ラザルス・グループの戦略:北朝鮮による累計 67.5 億ドルの暗号資産窃盗オペレーションの内幕
2025年 2月 4日、Safe{Wallet} の開発者「Developer1」が日常的と思われるリクエストを受け取ったとき、自身の Apple MacBook が史上最大の暗号資産強奪事件の侵入口になるとは夢にも思っていませんでした。それから 17日以内に、北朝鮮の Lazarus Group はその侵害された 1台のラップトップを悪用して Bybit から 15億ドルを盗み出しました。これは一部の国家の GDP 全体をも上回る額です。
これは単なる異常事態ではありませんでした。国家に支援されたハッカー集団が、世界で最も洗練された暗号資産窃盗犯へと 10年かけて進化した結果であり、累計で少なくとも 67.5億ドルの窃盗に関与しています。
すべての取引所が警戒すべき数字
北朝鮮による暗号資産窃盗の規模は、かつてないレベルに達しています。Chainalysis の暗号資産犯罪レポート によると、DPRK(北朝鮮)に関連する攻撃者は 2025年だけで 20.2億ドルの暗号資産を盗み出しました。これは前年比 51% の増加であり、全世界の暗号資産窃盗額の約 60% に相当します。
しかし、最も衝撃的な統計は総額ではありません。その効率性です。北朝鮮によるハッキング事件の総数は 2024年と比較して 74% 減少しましたが、1件あたりの被害額は急増しました。Lazarus Group は現在、暗号資産業界におけるサービスレベルの侵害の 76% を占めており、その割合は数年前よりも大幅に上昇しています。
この変化は、TRM Labs が呼ぶところの「暗号資産窃盗の産業化」を象徴しています。つまり、攻撃回数を減らしつつ、より大きな利益を狙い、48時間以内に数億ドルを処理できるマネーロンダリングのインフラを構築しているのです。
Bybit ハッキングの解剖:ソーシャルエンジニアリングの極致
2025年 2月の Bybit 強奪事件は、北朝鮮のハッカーが従来の総当たり攻撃(ブルートフォース)をいかに超越して進化したかを明らかにしました。FBI はこの攻撃を、国家が支援する暗号資産窃盗の代名詞となった悪質なサイバーキャンペーン「TraderTraitor」によるものと断定しました。
攻撃の連鎖は、コードの脆弱性の悪用ではなく、人間を操ることから始まりました。
ステージ 1:侵害
Safe{Wallet} の事後分析 によると、攻撃者はまず、高度なシステムアクセス権を持つ開発者を特定しました。偽の求人や投資案件を装った標的型フィッシングキャンペーンを通じて、開発者に悪意のあるソフトウェアをダウンロードさせました。インストールされると、そのマルウェアは北朝鮮に管理者の MacOS マシンの完全な制御権を与えました。
ステージ 2:静かな潜入
攻撃者はすぐに資金を盗むのではなく、数週間かけて Bybit の取引パターンを調査しました。彼らは AWS セッショントークンを乗っ取り、多要素認証(MFA)を完全にバイパスしました。さらに、Safe{Wallet} のウェブサイトコードを、特定の Bybit 取引によってのみ起動する休止状態のペイロードで改ざんしました。
ステージ 3:抽出
2月下旬、Bybit の従業員が日常的な取引を承認するために Safe{Wallet} を開いたと��き、休止していたコードが作動しました。それは取引の承認プロセスを操作し、当時 15億ドル相当の約 400,000 ETH を攻撃者が管理するウォレットに送金させました。
窃盗の全容は、Bybit のセキュリティチームの目の前でリアルタイムに進行しました。
48時間のマネーロンダリング・マシン
北朝鮮の暗号資産活動が他のサイバー犯罪組織と一線を画しているのは、そのマネーロンダリング・インフラのスピードと洗練度です。TRM Labs の報告 によると、Bybit ハッキングから 48時間以内に、少なくとも 1.6億ドルがすでに不正なルートで処理されており、一部の推計では 2日目の終わりまでにその額は 2億ドルを超えたとされています。
この迅速な洗浄は、Chainalysis が「マルチウェーブ」プロセスと呼ぶ、約 45日間にわたる工程に従っています。
0-5日目:即時のレイヤリング
盗まれた資金は即座に数百の中間ウォレットに分散されます。攻撃者は THORChain や LI.FI といったクロスチェーンブリッジを使用してブロックチェーン間を「チェーンホップ」し、Ethereum を Bitcoin に、その後 DAI などのステーブルコインに変換します。この法域的および技術的な断片化により、包括的な追跡が極めて困難��になります。
6-10日目:初期の統合
混合された資産は、大量の洗浄に適した高速かつ低手数料の Tron ベースの USDT に変換されます。資金は数千の新しいアドレスに配置され、各アドレスの保有額は取引所の監視しきい値に触れない程度の少額に抑えられます。
20-45日目:最終的な統合
