北朝鮮のハッカーが「肥年」を迎える：2025年に盗難資金が記録を更新し、マネーロンダリングの周期は約45日。

原文タイトル：北朝鮮、記録的な20億ドルの暗号盗難年を推進し、総額を67.5億ドルに押し上げる

原文出典：Chainalysis

原文翻訳：Felix, PANews

近年の北朝鮮ハッカーによる暗号業界への攻撃に関して、Chainalysisは2025年のハッキング報告書で北朝鮮ハッカーの攻撃行動を重点的に分析しました。以下は内容の詳細です。

要点：

· 北朝鮮ハッカーは2025年に20.2億ドル相当の暗号通貨を盗み、前年比51%増加しました。攻撃回数は減少しましたが、累積盗難総額は67.5億ドルに達しました。

· 北朝鮮ハッカーは、より少ない攻撃回数でより多くの暗号通貨を盗むことができ、ITスタッフを暗号サービス内部に配置したり、幹部を狙った複雑ななりすまし戦略を使用したりすることがよくあります。

· 北朝鮮ハッカーは明らかに中国語のマネーロンダリングサービス、クロスチェーンブリッジサービス、ミキシングプロトコルを好み、大規模な盗難事件の後、そのマネーロンダリングサイクルは約45日です。

· 2025年、個人ウォレットの盗難事件は15.8万件に急増し、8万人のユーザーが被害を受けましたが、盗まれた総額（7.13億ドル）は2024年より減少しました。

· DeFiの総ロック価値（TVL）が増加したにもかかわらず、2024年から2025年のハッキング攻撃による損失は依然として低水準にとどまっており、セキュリティ対策の改善が顕著な効果をもたらしていることを示しています。

2025年、暗号エコシステムは再び厳しい挑戦に直面し、盗まれた資金は引き続き増加しています。分析によれば、暗号盗難のパターンには4つの重要な特徴があります：北朝鮮ハッカーは依然として主要な脅威源である；中央集権サービスに対する個別攻撃が深刻化している；個人ウォレットの盗難事件が急増している；DeFiのハッキング攻撃の傾向に意外な分化が見られる。

全体状況：2025年の盗難額は34億ドルを超える

2025年1月から12月初旬までの間に、暗号業界での盗難額は34億ドルを超え、そのうち2月のBybitが受けた攻撃だけで15億ドルを占めました。

データはこれらの盗難事件の重要な変化も明らかにしています。個人ウォレットの盗難事件は大幅に増加し、2022年の盗難総額の7.3%から2024年には44%に上昇しました。もしBybitの攻撃事件の影響がなければ、2025年にはこの割合は37%に達していた可能性があります。

同時に、プライベートキーインフラストラクチャや署名プロセスに対する複雑な攻撃により、中央集権サービスはますます大きな損失を被っています。これらのプラットフォームは機関リソースと専門のセキュリティチームを持っていますが、コールドウォレットの制御を回避できる脅威には依然として脆弱です。このような侵入事件は頻繁には発生しませんが（以下の図参照）、一度発生すると巨額の盗難資金をもたらし、2025年第一四半期にはこのような事件による損失が総損失の88%を占めました。多くの攻撃者は、第三者のウォレット統合を利用する方法を開発し、署名者に悪意のある取引を承認させるように仕向けています。

暗号セキュリティが特定の分野で改善されている可能性があるにもかかわらず、盗まれた金額が高止まりしていることは、攻撃者が依然としてさまざまな手段で成功を収めていることを示しています。

上位3件のハッキング攻撃による損失は総損失の69%を占め、極端な値は中央値の1000倍に達する

資金の盗難事件は常に極端な事件によって駆動されており、大多数のハッキング攻撃は比較的小規模ですが、少数の規模が巨大なものもあります。しかし、2025年の状況は悪化しました：最大規模のハッキング攻撃とすべての事件の中央値との比率が初めて1000倍の閾値を突破しました。現在、最大規模の攻撃で盗まれた資金は通常の事件で盗まれた資金の1000倍であり、2021年のブルマーケットのピークをも超えています。これらの計算は、盗まれた資金が盗まれた時のドル価値に基づいています。

