※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 北朝鮮のハッカーが2025年に暗号資産を20.2億ドル盗み、前年比51percent増加、累計被害総額は67.5億ドルに到達。攻撃件数は減少傾向。 北朝鮮は、IT労働者を暗号資産サービス内部に配置したり、経営層を標的とした高度ななりすまし手法を用いるなど、少ない件数で巨額の盗難を実現している。 北朝鮮は、中国語系のマネーロンダリングサービスやブリッジサービス、ミキシングプロトコルを好んで利用し、大規模な窃盗後は約45日間で資金洗浄を完了させる傾向がある。 2025年、個人ウォレットの侵害は15万8,000件に急増し、被害者は8万人に達したが、被害総額(7億1,300万ドル)は2024年から減少した。 分散型金融(DeFi)における預かり資産(TVL)は増加したが、2024~2025年のハッキング被害額は抑制されており、セキュリティ対策の強化が効果を発揮している可能性が示唆される。 The Chainalysis 2026 Crypto Crime Report Reserve your copy 暗号資産エコシステムは2025年も厳しい1年となり、盗難被害額は増加傾向が続きました。当社の分析からは、暗号資産盗難のパターンが変化していることが明らかになり、主な変化は以下の4点です。北朝鮮(DPRK)が依然として最大の脅威であること、中央集権型サービスへの個別攻撃が深刻化していること、個人ウォレットの被害が急増していること、そして分散型金融(DeFi)ハッキングのトレンドが従来と異なる動きを見せていることです。 これらの傾向はデータから明確に読み取れ、さまざまなプラットフォームや被害者層で暗号資産盗難の様相が大きく変化していることが分かります。デジタルアセットの普及が進み、資産価値が新たな高みに到達する中で、進化するセキュリティ脅威を理解することがますます重要となっています。 全体像:2025年に34億ドル以上が盗難被害 2025年1月から12月初旬までの間に、暗号資産業界では34億ドル超の盗難被害が発生しました。そのうち、2月のBybitへの攻撃だけで15億ドルを占めています。 この総額の背後では、盗難の構成にも重要な変化が見られます。個人ウォレットの侵害による被害割合は大きく増加し、2022年の全体の7.3%から2024年には44%に拡大。2025年はBybit事件の影響が大きくなければ37%になっていたと考えられます。 一方、中央集権型サービスでは秘密鍵のハッキングによる巨額損失が発生しています。こうしたプラットフォームは豊富なリソースと専門のセキュリティチームを有していますが、根本的なセキュリティ課題により依然として脆弱です。発生頻度は低いものの(以下のグラフ参照)、一度発生すると規模が非常に大きく、2025年第1四半期の損失の88%を占めました。 盗難被害額が高止まりしていることは、一部の分野で暗号資産セキュリティが向上した一方で、攻撃者が複数の手段で成功を収め続けていることを示しています。 上位3件のハッキングが全体損失の69%を占め、被害格差が1,000倍超に拡大 盗難資金の動きは昔から例外的な大型事件が主導していますが、2025年はその傾向がさらに拡大。最大規模のハッキングと全体の中央値の比率が初めて1,000倍を超えました。最大級の事件では、通常規模の事件の1,000倍もの資金が盗まれており、2021年の強気相場のピークさえ上回っています(被害発生時点のUSD換算額)。 こうした格差の拡大により、損失の集中度が劇的に高まっています。2025年の上位3件のハッキングがサービス全体の損失の69%を占め、個別事件が年間合計に極端な影響を及ぼす状況となっています。件数は変動しやすく、資産価格の上昇で損失の中央値も増加しますが、壊滅的な被害が発生するリスクはさらに加速しています。 北朝鮮、件数減少も依然として最大の暗号資産脅威 朝鮮民主主義人民共和国(北朝鮮)は、暗号資産セキュリティに対する国家レベルの最大の脅威であり続けており、攻撃頻度が大幅に減少したと分析される中でも記録的な盗難額を達成しました。2025年、北朝鮮のハッカーは少なくとも20.2億ドルの暗号資産を盗み、前年比51%増(2024年比で6億8,100万ドル増)。