北朝鮮系、2025年に暗号資産を20億ドル奪取—大型標的集中と“内側からの侵入”でカストディの綻びを突く

今日の深掘りポイント

• 2025年の北朝鮮系による暗号資産窃取は約20億ドル、前年比で大幅増。大口案件への集中と個人ウォレット大量被害の二極化が進んでいると見える状況です。
• 攻撃はソーシャルエンジニアリングと人材工作（リモート採用・請負形態の“内通化”）に比重を移し、秘密鍵・種フレーズ・管理者アカウントの奪取に収斂しています。
• 組織側はホットウォレット露出、鍵保護（HSM/MPC/セレモニー）、出庫ポリシー、管理者アカウントのMFA/ファイドキー化、従業員・委託先の審査と監査がボトルネックです。
• ランドリーはチェーンホッピングやミキサーに加え、高速・高流動性チェーンへの移送が主流。対応は制裁スクリーニングとリアルタイム・オンチェーン監視の統合が肝になります。
• 本件は確度・蓋然性が高く、即応の難易度は高いが行動可能性も十分。CISOは「キーと人」の統合リスク管理へ投資の重心を移すべき局面です。

はじめに

Chainalysisの分析をもとに、2025年の北朝鮮系クラスターによる暗号資産窃取は約20億ドルに達し、前年から大幅に増加したと報じられています。攻撃は、標的組織に北朝鮮のIT労働者を潜り込ませる、または従業員を騙して認証情報や内部情報を得る手法に重点が移り、加えて個人ウォレットに対する大規模なドレイナー型攻撃が増勢です。2025年の盗難インシデントは約15.8万件、ユニーク被害者は約8万人と報じられています。これらはHelp Net SecurityによるChainalysis報告の要点です［出典: Help Net Security］（一次レポートへの直接リンクは同記事参照）https://www.helpnetsecurity.com/2025/12/18/crypto-theft-2025-north-korean-domination/。

本件は、信頼性や発生可能性の観点で高リスクに分類すべき性質を持ち、かつ即時の止血は難しい一方で、鍵管理・出庫制御・人事/委託先統制の再設計によって被害規模を秩序立てて抑制できる領域が明確です。大口標的集中というトレンドは、個社の制御設計が破られた場合の損失の「上限」をいかに小さくするか、つまり“ブレーク時の上限管理”が鍵であることを示唆します。

深掘り詳細

事実整理（確認できるポイント）

• 2025年、北朝鮮系による暗号資産窃取は約20億ドル、前年から約5割増。少数の大型標的に集中する戦術への転換が指摘されています［出典: Help Net Security（Chainalysis報告を要約）］。
• 「北朝鮮IT労働者」の就業・委託を通じた内部情報収集や、従業員を欺く手口が顕著化。内部に近い立ち位置から秘密鍵・種フレーズ・管理者アカウントへの接近を図る設計です［同上］。
• 個人ウォレットの被害が急増し、2025年に約15.8万件の盗難、約8万人のユニーク被害者が発生。特定チェーン（報道ではSolana）の被害が目立ったとされています［同上］。

一次資料の公開版や完全数値の内訳はHelp Net Security記事を経由して参照されるため、最終確認ではChainalysisの原資料を精読することを推奨します。

インサイト（編集部の評価と示唆）

• 戦術の主軸は「鍵を奪えば全てが終わる」領域への回帰です。ブリッジ脆弱性やスマートコントラクトのエクスプロイトから、よりROIの高い“人・鍵・運用”の弱点攻撃へ。ホットウォレットと管理者アカウントに対する心理的・組織的圧力（採用・委託・日常業務の中での欺き）が主戦場になっています。
• 大口標的集中は、攻撃者のオペコスト圧縮と、規制環境でのランドリー効率の最適化を反映した可能性があります（仮説）。少数の“当たれば大きい”目標に作戦資源を投下し、成功時はチェーンホッピングとミキサーで一気に拡散します。
• 個人ウォレットの大量被害は「ドレイナー即時性×ユーザー体験（UX）上の誤認」の掛け算です。許可トランザクションの可視化不足、危険な権限要求（無制限スプール、setApproval系）、ドメイン偽装、署名シミュレーションの欠如など、プロダクト側で抑止できる余地がまだ大きいです。
• メトリクス全体感としては、信頼性・発生蓋然性が高く、業界にとって厳しい内容ながらも、即時かつ持続的な改善余地が見える“行動可能な危機”です。対応の優先順位は「鍵→人→出庫ポリシー→オンチェーン監視→ランドリー対抗」の順でリターンが見込めます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説ベースのシナリオです。実事案は多様ですが、運用設計の見直しに必要な抽象化を意図しています。

• シナリオ1: カストディ/取引所のホットウォレット出庫を狙う“内側からの侵入”

  • リソース準備/偵察: T1585（アカウント作成）、T1593（公開サイト探索）、T1589（人物情報収集）
  • 初期侵入: T1199（信頼関係の悪用：委託・雇用）、T1566（スピアフィッシング：リンク/サービス）、T1190（公開アプリ悪用）
  • 権限獲得/横移動: T1078（正規アカウント悪用）、T1021（リモートサービス）、T1059（スクリプト）
  • 資格情報・鍵: T1552.004（プライベートキー）、T1555.003（ブラウザ資格情報）、T1056.001（キーロギング）
  • 防御回避/持続化: T1036（偽装）、T1027（難読化/圧縮）
  • 実行/資産移転: 出庫APIの乱用、ポリシー迂回で高速出庫、チェーンホッピング
  • 影響: 大規模資金流出、制裁対象との接触リスク、顧客返金負担と運転資金圧迫