洗浄された USDT は、主に中国や東南アジアを拠点とする店頭取引(OTC)ブローカーのネットワークに到達します。これらのブローカーは暗号資産を受け取り、中国の銀聯(UnionPay)カードを介して、相当額の法定通貨を北朝鮮が管理する銀行口座に入金します。
2025年 3月 20日までに、CEO の Ben Zhou 氏は、攻撃者が盗まれた ETH の 86.29% を Bitcoin に変換したことを確認しました。これは、この産業化された洗浄プロセスの効率性を如実に物語っています。
Sony のハッキングから数十億ドルの強奪へ:その進化
Lazarus Group(ラザルス・グループ)を理解するには、彼らが単なる政治的なハッカー集団から、世界屈指の暗号資産窃盗集団へと進化を遂げた過程を辿る必要があります。
2014 年:ソニー・ピクチャーズへの攻撃
このグループが国際的に悪名を馳せたのは、映画『ザ・インタビュー』(金正恩暗殺を描いた作品)へ�の報復として ソニー・ピクチャーズのインフラを破壊 した時でした。彼らは、社内ネットワーク上のデータを消去するワイパー型マルウェアを仕掛け、同時に恥ずべき内部通信を公に流出させました。
2016 年:SWIFT 強奪事件
Lazarus は、SWIFT 国際銀行システムを通じてバングラデシュ銀行から 10 億ドル近くを盗み出そう と試みることで、金銭的な野心を示しました。タイピングミスにより全額の窃盗は阻止されましたが、それでも 8,100 万ドルを持ち逃げしました。これは、後の被害額と比べれば控えめな数字に見えるほどです。
2017 - 2019 年:DeFi への転換
暗号資産の価値が急騰するにつれ、Lazarus は標的を取引所に切り替えました。Bithumb(700 万ドル)や Youbit、その他のプラットフォームに対する初期の攻撃により、暗号資産界隈での悪名を確立しました。これらの攻撃では通常、求人情報やセキュリティアップデートを装ったマルウェア入りのスピアフィッシングメールが使用されました。
2022 年:6 億 2,000 万ドルの Ronin Network 攻撃
Ronin Network のハッキングは大きな転換点となりました。攻撃者は、シニアエンジニアに送られた偽の LinkedIn の求人案内を通じて Sky Mavis を侵害(Axie Infinity の開発元)しました。内��部に侵入した後、彼らはネットワーク内を横展開(ラテラルムーブメント)し、ネットワークから 6 億 2,000 万ドル相当の ETH と USDC を流出させるのに十分なバリデーターキーを掌握しました。
2023 年:ターゲットの集中化
Lazarus は、分散型プロトコルから中央集権型のサービスプロバイダーへと焦点を移しました。わずか 3 か月の間に、Atomic Wallet(1 億ドル)、CoinsPaid(3,730 万ドル)、Alphapo(6,000 万ドル)、Stake.com(4,100 万ドル)、CoinEx(5,400 万ドル)を攻撃しました。FBI は、これらの各攻撃が北朝鮮によるものであると断定しました。
2024 - 2025 年:組織化された窃盗
WazirX のハッキング(2 億 3,490 万ドル)と Bybit の強奪(15 億ドル)は、現在の進化を象徴しています。攻撃回数は減ったものの、インパクトは最大化され、数十億ドルを処理できるマネーロンダリングインフラが構築されています。
人的要因:トロイの木馬としての IT 労働者
直接的なハッキングに加え、北朝鮮は研究者が「Wagemole」戦略と呼ぶ、世界中の正規企業に秘密の IT 労働者を潜り込ませる手法を展開しています。
これらの工作員は、偽造された身分証明書やフロント企業を通じて、リモートの技術職を獲得します。採用されると、彼らは正規の従業員として働きながら、ハッキングチームに情報を提供します。場合によっては、認証情報の提供、セキュリティシステムの無効化、不正な取引の承認などを通じて、直接的に窃盗を幇助することもあります。
Chainalysis によると、2024 年だけでも、IT 労働者を装った北朝鮮の工作員によって、10 以上の暗号資産企業が侵入を受けました。DeFiance Capital の侵害は、スマートコントラクト開発者を装って潜入した Lazarus 工作員によって引き起こされたと報告されています。
この戦略は業界にとって根本的な挑戦となります。攻撃者がすでに正当なアクセス権限を持っている場合、従来の境界型セキュリティは無意味になるからです。
「ClickFake」キャンペーン:兵器化された求人案内
2023 年に開始され、現在も継続している DEV#POPPER キャンペーン は、Lazarus のソーシャルエンジニアリングが高度化していることを示してい��ます。
攻撃は GitHub や LinkedIn といったプロフェッショナルなプラットフォームから始まります。攻撃者はリクルーターや同僚を装い、キャリアの機会についての議論でターゲットを引き付けます。会話は徐々に WhatsApp などのプライベートメッセージングプラットフォームへと移行し、数週間にわたって信頼関係を構築します。