金額ベースでは過去最悪の年となり、北朝鮮による攻撃はサービス侵害全体の76%という記録的な割合を占めました。これにより、北朝鮮による暗号資産窃盗の累計下限推計は67.5億ドルとなります。 北朝鮮の攻撃者は、主に暗号資産サービス内部にIT労働者を配置して特権アクセスを獲得し、大規模な攻撃を実現しています。2025年の記録的な被害額は、取引所やカストディアン、Web3企業などでIT労働者を通じた初期アクセスや横展開を強化した結果と考えられます。 さらに最近では、このIT労働者モデルが進化し、単なる従業員としての潜入ではなく、著名なWeb3やAI企業のリクルーターを装い、偽の採用プロセスを通じて被害者の資格情報やソースコード、VPN/SSOアクセスを取得する手法が増加。経営陣を標的とした場合には、戦略的投資家や買収企業を装った偽のアプローチで、ピッチや疑似デューデリジェンスを通じてシステム情報やインフラへのアクセス経路を探るなど、IT労働者詐欺から派生した社会工学的手法が拡大しています。 例年通り、北朝鮮は他の攻撃者に比べて格段に高額な盗難を実行しています。下記グラフの通り、2022~2025年の北朝鮮関連のハッキングは最大規模帯に集中し、非北朝鮮系の攻撃はより均等な分布となっています。北朝鮮の攻撃は大規模サービスを狙い、最大限のインパクトを追求していることがわかります。 2025年の記録的な被害は、確認された件数自体は大幅に減少した中で発生しており、2月のBybit事件の影響が大きいと考えられます。 北朝鮮による独自のマネーロンダリングパターン 2025年初頭の大規模な資金流入により、北朝鮮関連の攻撃者が大規模に暗号資産を洗浄する手法がかつてないほど明らかになりました。他のサイバー犯罪者とは異なる特徴的な手法を持ち、運用上の嗜好や弱点も見えてきます。 北朝鮮のマネーロンダリングは、約60%超の資金が50万ドル未満の送金に集中する独自のブランケットパターンが特徴です。対照的に、他の犯罪者は100万~1,000万ドル超の大口を中心に送金しています。北朝鮮は大きな金額を盗みながらも、オンチェーンの送金は小口に分割して実施しており、高度な資金洗浄の巧妙さが伺えます。 他の犯罪者と比較して、北朝鮮は以下のような資金洗浄手段を強く好みます: 中国語系の資金移動・担保サービス(+355~+1,000%以上):最も特徴的で、多数の洗浄業者から成る中国語圏のマネーロンダリングネットワークを重用。コンプライアンス管理が弱い場合も多い。 ブリッジサービス(+97%差):ブロックチェーン間の資産移動を活用し、追跡を複雑化。 ミキシングサービス(+100%差):資金の流れを隠すための利用が多い。 Huioneなどの専門サービス(+356%):洗浄を促進する特定サービスの戦略的利用。 他の犯罪者は以下を重視: レンディングプロトコル(-80%差):北朝鮮はこれら分散型金融サービスをほとんど利用しない。 KYC不要の取引所(-75%差):意外にも、KYC不要の取引所は北朝鮮よりも他の犯罪者がよく利用。 P2P取引所(-64%差):北朝鮮はP2Pプラットフォームへの関心が低い。 中央集権型取引所(-25%差):他の犯罪者の方が従来型取引所とのやりとりが多い。 分散型取引所(DEX)(-42%差):他の犯罪者はDEXの流動性や匿名性を重視。 このようなパターンは、北朝鮮が一般的なサイバー犯罪者とは異なる制約や目的で動いていることを示唆します。中国語系マネーロンダリングサービスやOTCトレーダーの活用は、北朝鮮の攻撃者がアジア太平洋地域の違法ネットワークと密接に連携していることや、中国拠点のネットワークを国際金融システムへのアクセス手段として歴史的に使ってきた流れとも一致します。 北朝鮮ハッキング後の資金洗浄タイムライン 北朝鮮関連のハッキング後におけるオンチェーンの動きを分析すると、盗難資金が約45日で展開される複数波の資金洗浄経路が一貫して見られます: 第1波:即時レイヤリング(0~5日目) ハッキング直後は、資金源からの距離を取るための急激な動きが発生します: 分散型金融(DeFi)プロトコルへの流入が最も顕著(+370%増)。 ミキシングサービスも大幅増加(+135~150%)、初回のオブスクレーション層を形成。 このフェーズは「初動」による資金分離が目的。 第2波:初期統合(6~10日目)…