この拡大するギャップは損失を高度に集中させています。2025年の上位3件のハッキング攻撃による損失はすべての損失の69%を占め、単一の事件が年間総損失に与える影響は異常に顕著です。攻撃頻度は変動する可能性がありますが、資産価格の上昇に伴い中央値の損失も増加しますが、個別の重大な脆弱性による潜在的な損失はより早いペースで増加しています。

確認された攻撃事件は減少しているが、北朝鮮は依然として主要な脅威

攻撃頻度は大幅に減少しましたが、北朝鮮は暗号セキュリティに対して最も深刻な脅威をもたらす国であり、2025年に盗まれた暗号通貨の資金は新たな高値を記録し、少なくとも20.2億ドル（2024年より6.81億ドル増加）に達し、前年比51%増加しました。盗まれた金額に関しては、北朝鮮の暗号通貨盗難事件の記録の中で最も深刻な年であり、北朝鮮が引き起こした攻撃はすべての侵入事件の76%を占め、歴史的な新高値を記録しました。全体として、北朝鮮が盗んだ暗号通貨の累積総額は、最低でも67.5億ドルに達しています。

北朝鮮ハッカーは、ITスタッフを暗号サービス内部に配置して特権アクセスを取得し、大規模な攻撃を実施することがますます増えています。今年の記録的な攻撃事件は、北朝鮮が取引プラットフォーム、ホスティング機関、Web3企業への浸透にITスタッフをより多く依存していることを反映している可能性があり、これにより初期アクセスと横の移動が加速し、大規模な盗難の条件を整えています。

しかし、最近北朝鮮に関連するハッカーグループは、このIT作業者モデルを根本的に覆しました。彼らはもはや職を申し込んで従業員として潜入するだけではなく、ますます多くの有名なWeb3やAI企業のリクルーターを装い、巧妙に偽の採用プロセスを計画し、最終的には「技術選考」を口実にして、被害者のログイン資格情報、ソースコード、現在の雇用主のVPNまたはシングルサインオン（SSO）アクセスを取得しています。幹部レベルでは、同様のソーシャルエンジニアリング手法が偽の戦略的投資家や買収者の接触として現れ、彼らは紹介会議や偽のデューデリジェンスを利用して、敏感なシステム情報や潜在的な高価値インフラを探ります------この進化は、北朝鮮のIT作業者の詐欺行為に基づいて直接構築されており、戦略的に重要なAIやブロックチェーン企業に焦点を当てています。

過去数年にわたって見られたように、北朝鮮が継続的に実施しているサイバー攻撃の価値は他のハッカーよりもはるかに高いです。以下の図に示すように、2022年から2025年にかけて、北朝鮮ハッカーの攻撃は最高の価値範囲を占めており、非北朝鮮ハッカーの攻撃はすべての盗難規模において比較的均等に分布しています。このパターンは、北朝鮮ハッカーが攻撃を行う際に、大規模なサービスをターゲットにし、最大の影響を与えようとすることをさらに示しています。

今年の記録的な損失は、既知の事件の大幅な減少から生じています。この変化（事件は減少するが損失は大幅に増加する）は、2025年2月のBybitの大規模ハッキング事件の影響を反映しています。

北朝鮮独自のマネーロンダリングモデル

2025年初頭に大量の盗まれた資金が流入し、北朝鮮ハッカーがどのように大規模に暗号通貨を洗浄しているかが明らかになりました。彼らのモデルは他のサイバー犯罪者とはまったく異なり、時間の経過とともに進化しています。

北朝鮮のマネーロンダリング活動は明確な「分層」モデルを示しており、60%以上の取引量が50万ドル以下に集中しています。これに対して、他のハッカーがチェーン上で移転する資金の60%以上は100万ドルから1000万ドル以上の範囲で分割されています。北朝鮮は毎回のマネーロンダリングの金額が他のハッカーよりも高いですが、チェーン上の転送をより小さなバッチに分けており、マネーロンダリング手法の複雑さを強調しています。

