北朝鮮の28億ドル相当の暗号資産強奪が軍事野心の資金源に

北朝鮮はLazarusのような国家支援のハッキンググループに依存して軍事資金を調達しており、盗まれた暗号資産はその外貨収入のほぼ3分の1を占め、従来の制裁に影響されない安定した不正資金の流れを提供している。

2024年10月22日の報告書で、Multilateral Sanctions Monitoring Teamは、2024年1月から2025年9月の間に北朝鮮の関係者が国家支援のハッキンググループやサイバーアクターを通じて、デジタル資産分野を標的にした暗号資産の窃盗を少なくとも28億ドル分実行したと述べている。

この戦利品の大部分は、2025年2月のBybitのエクスプロイトを含む主要な事件から生じており、これだけで全体の約半分を占めている。報告書は、これらのエクスプロイトを、洗練されたサプライチェーン、ソーシャルエンジニアリング、ウォレット侵害手法を用いる北朝鮮の脅威アクターによるものと特定している。

北朝鮮の高度な窃盗・回避手法

北朝鮮の暗号資産オペレーションは、Lazarus、Kimsuky、TraderTraitor、Andarielなどを中心とした国家関連のハッカーグループの緊密なエコシステムを中心に展開しており、これらのグループの痕跡は過去2年間のほぼすべての主要なデジタル資産侵害事件に見られる。

サイバーセキュリティアナリストによると、これらのチームは平壌の主要情報機関であるReconnaissance General Bureauの下で活動しており、民間セクターの効率性を模倣した攻撃を調整している。彼らの主な革新は、取引所自体を迂回し、取引所が安全な保管のために利用するサードパーティのデジタル資産カストディプロバイダーを直接標的にすることだった。

Safe(Wallet)、Ginco、Liminal Custodyなどの企業のインフラを侵害することで、北朝鮮の関係者はBybit、日本のDMM Bitcoin、インドのWazirXなどのクライアントから資金を盗み出すマスターキーを手に入れた。

DMM Bitcoinへの攻撃は、3億800万ドルの損失と取引所の最終的な閉鎖につながったが、これは数か月前にTraderTraitorのアクターがLinkedIn上でリクルーターを装い、Gincoの従業員に事前面接テストを装った悪意のあるファイルを開かせたことから始まった。

他の国家支援グループもこの主な取り組みと連携して活動している。CryptoCore集団は、洗練度は劣るものの、大量のソーシャルエンジニアリングを実施し、リクルーターやビジネスエグゼクティブを装って標的に侵入している。

一方、Citrine Sleetはトロイの木馬化された暗号資産取引ソフトウェアを展開することで知られている。2024年10月の詳細な事件では、Citrine SleetのアクターがTelegram上で信頼された元請負業者を装い、Radiant Capitalの開発者に悪意のあるZIPファイルを送り、5,000万ドルの窃盗につながった。

資金洗浄の痕跡は北朝鮮に戻る

一度盗まれると、デジタル資産はその出所を隠し、利用可能な法定通貨に変換するための複雑な9段階の資金洗浄プロセスに入る。DPRKのサイバーアクターは、盗んだトークンをEthereumやBitcoinなどの確立された暗号資産に交換し、Tornado CashやWasabi Walletなどのミキシングサービスを利用する。

その後、THORChainやLI.FIなどのクロスチェーンブリッジやアグリゲーターを活用してブロックチェーン間を移動し、混合された資産をTronベースのUSDTに変換して現金化の準備をすることが多い。調査員によると、この全体のオペレーションは主に中国のOTCブローカーのネットワークに依存しており、彼らは洗浄されたUSDTを受け取り、DPRKが管理する銀行口座に中国UnionPayカードを通じて同等の法定通貨を入金している。

この容赦ないデジタル窃盗キャンペーンは、直接的かつ重大な現実世界の影響をもたらしている。暗号資産エコシステムから吸い上げられた数十億ドルは、官僚的な空白に消えるわけではない。MSMTの報告書は、この収入源がDPRKの違法な大量破壊兵器および弾道ミサイルプログラムのための資材や装備の調達に不可欠であると結論付けている。

従来の金融制裁に影響されない膨大な不正資金の流れを提供することで、グローバルな暗号資産業界は兵器化され、平壌の軍事的野望のための規制されていない、かつ不本意な資金提供者となっている。これらの強奪は単なる利益目的の犯罪ではなく、国家政策の一環として、世界の安全保障を脅かす軍備増強に資金を供給している。