらず、資金盗難額が大幅に増加した事実が、現状の活動の一端にすぎないことを示している。
2026年の重要な課題は、Bybit規模の大規模攻撃を再び仕掛ける前に、それらを検知し阻止することだ。業界は安全対策を強化しつつ、北朝鮮ハッカーの独特な運用パターンを継続的に監視・分析し、将来の防御戦略のためのデータを蓄積していく必要がある。