他のハッカーと比較して、北朝鮮は特定のマネーロンダリングの段階で明確な好みを示しています：

北朝鮮ハッカーはしばしば次のことを好みます：

· 中国語の資金移転と保証サービス（+355%から1000%以上）：これは最も顕著な特徴であり、中国語の保証サービスと、規制が比較的弱い多くのマネーロンダリング業者で構成されるネットワークに大きく依存しています。

· クロスチェーンブリッジサービス（+97%）：異なるブロックチェーン間で資産を移転する際にクロスチェーンブリッジに高度に依存し、追跡の難易度を増そうとしています。

· ミキシングサービス（+100%）：資金の流れを隠すためにミキシングサービスをより多く使用しています。

· Huioneなどの専門サービス（+356%）：特定のサービスを戦略的に使用してマネーロンダリング活動を支援しています。

他のマネーロンダリング活動に関与するハッカーはしばしば次のことを好みます：

· 貸付プロトコル（-80%）：北朝鮮はこれらのDeFiサービスの使用を避けており、より広範なDeFiエコシステムとの統合が限られていることを示しています。

· KYCなしの取引プラットフォーム（-75%）：驚くべきことに、他のハッカーは北朝鮮よりもKYCなしの取引プラットフォームを多く使用しています。

· P2P取引プラットフォーム（-64%）：北朝鮮はP2Pプラットフォームに対する関心が限られています。

· CEX（-25%）：他のハッカーは伝統的な取引プラットフォームとの直接的な相互作用が多いです。

· DEX（-42%）：他のハッカーは流動性が高く匿名性が強いDEXをより好んで使用しています。

これらのパターンは、北朝鮮の運営が国家支援のサイバー犯罪者とは異なる制約と目標の影響を受けていることを示しています。彼らは専門の中国語のマネーロンダリングサービスと場外（OTC）取引業者を大量に使用しており、北朝鮮ハッカーがアジア太平洋地域の違法行為者と密接に関わっていることを示しています。

北朝鮮ハッカー攻撃後の盗まれた資金のマネーロンダリングのタイムライン

2022年から2025年の間に北朝鮮に起因するハッカー事件後のチェーン上活動の分析は、これらの事件と盗まれた資金が暗号エコシステム内で流動するパターンが一致していることを示しています。重大な盗難事件の後、盗まれた資金は構造化された多段階のマネーロンダリングパスをたどり、このプロセスは約45日間続きます：

第一段階：即時分層（第0-5日）

ハッキング攻撃が発生した最初の数日間、資金を盗まれた源から直ちに移転することに重点を置いた一連の活動が異常に活発であることが観察されました：

· DeFiプロトコルの盗まれた資金の流動量は最大の増加（+370%）を示し、主要な切り口となりました。

· ミキシングサービスの取引量も大幅に増加（+135-150%）し、第一層の混乱を構成しました。

· この段階は、最初の盗難行為との境界を明確にするための緊急の「第一歩」行動を表しています。

第二段階：初期統合（第6-10日）

第二週に入ると、マネーロンダリング戦略は資金をより広範なエコシステムに流入させるのに役立つサービスにシフトしました：

· KYC制限が少ない取引プラットフォーム（+37%）やCEX（+32%）が資金の流動を受け入れ始めました。

· 第二層のミキシングサービス（+76%）のマネーロンダリング活動は低い強度で続きます。

· クロスチェーンブリッジ（例：XMRt、+141%）は、資金のブロックチェーン間の流動を分散させ、隠すのに役立ちます。

· この段階は、資金が潜在的な出口チャネルに流れ始める重要な移行期間です。

第三段階：ロングテール統合（第20-45日）

最終段階は、最終的に法定通貨や他の資産に交換できるサービスに明らかに傾いています：

· KYC不要の取引プラットフォーム（+82%）や保証サービス（例：ポテト保証、+87%）の使用量が顕著に増加しました。

· 即時取引プラットフォーム（+61%）や中国語プラットフォーム（例：汇旺、+45%）が最終的な交換ポイントとなりました。

· CEX（+50%）も資金を受け入れ、合法的な資金と混ぜる複雑な試みが存在することを示しています。

· 規制が少ない司法管轄区、例えば中国語のマネーロンダリングネットワーク（+33%）やGrinex（+39%）などのプラットフォームがこのモデルを完成させました。

