投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
人気の話題
もっと見る24.55K 人気度
49.46K 人気度
16.23K 人気度
11.57K 人気度
99.74K 人気度
ピン
朝鮮ハッカーが「肥年」を過ごす:2025年に資金盗難の記録を更新、マネーロンダリングのサイクルは約45日
作者:Chainalysis
編訳:Felix, PANews
長年にわたり北朝鮮ハッカーによる暗号業界への攻撃に対し、Chainalysisは2025年ハッカー攻撃レポートで北朝鮮ハッカーの攻撃行動を重点的に分析した。以下に内容詳細を示す。
要点:
2025年、暗号エコシステムは再び厳しい挑戦に直面し、盗難資金は引き続き増加している。分析によると、暗号窃盗のパターンには四つの主要な特徴が見られる:北朝鮮ハッカーは依然として最大の脅威源であり、中央集権型サービスへの個別攻撃はより深刻化している。個人ウォレットの盗難事件は激増し、DeFiハッカー攻撃の傾向には予想外の二極化が見られる。
**全体状況:**2025 年の盗難総額は 340億ドル超
2025年1月から12月初旬までに、暗号業界の盗難総額は34億ドルを超え、そのうち2月のBybit攻撃だけで15億ドルを占めた。
データはこれらの盗難事件の重要な変化も明らかにしている。個人ウォレットの盗難件数は大幅に増加し、2022年の盗難総額に占める割合7.3%から2024年には44%に上昇。Bybit攻撃の影響が大きくなければ、2025年のこの割合は37%に達した可能性もある。
一方、秘密鍵インフラや署名プロセスに対する複雑な攻撃により、中央集権型サービスはより大きな損失を被っている。これらのプラットフォームは機関リソースや専門のセキュリティチームを持つものの、コールドウォレットの制御を回避できる脅威に対して脆弱だ。こうした侵入事件は頻繁ではないものの(下図参照)、一旦発生すれば巨額の資金が盗まれ、2025年第1四半期には総損失の88%を占めた。多くの攻撃者はサードパーティのウォレット統合を利用し、署名者に悪意のある取引を承認させる手法を開発している。
暗号セキュリティは一部分野で改善されている可能性があるが、盗難額が高止まりしていることは、攻撃者が多様な手段で成功を収めていることを示している。
最大の三つのハッカー攻撃による損失は総損失の **69%**を占め、極端値は中央値の 1000 倍に達する
資金盗難は極端な事象に左右されやすく、多くのハッカー攻撃は規模が小さいが、少数の巨大事件も存在する。しかし、2025年は状況が悪化し、最大規模のハッカー攻撃と全事件の中央値との比率が初めて1000倍を突破した。現在、最大規模の攻撃で盗まれた資金は通常の事件の1000倍に達し、2021年のブルマーケットのピークを超えることもある。これらの計算は、盗難時のドル価値に基づく。
この拡大する格差により、損失は高度に集中している。2025年の最大三件の攻撃による損失は全損失の69%を占め、単一事件の影響は非常に大きい。攻撃頻度は変動し得るが、資産価格の上昇に伴い中央値の損失も増加する一方、重大な脆弱性による潜在的損失はより速い速度で増加している。
攻撃件数は減少傾向にあるが、北朝鮮は依然として最大の脅威
攻撃頻度は大きく減少したものの、北朝鮮は依然として暗号セキュリティにとって最も深刻な脅威国であり、2025年に盗んだ暗号資産は新記録を更新し、少なくとも20.2億ドル(2024年比6.81億ドル増)で前年比51%増となった。盗難額の面では、北朝鮮の暗号窃盗事件として最も深刻な年であり、攻撃の76%を北朝鮮が主導し、史上最高を記録した。総じて、北朝鮮による暗号通貨の累計窃盗額は最低でも67.5億ドルと推定される。
北朝鮮ハッカーは、ITスタッフ(攻撃手法の一つ)を暗号サービス内部に潜入させて特権アクセスを得て大規模攻撃を仕掛ける手法をますます多用している。今年の記録的な攻撃事件は、北朝鮮が取引所やホスティング機関、Web3企業への潜入に依存を深めていることを一部反映している。これにより、初期アクセスや横展開を迅速化し、大規模窃盗の条件を整えている。