最終的に、ターゲットは、一見正当に見える GitHub リポジトリ(多くの場合、技術テストや暗号資産取引に関連するツールと説明される)をクローンするように促されます。これらのリポジトリには、統合されるとバックドアマルウェアをインストールする悪意のある Node Package Manager (npm) 依存関係が含まれています。
「BeaverTail」と呼ばれるこのマルウェアは、長期間の持続的な潜伏とデータの持ち出し機能を提供します。攻撃者はキー入力を監視し、スクリーンショットを撮り、ブラウザの認証情報にアクセスし、最終的には暗号資産ウォレットを空にするために必要なプライベートキーを取得することができます。
最近の亜種には、正当な Python プロジェクト(「MonteCarloStockInvestSimulator-main.zip」など)を装ったファイルが含まれており、正当な pyyaml ライブラリをリモートコード実行に利用することで、ほとんどのウイルス対策ソフトの検出を回避しています。
盗まれた数十億ドルがなぜ重要なのか
Lazarus Group によって盗まれた暗号資産は、個人の口座に消えるわけではありません。ウィルソン・センターによる分析 によれば、これらの資金は北朝鮮の武器開発プログラムの重要な収入源となっています。
MSMT(国家保衛省)の報告書は、この収益源が「北朝鮮の違法な大量破壊兵器および弾道ミサイルプログラムのための資材や設備を調達する」ために不可欠であると結論付けています。
この繋がりにより、暗号資産のセキュリティは、単なる金融上の懸念から国際安全保障の問題へと引き上げられます。ハッキングが成功するたびに、地域および世界の安定を脅かす武器の開発に資金が提供されているのです。
国家レベルの攻撃者への防御
Bybit のハッキング事件は、高度なセキュリティを備えた資金力のある取引所であっても依然として脆弱であることを明らかにしました。Lazarus の手法を分析することで、いくつかの教訓が得られます。
ヒューマン ・ レイヤーを最優先に
大規模なハッキングのほとんどは、技術的なエクスプロイトではなく、ソーシャル ・ エンジニアリングから始まります。組織は、外部との通信、特に求人、投資機会、技術協力の依頼を含むものに対して、厳格な検証プロトコルを導入する必要があります。
侵害を前提とする
「Wagemole」戦略は、内部関係者がすでに侵害されている可能性があることを意味します。重要なトランザクションに対するマルチパーティ承認、職務分掌、および継続的な行動監視が不可欠になります。
ハードウェア ・ セキュリティ ・ モジュール
ソフトウェアベースのキー管理は、マルチシグネチャ(マルチシグ)ウォレットを使用していたとしても、Lazarus に対しては不十分であることが証明されました。トランザクションの承認に物理的な操作を必要とするハードウェア ・ セキュリティ ・ モジュール(HSM)は、追加の障壁となります。
トランザクション制限
1 回のトランザクションで 15 億 ドル を流出させることができるという事実は、根本的な設計上の欠陥を示しています。速度制限や、高額出金のタイムラグ(時間遅延)を導入することで、主要な制御が失敗した場合でも、検知の機会を確保できます。
ブロックチェーン ・ フォレンジックの統合
ブロックチェーン分析プラットフォームとのリアルタイムな連携により、不審なトランザクションパターンを特定し、資金洗浄ネットワークを通過する資金を追跡できます。早期検知は、資産回収の可能性を高めます。
今後の展望
北朝鮮の暗号資産窃盗オペレーションは、場当たり的なハッキングから、組織化された国家主導の��金融犯罪へと進化しました。グループによる累計 67.5 億 ドル の窃盗額は、決意を固めた国家レベルの敵対者に対して、従来のセキュリティアプローチが不十分であることを物語っています。
業界は厳しい選択を迫られています。脅威に見合ったセキュリティ対策を講じるか、あるいは敵対的な国家勢力の ATM として機能し続けるかです。かかっている資金の規模と、それが最終的に兵器開発に使用されることを考えると、これは単なるビジネス上の決断ではなく、グローバルな安全保障の問題です。
取引所、カストディアン、DeFi プロトコルにとって、Lazarus グループ の手口は警鐘となるはずです。攻撃者は、忍耐強さ(侵害されたシステム内に数週間潜伏)、高度な技術(セッショントークンのハイジャックによる多要素認証の回避)、そして効率性(48 時間以内に数億ドルを洗浄)を示してきました。
北朝鮮のハッカーが再び 10 億 ドル 規模の強奪を試みるかどうかではなく、その時に業界がより適切な準備を整えているかどうかが問われています。
BlockEden.xyz は、組み込みのセキュリティ監視と異常検知を備えたエンタープライズグレードのブロックチェーンインフラストラクチャを提供しています。当社の RPC エンドポイントは、Web3 アプリケーションを保護するためにリアルタイムの脅威インテリジェンス統合をサポートしています。API マーケットプレイスを探索する して、安全な基盤の上に構築しましょう。