この通常45日間のマネーロンダリング操作ウィンドウは、法執行機関やコンプライアンスチームに重要な情報を提供します。このパターンは数年にわたって持続しており、北朝鮮ハッカーが操作上の制約に直面していることを示しており、これは彼らが金融インフラにアクセスする手段が限られていることや、特定の仲介者と調整する必要があることに関連している可能性があります。

これらのハッカーが常にこの正確なタイムラインに従うわけではありません------一部の盗まれた資金は数ヶ月または数年休眠することがあります------が、このパターンは彼らが積極的にマネーロンダリングを行う際の典型的なチェーン上の行動を表しています。また、この分析には盲点が存在する可能性があることを認識する必要があります。なぜなら、特定の活動（例えば、プライベートキーの移転や場外暗号通貨の法定通貨への交換）は、証拠情報がない限りチェーン上で可視化されないからです。

個人ウォレットの盗難：個人ユーザーへの脅威が増大

チェーン上のパターンの分析や被害者および業界パートナーからの報告を通じて、個人ウォレットの盗難の深刻さを理解することができますが、実際に盗まれた数ははるかに多い可能性があります。最低でも、2025年の個人ウォレットの盗難による価値損失は総損失の20%を占め、2024年の44%から減少しました。これは、規模とパターンの両方で変化があったことを示しています。2025年の盗難事件の総数は15.8万件に急増し、2022年の記録である5.4万件のほぼ3倍に達しました。被害者数は2022年の4万人から2025年には少なくとも8万人に増加しました。これらの顕著な増加は、暗号通貨のより広範な採用によるものと考えられます。例えば、最も多くのアクティブな個人ウォレットを持つブロックチェーンの1つであるSolanaでは、盗難事件の数が遥かに先行しています（約2.65万人の被害者）。

しかし、事件と被害者の数が増加しているにもかかわらず、2025年に単一の被害者から盗まれたドルの総額は2024年のピークである15億ドルから7.13億ドルに減少しました。これは、攻撃者のターゲットユーザーが増加したが、各被害者の盗まれた金額が減少したことを示しています。

特定のネットワークの被害データは、どの分野が暗号ユーザーに対して最大の脅威をもたらしているかについてのさらなる洞察を提供します。下の図は、各ネットワークのアクティブな個人ウォレットに対する調整後の被害データを示しています。2025年の10万ウォレットあたりの犯罪率で測定すると、EthereumとTronの盗難率が最も高いです。Ethereumの大規模なユーザー基盤は、その盗難率と被害者数が高いことを示しており、Tronのランキングは、アクティブなウォレット数が少ないにもかかわらず、盗難率が依然として高いことを示しています。対照的に、BaseとSolanaはユーザー基盤が大きいにもかかわらず、被害率は低いです。

これは、暗号エコシステムにおける個人ウォレットの安全リスクが均等ではないことを示しています。技術的なアーキテクチャが似ていても、異なるブロックチェーンの被害率には差異があり、これは技術的要因に加えて、ユーザー群の特性、人気のアプリケーション、犯罪インフラなどの要因が盗難率を決定する上で重要な役割を果たしていることを示しています。

DeFiハッキング攻撃：分化したパターンが市場の変化を示唆

DeFi分野の2025年の犯罪データは、歴史的な傾向とは明らかに異なる独特のパターンを示しています。

データは3つの全く異なる段階を示しています：

· 第一段階（2020-2021年）：DeFiのTVLとハッキング攻撃による損失が同時に増加

· 第二段階（2022-2023年）：両指標が同時に減少

· 第三段階（2024-2025年）：TVLが回復する一方で、ハッキング攻撃による損失は安定している

最初の2つの段階は直感的なパターンに従います：直面するリスクの価値が大きいほど、盗まれる価値も大きくなり、ハッカーは高価値のプロトコルに対する攻撃を強化します。銀行強盗のウィリー・サットンが言ったように、「そこにお金があるからだ。」

