著者:弁護士 劉紅林
過去6ヶ月間、仮想通貨業界は潮が引いた後の砂浜のように閑散としていた。
人々はまだここにいるし、プロジェクトもまだ存在するが、新しいプロジェクトが次々と立ち上がり、資金調達の発表があちこちで行われ、グループチャットで人々が毎日参加を熱望しているという感覚は、かなり薄れてしまった。
残りのチームメンバーは、ビジョンや長期目標について語るだろうが、内緒ではもっと実際的なこと、つまり口座にいくら資金があるのか、コストをさらに削減するにはどうすればよいのか、チームを安定させ、弱気相場の冬を乗り切るにはどうすればよいのかといったことについて話し合うことが多い。
しかし、弱気相場においてプロジェクトチームにとって最も深刻な問題は、コイン価格の下落や資金調達の困難さだけではなく、すでに苦境に立たされている家族が、資産の盗難など、さらに深刻な問題に見舞われることにある場合もある。
強気相場で損失を出すのは辛いことだが、弱気相場で損失を出すのは本当に壊滅的な打撃だ。
I. ドリフトが2億8500万ドルの盗難被害に遭う
今回ハッキング被害に遭ったのはDrift社で、2026年初頭以降で最大規模のDeFi攻撃の一つとなり、約2億8500万ドルが盗まれた。
Solanaエコシステムに詳しい方なら、この名前をご存知でしょう。これは主に無期限契約取引に特化した分散型取引所ですが、現物取引、貸付、保管サービスも提供しています。公式ドキュメントでは、Solana上で最大規模のオープンソース無期限契約分散型取引所の1つと説明されています。
公開された情報によると、攻撃は2026年4月1日に発生したが、その6ヶ月前から準備が進められていた可能性がある。2025年秋、定量取引チームを名乗るグループが、大規模な業界カンファレンスでDriftのスタッフに接触した。その後のグループチャット、会議、戦略や事業統合に関する議論はすべて通常通りに進んだ。さらに重要なことに、彼らは単に言及しただけでなく、実際に100万ドル以上の資金をエコシステムの金庫に預け入れた。彼らは知る由もなかったが、これはより大きな獲物を釣り上げるための長期戦略だったのだ。
Driftだけを見れば、この事件はせいぜい一流プロジェクトにおけるセキュリティ侵害の一つに過ぎないように見えるかもしれない。しかし、過去数年間に業界で発生した他の重大な事例と比較すると、状況は全く異なってくる。
複数の事件は、たとえどれほど堂々巡りをしても、最終的には北朝鮮に行き着くだろう。
II.北朝鮮のハッキング成果
2025年2月、FBIは、Bybitが所有する約15億ドル相当の仮想資産が北朝鮮によって盗まれたことを公表し、これは北朝鮮のいわゆる「トレーダートレイター」作戦によるものだと断定した。
2025年末、Chainalysisは、北朝鮮のハッカーが2025年に少なくとも20億2000万ドル相当の暗号資産を盗んだことを示す年次データを公開した。これは前年比51%増であり、過去の累積被害額の下限は67億5000万ドルに達した。さらに、北朝鮮による攻撃件数は減少したものの、個々の攻撃規模はますます大きくなっているという非常に顕著な特徴も明らかになった。
北朝鮮という名前は、BybitやDriftのおかげで最近になって急に浮上したわけではありません。何年も前から存在しており、仮想通貨業界におけるその存在感は弱まるどころか、むしろ強まっています。
さらに遡ると、北朝鮮における通貨窃盗の記録も非常に一般的である。
2024年、ロイター通信は国連制裁専門家の資料を引用し、国連が2017年から2024年の間に北朝鮮が仮想通貨企業に対して行ったとされる97件のサイバー攻撃を調査し、被害額は約36億ドルに上ると報じた。
2024年11月、韓国警察は、約4200万ドル相当のイーサリアム盗難事件(2019年発生)が、北朝鮮の軍事情報機関とつながりのあるハッカー集団と関連していると公表した。
ドリフト作戦に関するもう一つの詳細は、関係するセキュリティチームの支援を受けて、現在のところ、この作戦と2024年10月のラディアント・キャピタル攻撃の両方が北朝鮮と関連しているという見解で一致しているということである。
