【分析】北朝鮮の暗号資産ハッキング被害額、2025年に51%急増…「質の高度化」により20億ドルを突破

2025年の1年間で、北朝鮮関連のサイバー攻撃者が奪取した暗号資産の規模が20億ドルを超え、過去最高を更新した。これは前年比51%増の数値であり、攻撃の頻度は減少した一方で、個別の攻撃の規模と精度が飛躍的に上昇した「選択と集中」の結果と解釈される。

ブロックチェーン分析企業チェイナリシス（Chainalysis）の「2026年 暗号資産犯罪レポート」によると、2025年の北朝鮮ハッカーによる総奪取額は20億2,000万ドルに達する。これにより、2016年以降に北朝鮮が暗号資産産業を攻撃して得た累積収益は、約67億5,000万ドルと集計された。

このような成長は、攻撃の「質の高度化」に起因する。過去にはセキュリティが脆弱な中小規模の分散型金融（DeFi）プロトコルを多数攻撃していたが、現在は莫大な資金力を保有する中央集権型取引所を精密に照準している。

北朝鮮のハッカーは、より少ない攻撃回数でより大きな収益を上げる戦略へと転換した。これは、彼らのサイバー戦術が単なるマルウェアの配布を超え、高度に訓練されたソーシャルエンジニアリング手法へと進化したことを意味する。

2025年3月に発生したバイビット（Bybit）のハッキング事件は、このような戦略の変化を象徴する事例だ。北朝鮮関連組織はこの単一の攻撃を通じて14億ドルを奪取しており、これは2025年の全被害額の半分以上を占める規模である。

内部侵入とソーシャルエンジニアリング攻撃の結合

北朝鮮は、暗号資産企業のセキュリティ網を突破するために、IT人材を偽装就業させる戦術を積極的に活用している。彼らは身分を偽造して開発者や技術サポート担当者として雇用された後、内部システムへのアクセス権限を確保して資産奪取を助ける「トロイの木馬」の役割を果たす。

• 偽の求人広告や技術面接を装ったマルウェアの配布
• LinkedInなどのビジネスSNSを通じた役員へのなりすましと接近
• 偽装就業したIT労働者を通じた内部管理者権限の奪取

奪取された資金は、「中国式ランドリー（Chinese Laundromat）」と呼ばれる複雑な資金洗浄ネットワークを通じて処理される。北朝鮮は捜査機関の追跡を逃れるため、中国内の専門洗浄組織と協力して資産の出所を消し、現地通貨や他の資産に換金している。

資金移動の過程で、ソアチェーン（THORChain）のようなクロスチェーンプロトコルの使用も増えている。TRMラボ（TRM Labs）は、北朝鮮がソアチェーンの非中央集権的な特性を利用し、異なるブロックチェーン間で大規模な資金を迅速かつ安定的に移動させていると分析した。

国際的な監視の空白と安保上の脅威

2026年5月現在、国連安全保障理事会傘下の対北朝鮮制裁委員会を支援していた専門家パネルが活動を停止したことで、北朝鮮のサイバー犯罪に対する国際的な監視網に大きな穴が開いた。一部の安保理理事国は、現在の多国籍監視体制が過去の専門家パネルほどの権威を持てないことを懸念している。

奪取された暗号資産は、北朝鮮の大量破壊兵器（WMD）および核プログラム運用のための核心的な財源として使用される。国連の報告書によると、北朝鮮はサイバー攻撃で確保した資金を活用し、核濃縮施設に必要なハードウェアや自動火器などを調達していることが把握されている。

暗号資産市場が制度圏に組み込まれるにつれ、国家主導のハッカーによる攻撃はさらに精巧になると見られる。中央集権型取引所や関連企業は、内部人材に対する検証プロセスを強化し、リアルタイムのオンチェーンモニタリングシステムを導入するなど、防御能力を根本的に再点検する必要がある。