これにより、第三段階の違いがより顕著になります。DeFiのTVLは2023年の低点から大幅に回復しましたが、ハッキング攻撃による損失は増加していません。数十億ドルがこれらのプロトコルに戻ってきたにもかかわらず、DeFiのハッキング攻撃事件は依然として低水準にとどまっており、これは重要な変化を示しています。

以下の2つの要因がこの違いを説明できるかもしれません：

· セキュリティの向上：TVLが増加し続けているにもかかわらず、ハッキング攻撃率が減少していることは、DeFiプロトコルが2020-2021年の期間よりも効果的なセキュリティ対策を実施している可能性を示しています。

· 目標の移行：個人ウォレットの盗難と中央集権サービスへの攻撃事件の同時増加は、攻撃者の注意が他のターゲットに移っている可能性を示唆しています。

ケーススタディ：Venusプロトコルのセキュリティ対応

2025年9月に発生したVenusプロトコルの事件は、改善されたセキュリティ対策が実際の効果をもたらしていることを示しています。当時、攻撃者は侵害されたZoomクライアントを利用してシステムへのアクセスを取得し、ユーザーに1300万ドルのアカウントの委任権限を付与させるように誘導しました。この状況は壊滅的な結果をもたらす可能性がありました。しかし、Venusはちょうど1ヶ月前にHexagateのセキュリティ監視プラットフォームを有効にしていました。

このプラットフォームは、攻撃が発生する18時間前に疑わしい活動を検出し、悪意のある取引が発生するとすぐに別の警告を発しました。20分以内に、Venusはそのプロトコルを一時停止し、資金の流動を阻止しました。この一貫した反応は、DeFiのセキュリティの進化を示しています：

· 5時間以内：セキュリティチェックが完了した後、一部の機能が復元されました。

· 7時間以内：攻撃者のウォレットが強制清算されました。

· 12時間以内：すべての盗まれた資金が回収され、サービスが復元されました。

最も注目すべきは、Venusが攻撃者がまだ制御している300万ドルの資産を凍結するためのガバナンス提案を通過させたことです。攻撃者は利益を得ることができず、逆に資金を失いました。

この事件は、DeFiのセキュリティインフラが実際に改善されたことを示しています。積極的な監視、迅速な対応能力、そして果断に行動できるガバナンスメカニズムが組み合わさり、全体のエコシステムがより柔軟で弾力性を持つようになりました。攻撃は依然として発生していますが、攻撃を検出し、対応し、さらには逆転させる能力は、初期のDeFi時代に成功した攻撃がしばしば永続的な損失を意味していた状況と比較して、根本的な変化を遂げています。

2026年以降への影響

2025年のデータは、北朝鮮が暗号業界にとって最大の脅威であるという複雑な進化の様相を示しています。この国の攻撃回数は減少しましたが、破壊力は大幅に増加しており、手段がますます巧妙で忍耐強くなっていることを示しています。Bybit事件がその年間活動パターンに与えた影響は、北朝鮮が重大な盗難を成功させた際に、行動のペースを落とし、マネーロンダリングに焦点を当てることを示しています。

暗号業界にとって、この進化は高価値のターゲットに対する警戒を強化し、北朝鮮特有のマネーロンダリングモデルを識別する能力を高めることを要求します。彼らが特定のサービスタイプや送金額に対して持続的な好みを示すことは、他の犯罪者と区別するための検出の機会を提供し、調査者がそのチェーン上の行動特性を識別するのに役立ちます。

北朝鮮が暗号通貨の盗難を利用して国家の優先事項を資金調達し、国際制裁を回避し続ける中で、暗号業界は、北朝鮮の運営が典型的なサイバー犯罪者とはまったく異なることを認識する必要があります。北朝鮮の2025年の記録的なパフォーマンス（既知の攻撃が74%減少した状況下で）は、現在見えている活動の最も明白な部分に過ぎないことを示しています。2026年の課題は、北朝鮮が再びBybit規模の攻撃を仕掛ける前に、これらの行動を検出し、阻止することです。