これらをまとめて見ると、無関係な事例の寄せ集めではなく、むしろ同じタイプの人々が、異なるプロジェクト、異なる時期、異なる状況において、洗練された成熟した手法を繰り返し用いていることがわかる。
III. 北朝鮮ハッカーの収集システム
現時点でこの記事が本当に議論したいのは「北朝鮮が最近どれだけのお金を盗んだか」ではなく、業界関係者がもっと注目すべき別の点です。ここ数年、人々が仮想通貨業界について語るとき、彼らの注目は香港、米国、ドバイに集中し、ライセンス、ETF、ステーブルコイン、パブリックチェーン、決済、RWA、カストディといった表向きの話題に向けられてきました。
しかし、もう一つ、より説得力のある事実は、北朝鮮こそがこの業界から最も一貫して、組織的に、そして体系的に、実際に資金を搾取してきた国であるということだ。
北朝鮮が仮想通貨業界に関与しているという話を聞くと、多くの人がまず思い浮かべるのは、ハッキング組織、仮想通貨の窃盗、資金洗浄といった、昔ながらのイメージだ。確かにこれらの表現は正しいが、振り返ってみると、北朝鮮の影響力は過小評価されているかもしれない。
なぜなら、その行為はもはや単に「いくつかのプロジェクトをハッキングする」というレベルをはるかに超えているからだ。より正確に言えば、仮想通貨業界を悪用するための包括的なシステムをますます開発しているのだ。
第1段階:大規模な通貨窃盗
取引所、クロスチェーンブリッジ、ウォレット、プロトコルへの攻撃は、資産の直接的な窃盗を可能にする。Bybitはその典型的な例であり、15億ドル規模の取引はもはや業界では珍しい出来事ではない。
Chainalysisの2025年レポートでは、北朝鮮関連の攻撃がその年のサービスプラットフォームにおける窃盗事件全体の76%を占め、上位の事件が損失の大部分を占めていたことも指摘されている。これは、北朝鮮が広範囲に網を張る泥棒ではなく、資源を集中させ、標的を選定し、大物を捕らえることにますます長けていることを示している。
第二層:変装と潜入
彼らはプロジェクトチームに接近し、関係を築き、一見するとごく普通の業界関係者を装った。Driftのケースはその典型的な例だ。相手は突然現れた全く見知らぬアカウントではなく、イベントで会ったり、グループチャットで話したり、多くのビジネスの詳細について話し合ったりしたことのある人物だったのだ。
ロイター通信はまた、北朝鮮のハッカーが偽の求人広告を作成することで、仮想通貨業界への浸透を強めていると報じた。これらの偽の求人広告、偽の企業ウェブサイト、偽の技術テスト、偽の面接プロセスが恐ろしいのは、その目新しさではなく、業界内の実際の業務の流れをそっくりそのまま模倣している点にある。
第三層:遠隔潜入者
2025年6月に米国司法省が発表した事例によると、北朝鮮の通信技術者らは盗まれた、あるいは偽造された身分証明書を使って、100社以上の米国企業でリモートワークの仕事を見つけていたことが明らかになった。この一連の行為の背後には、偽のウェブサイト、フロントエンド企業、コンピュータ転送拠点、資金洗浄口座といった支援組織が存在していた。
FBIの指名手配情報によると、一部の人物はリモートアクセス権限を利用して2社から90万ドル相当以上の仮想通貨を盗み出したことも明らかになった。このレベルになると、リスクはもはや「外部からの攻撃」ではなく、「既に侵入者がいる」状態となる。一度侵入されてしまうと、採用、機器、コードリポジトリへのアクセス、財務処理、エンドポイント管理といった一見些細な事柄も、組織的なセキュリティ攻撃や資産略奪の道具となり得るのだ。
第4層:資金洗浄と収益化
最後の層は、バックエンドの資金洗浄および資金処理機能です。ロイター通信は、2024年の国連制裁専門家の資料を引用し、北朝鮮が2024年3月に、関連事件で以前に盗まれた1億4750万ドルの資産を資金混合ツールを使用して処理したと報じました。同報告書はまた、国連がこうしたサイバー攻撃は資金の獲得、制裁の回避、および兵器開発計画の支援に関連していると考えているとも述べています。
北朝鮮は単に「盗んで終わり」というわけではなく、解体、転用、粛清、そして収益化のためのあらゆる能力を備えている。
IV.なぜ仮想通貨業界なのか?