しかし、最近北朝鮮に関連するハッカー組織はこのITスタッフモデルを根底から覆した。彼らは単に職を応募し従業員として潜入するだけでなく、Web3やAIの有名企業の採用担当者を偽装し、巧妙に偽の採用プロセスを仕立て、最終的に「技術選考」を装って被害者のログイン情報やソースコード、現職のVPNやSSOアクセス権を奪取している。経営層レベルでは、戦略的投資者や買収者を偽装したソーシャルエンジニアリングも行われ、紹介会議や偽のデューデリジェンスを通じて敏感なシステム情報や高価値インフラを探り出す。この進化は、北朝鮮ITスタッフの詐欺行為に直接基づき、AIやブロックチェーン企業の戦略的重要性の高い対象に焦点を当てている。
過去数年にわたり、北朝鮮のサイバー攻撃は他のハッカーよりも価値が高いことが示されている。下図の通り、2022年から2025年にかけて、北朝鮮ハッカーの攻撃は最も高価な価値帯を占めており、非北朝鮮の攻撃は全盗難規模の分布が比較的正常である。このパターンは、北朝鮮ハッカーが攻撃を仕掛ける際に、大規模なサービスを標的とし、最大のインパクトを狙っていることをさらに示している。
今年の記録的な損失は、既知の事件の大幅な減少によるものだ。この変化(事件数の減少と損失の増大)は、2025年2月のBybit大規模ハッカー攻撃の影響を反映している。
北朝鮮の独特なマネーロンダリング手法
2025年初頭に大量に流入した盗難資金は、北朝鮮ハッカーが暗号通貨を大規模に洗浄する方法を明らかにしている。彼らの手法は他のサイバー犯罪者と全く異なり、時間とともに進化している。
北朝鮮のマネーロンダリング活動は明確な「階層化」パターンを示し、60%超の取引量が50万ドル以下に集中している。一方、他のハッカーはオンチェーン移転の資金のうち、60%以上が100万ドルから1000万ドル超の範囲で分散して行われている。北朝鮮は一回あたりの洗浄額は他のハッカーより高いものの、チェーン上の送金をより小さなバッチに分割し、洗浄手法の複雑さを際立たせている。
他のハッカーと比較して、北朝鮮は特定の洗浄段階で明確な偏好を示す:
一方、他のハッカーは次のような手法を好む:
これらのパターンは、北朝鮮の運営が非国家支援のサイバー犯罪者とは異なる制約と目的の下で動いていることを示す。彼らは大量の中国語マネーロンダリングサービスやOTC取引業者を多用し、北朝鮮ハッカーとアジア太平洋地域の違法行為者との密接な関係を示唆している。
北朝鮮ハッカーによる攻撃後の資金洗浄タイムライン
2022年から2025年までの北朝鮮由来のハッカー事件のオンチェーン活動分析は、これらの事件と盗難資金の暗号エコシステム内の流れに一貫したパターンがあることを示している。大規模盗難事件後、盗難資金は構造化され段階的に洗浄される傾向があり、その期間は約45日。
第1段階:即時階層化(0-5日)
攻撃発生後最初の数日間、異常に活発な活動が観測され、盗難資金を即座に出所から移動させることに重点が置かれる。
第2段階:初期統合(6-10日)
2週目に入り、資金をより広範なエコシステムに取り込むためのサービスに戦略が移る。
第3段階:長期統合(20-45日)
最終段階は、法定通貨や他の資産に最終的に換金可能なサービスに偏る。
この約45日間の洗浄操作ウィンドウは、法執行やコンプライアンスチームにとって重要な情報源となる。このパターンは長年続いており、北朝鮮ハッカーは操作上の制約に直面していることを示唆している。これは、金融インフラの入手経路が限られていることや、特定の仲介者と調整を要することに起因している可能性がある。
これらのハッカーは常にこの正確なタイムラインに従うわけではなく、盗難資金が数ヶ月または数年休眠するケースもあるが、このパターンは積極的に洗浄を行う際の典型的なオンチェーン行動を示している。また、私的鍵の移動やOTC暗号通貨の法定通貨交換などの活動は、証拠のない情報がなければオンチェーン上では見えないことも留意すべきである。
個人ウォレットの盗難:個人ユーザーへの脅威が増大
オンチェーンのパターン分析や被害者・業界パートナーの報告から、個人ウォレットの盗難の深刻さが浮き彫りになっている。実際の盗難件数はもっと多い可能性があるが、最低推定では2025年の個人ウォレット盗難による損失は総損失の20%を占めると考えられ、2024年の44%を下回る。2025年の盗難事件は15.8万件に達し、2022年の5.4万件の約3倍に増加。被害者数も2022年の4万人から2025年には少なくとも8万人に増加した。これらの大幅な増加は、暗号通貨の普及に伴うものと考えられる。例えば、最もアクティブな個人ウォレットを持つブロックチェーンの一つ、Solanaでは盗難事件が圧倒的に多く(約2.65万人の被害者)、その規模が目立つ。