• シナリオ2: MPCカストディのしきい値破り（部分鍵＋ポリシー実装の隙）

  • 初期侵入は上記同様。MPCノードの一部と出庫承認ワークフローを分離破り、T1078/T1021でオーケストレーション面に侵入
  • 秘密分散そのものは崩さずとも、承認ロジックと監査ログのギャップを突いて少額分割出庫を連鎖（仮説）
  • 影響: 「単発の大穴」は抑えられるが、長期間のドリップ型流出で総額が積み上がる

• シナリオ3: 個人ウォレットの大規模ドレイニング

  • 初期侵入: T1566（フィッシング）、T1189（ドライブバイ）、悪性ウォレット接続UI
  • 資格情報・鍵: T1552.004（プライベートキー/種フレーズ）、T1555.003（ブラウザ/拡張）
  • 実行: 危険な許可要求の承認誘導、署名リプレイ、モバイルでの確認バイパス
  • 影響: 短時間に広範な被害、対応コストの大半がユーザーサポートに消費

共通する二次被害として、制裁・AML遵守の観点から対外決済や流動性調達の摩擦増大、事業継続に関わる法的・信用リスクの跳ね上がりが避けられない点を強調したいです。

セキュリティ担当者のアクション

“鍵と人と出庫”に直結する実装・オペレーションから順に、優先度高で着手することを推奨します。

• キー/ウォレットの保護設計

  • HSMまたはMPCの採用を前提に、「鍵の所在不明化」と「鍵素材への人のアクセスをゼロに近づける」原則を徹底します。
  • ホットウォレット残高の上限・時間分割（velocity limit）・撤退時のサーキットブレーカー（一定閾値や異常パターン検知で出庫停止）をオンチェーン/オフチェーン双方で実装します。
  • 出庫は多段承認（4-eyes/6-eyes）＋独立経路の確認（別管理ドメイン・別デバイス）＋FIDO2物理キーの必須化で、フィッシング耐性を確保します。
  • 秘密鍵・種フレーズ・復旧手順の“セレモニー”を定期的に監査し、収録・持ち出し・ログの改ざん耐性をチェックします。

• アクセス管理と運用

  • 管理者アカウントはきめ細かなJITアクセス/PAMで恒常権限を排し、デプロイ/出庫など高リスク操作に強制的なタイムロックを設けます。
  • 認証はFIDO2ベースを標準にし、SMS/プッシュ疲労を排除。SSOプロバイダのリスク設定（国・ASN・デバイス指紋）を最大化します。
  • CI/CD・秘密情報庫（シークレットマネージャ、KMS）へのアクセスはネットワーク分離と踏み台制御で限定し、監査ログの改ざん検出を有効化します。

• 出庫ポリシーとプロダクトセーフティ

  • 出庫先の許可リスト（allowlist）、高リスクタグのブロック、自動分割・遅延承認を政策化します。
  • ウォレット接続時の「トランザクション・シミュレーション」「権限の人間可読表示」「危険権限（無制限承認等）の赤旗表示」をデフォルトにします。
  • ドメイン結合（origin binding）とコントラクト検証、署名要求の差分提示でユーザーの誤承認を減らします。

• 人とサプライチェーンの統制

  • リモート採用・委託（特に開発・運用・サポート）には強化審査（身元・就業履歴・報酬/送金先の制裁スクリーニング）と最小権限、職務分掌を徹底します。
  • 高感度権限を持つ従業員の行動分析（ABAC/UBA）で異常な時間帯・地理・操作の検出を運用化します。
  • サードパーティ製ライブラリ・ブラウザ拡張・ウォレットSDKのサプライチェーン監査と署名検証、依存関係の継続的SCAを実施します。

• 検知とインテリジェンス

  • オンチェーン監視（自社アドレス・ミラーアドレス・運用金庫）に、制裁・高リスククラスタ情報のリアルタイム照合を統合します。
  • メモリプール監視で異常パターン（短時間の大量出庫、既知悪性クラスタへのルーティング）を検出し、自動サーキットブレークと連携します。
  • 盗難発生時の「緊急伝達網」（主要取引所・カストディ・ブリッジ運営者・法執行）を定義し、フラグ付けとフリーズ要請のプレイブックを事前に整備します。

• 規制・リスクマネジメント

  • 制裁・AMLスクリーニングのカバレッジを拡充し、トラベルルール実装・VASP間連携のSLAと運用を点検します。
  • 巨額損失時の流動性・顧客返金・開示のシミュレーション（机上演習）を四半期ごとに実施し、ボードレベルでのリスク許容度と備えをすり合わせます。

最後に、今回の指標は“悪材料は多いが手を打てる領域が明確”であることを示しています。鍵と人のリスクを製品設計・業務運用・人事統制の三位一体で縮減し、出庫の上限管理と即時遮断の仕組みを標準装備にすることが、2026年に向けた最大の防御投資になります。

参考情報

• Help Net Security: Crypto theft in 2025: North Korean hackers continue to dominate（Chainalysis分析の要約）: https://www.helpnetsecurity.com/2025/12/18/crypto-theft-2025-north-korean-domination/