多くの正当なプロジェクトは、強気相場と弱気相場のサイクルを一度経ただけで失敗に終わる。チームは解散し、製品は開発中止となり、コインの価格はゼロにまで下落する。しかし、北朝鮮は違う。記者会見も開かず、ロードマップもブランドストーリーもないが、毎年着実に業界から資金を調達しており、その手法はますます洗練されてきている。
北朝鮮が仮想通貨業界を注視するのは、これらの新しい概念に特に興味があるからではなく、この業界が北朝鮮にとって真に役立つからである。
まず、資金の盗難が容易になります。従来の金融システムでは、多くの資金はアクセス不可能であったり、アクセスに多大なコストがかかったりします。銀行、決済機関、国境を越えた規制、制裁リストなど、あらゆる層が障壁となります。しかし、オンチェーンの世界では、フロントエンドでエントリーポイントさえ見つけることができれば、その後の分割、クロスチェーン操作、再分配の範囲ははるかに広くなります。盗まれた資産がオンチェーンシステムに入ると、その後の処理スペースと難易度は、従来の金融とは全く異なります。
第二に、組織が侵入しやすいという点があります。暗号通貨業界は本質的にグローバル化され、リモートワークが多く、軽量です。誰もがソーシャルメディア、ビデオ会議、コードプラットフォーム、ドキュメント作成ツール、テストおよび配信ツールを利用して、コラボレーション、開発、資金調達、運用、統合、マーケットメイキングを行っています。通常、これは効率性につながりますが、別の視点から見ると、攻撃対象領域が広がっていることを意味します。
V. 仮想通貨実務者のための対処ガイドライン
多くの仮想通貨プロジェクトチームにとって、これは遠い国際政治のニュースではなく、むしろ今日の業界が直面する最も差し迫った運用リスクの一つです。これは抽象的なセキュリティ警告ではなく、非常に現実的なビジネス上の問題なのです。
1. 従業員の採用とリモート管理
米国司法省とFBIは、北朝鮮のIT担当者が盗まれた身分証明書や偽造された身分証明書を使って米国企業のリモートワークの職に応募し、米国内のコンピュータ中継地点を経由して企業から送られてくる機器を受け取り、その後リモートで企業ネットワークにアクセスする可能性があるというリスクを詳細に説明しています。暗号通貨業界のスタートアップ企業にとって、コードリポジトリ、本番環境、ウォレット、デプロイメントプロセス、金融バックエンドシステム、および本人認証データへのアクセスを伴う職は、履歴書と成果物だけで採用することはもはや不可能です。
少なくとも3つのことを行う必要がある。
まず、本人確認は横断的な方法で行われるべきであり、専門的なソーシャルネットワーキングプラットフォーム、ビデオインタビュー、パスポート写真だけに頼るべきではない。
第二に、機密性の高い職務においては、制御可能な機器を使用しなければならず、中核業務を処理するために純粋に個人用コンピュータを使用することは、長期間にわたって容認できない。
第三に、特に試用期間中の従業員、外部委託業者、契約社員に対しては、デフォルトでアクセス権限を最小限に抑えるべきです。最初はアクセス権限を多く与えすぎず、後から徐々に減らしていくようにしましょう。
2. パートナーの本人確認
Driftが業界に与えた最も重要な教訓の一つは、直接会ったことがある、オンラインでスムーズに会話できた、専門的な質問をしたことがある、あるいは実際に投資したことがあるというだけで、その人が信頼できる人物だと自動的に思い込むことはもはやできないということだ。
より現実的なアプローチとしては、名刺、公式ウェブサイト、ソーシャルメディアだけにとどまらない検証を行うべきです。検証には、企業登録情報、過去のプロジェクト記録、実際のチームメンバー、共通の知人からのフィードバックの確認などが含まれるべきです。必要に応じて、検証可能な組織文書の提出を求めましょう。関係が長くなり、協力関係が深まるほど、リスク管理対策はより重要になります。
3.セキュリティ監査の強化が必要である。
現在、多くのチームがセキュリティ監査について語る際、スマートコントラクト監査、ウォレット管理、マルチシグネチャ設定、オンチェーン監視などを思い浮かべます。もちろん、これらはすべて必要ですが、もはやそれだけでは十分ではありません。
今日、注目すべきは「人間のワークフロー」です。外部コードリポジトリをダウンロードできるのは誰か、マルチシグネチャ関連デバイスにアクセスできるのは誰か、本番環境に入ることができるのは誰か、財務承認をトリガーできるのは誰か、コア権限にアクセスできる端末は誰か、といった点です。多くのチームは、これらの問題についてシステムディスクのチェックを定期的に実施していません。
より現実的なアプローチとしては、少なくとも四半期に一度はアクセス制御とエンドポイントの監査を実施することです。まず、マルチシグネチャアカウントへのアクセス権を持つユーザー、コアコードリポジトリを閲覧できるユーザー、本番環境にアクセスできるユーザー、財務承認権限を持つユーザーを把握します。次に、該当するデバイスを隔離し、リスクチェックを実施します。Drift自体もアップデートの中で、検査チームの監査、アクセス権限を持つユーザーの特定、マルチシグネチャアカウントにアクセスできるすべてのデバイスを潜在的なターゲットとして扱うことをユーザーに促しています。
4. 安全予算は運営費の一部である。
小規模なチームの多くは、監査、リスク管理、プロセス設計、エンドポイント管理といった分野でコストがかかり、時間がかかり、業務に悪影響を及ぼすと考えて、手抜きをしがちです。しかし、近年の北朝鮮関連の攻撃の特徴は、高収益の投資のために多大な時間とリソースを惜しみなく投入する姿勢です。これは、多額の顧客資産を管理する暗号資産業界関係者にとって、厳しい教訓となるはずです。
仮想通貨業界が現在の状態に発展するにつれ、人々はしばしば同じ疑問を抱きます。一体何が変わったのでしょうか?
支払い方法を変えたと言う人もいれば、資産発行のあり方を変えたと言う人もいるだろう。また、世界の資本の流れ方を変えたと言う人もいるだろう。
しかし、分析に北朝鮮を含めると、少なくとも一つの変化が見られる。それは、これまで従来の金融システムでは制約を受けていた国が、長期的に運用でき、国境を越えて資金が流れ、継続的に資金にアクセスできる手段を初めて見つけることができたということだ。
しかし、それは最も直接的で、同時に最も品位に欠ける方法で行われた。