しかし、事件数と被害者数の増加にもかかわらず、2025年の一人当たりの盗難金額は2024年のピーク時の15億ドルから7.13億ドルに減少している。これは、攻撃者のターゲットユーザーは増えたものの、1人あたりの盗難額は減少していることを示す。
特定ネットワークの被害データは、どの分野が暗号ユーザーにとって最大の脅威となっているかについての洞察を提供する。下図は、各ネットワークのアクティブ個人ウォレットに対する調整後の被害データを示す。2025年の10万ウォレットあたりの犯罪率で見ると、イーサリアムとトロンの盗難率が最も高い。イーサリアムは巨大なユーザーベースを持ち、盗難率と被害者数ともに高いことを示している。一方、トロンはアクティブウォレット数は少ないが、盗難率は高いままだ。これに対し、BaseやSolanaはユーザーベースが大きいにもかかわらず、被害率は低い。
これらは、個人ウォレットのセキュリティリスクが一様でないことを示している。技術的な構造が類似していても、異なるブロックチェーン間で被害率に差があり、これは技術以外に、ユーザー層の特性や人気アプリ、犯罪インフラの違いも大きく影響していることを示唆している。
DeFi ハッカー攻撃:分化パターンが市場変化を予兆
DeFi分野の2025年の犯罪データには、独特のパターンが現れ、歴史的な傾向と明確に乖離している。
示されたのは、三つの明確な段階:
前二つの段階は、リスクの価値が高いほど盗める価値も多く、ハッカーの攻撃も高価値プロトコルに集中するという直感的なパターンに従う。まさに銀行強盗のウィリー・サットンの言葉通り:「そこに金があるからだ。」
これにより、第三段階の差異はより顕著になる。DeFi TVLは2023年の最低点から大きく回復したが、ハッカー攻撃による損失はそれに伴って増加していない。数十億ドルがこれらのプロトコルに流入しているにもかかわらず、DeFiハッカー攻撃は引き続き低水準を維持しており、重要な変化を示している。
この差異を説明し得る要因は次の二つ:
**ケーススタディ:**Venus Protocol のセキュリティ対応
2025年9月のVenusプロトコル事件は、安全対策の改善が実を結びつつあることを示す。攻撃者は侵入したZoomクライアントを利用し、システムアクセス権を取得、1,300万ドルのアカウント委任権を奪取しようとしたが、幸いにも、Venusは1か月前にHexagateのセキュリティ監視プラットフォームを導入していた。
このプラットフォームは、攻撃の18時間前に疑わしい活動を検知し、悪意のある取引が発生した直後に警報を発した。20分以内にVenusはプロトコルを停止し、資金の流出を阻止した。この協調した対応は、DeFiのセキュリティ進化を示す。
特に注目すべきは、Venusがガバナンス提案を通じて、攻撃者が依然としてコントロールしていた300万ドルの資産を凍結した点である。攻撃者は利益を得られず、逆に資金を失った。
この事例は、DeFiのセキュリティインフラが着実に進歩していることを示す。積極的な監視、迅速な対応、そして断固たる行動を取るガバナンスの仕組みが、エコシステムの柔軟性とレジリエンスを高めている。攻撃は依然として発生し得るが、検知・対応・逆転の能力は、初期のDeFi時代の永続的損失と比べて根本的に変わりつつある。
2026年以降への影響
2025年のデータは、北朝鮮が暗号業界最大の脅威として進化を続けている様子を示している。攻撃回数は減少したが、その破壊力は大きく増しており、手口も巧妙かつ忍耐強くなっている。Bybit事件の影響は、北朝鮮が大規模窃盗を成功させた際に活動ペースを落とし、洗浄に専念する傾向を示唆している。
暗号業界にとって、この進化は高価値ターゲットへの警戒を強化し、北朝鮮特有のマネーロンダリングパターンの識別能力を高める必要性を示す。特定のサービスタイプや送金額に対する継続的な偏好は、検知の手がかりとなり、他の犯罪者と差別化し、調査の手掛かりを提供する。
北朝鮮は、暗号窃盗を国家の優先事項資金調達や国際制裁回避に利用し続けており、その運用パターンは典型的なサイバー犯罪者と一線を画している。2025年の記録的なパフォーマンス(既知の攻撃は74%減少)からも、現状はその活動の最も顕著な部分だけを見ている可能性がある。2026年の課題は、Bybit規模の攻撃を再び仕掛ける前に、これらの行動を検知し阻止することにある。
関連資料:暗号セキュリティ損失の激増:攻撃回数は減少も、破壊力は著しく上昇