サイバーセキュリティ企業のCrowdStrike(クラウドストライク)は、2025年における北朝鮮関連ハッカー集団による暗号資産(仮想通貨)の窃盗額が、前年比51%増の20.2億ドル(約3,100億円)に達したとする報告書を公開しました。攻撃の回数自体は減少しているものの、特定の高価値なターゲットを狙う手法により、被害額が大幅に拡大しています。これらの資金は北朝鮮の軍事プログラムの財源に充てられているとされており、Web3やフィンテック企業にとって引き続き最大の脅威となっています。
攻撃手法の高度化と生成AIの悪用
CrowdStrikeの「2026年版金融サービス脅威ランドスケープ報告書」によると、北朝鮮のハッカー集団は従来の無差別な攻撃から、より洗練された「高価値ターゲット」への絞り込みへと戦略をシフトさせています。特に注目すべきは、生成AI(人工知能)を悪用した欺瞞工作の拡大です。
報告書では、特定のハッカー集団による具体的な活動が挙げられています。例えば「FAMOUS CHOLLIMA(フェイマス・チョリマ)」と呼ばれるグループは、AIで生成した偽の身分証を使用して仮想通貨取引所やフィンテック企業に潜入し、活動規模を前年の2倍に拡大させました。また「STARDUST CHOLLIMA(スターダスト・チョリマ)」は、AIで作成した採用担当者のプロフィールや、合成されたビデオ会議環境を用いて北米や欧州、アジアの企業を標的にしています。
これらの手法は、従来のセキュリティ対策を回避するために、信頼できるアイデンティティを偽造することに特化しており、防御側にとって識別が極めて困難になっていると指摘されています。
サプライチェーン攻撃と内部潜入の脅威
2025年には、単一の事件としては過去最大規模となる窃盗事件も発生しました。「PRESSURE CHOLLIMA(プレッシャー・チョリマ)」という集団が、サプライチェーン攻撃(製品やサービスの供給網の弱点を突く攻撃)を通じて、トロイの木馬化されたソフトウェアを配布し、14.6億ドルの仮想通貨を盗み出しました。
また、Web3業界にとって深刻な懸念となっているのが、北朝鮮のIT労働者によるプロジェクトへの潜入です。2025年4月には、分散型取引所であるDrift Protocol(ドリフト・プロトコル)が、開発チームと6ヶ月間にわたり信頼関係を築いていた北朝鮮関連の技術者によって侵害され、2.8億ドルの損失を被った事例が報告されています。イーサリアム財団も同月、Web3プロジェクトに潜入していた100人以上の北朝鮮関連ハッカーを特定したとされています。
このように、技術的な脆弱性を突くだけでなく、正規の従業員を装って組織の内部から攻撃を仕掛けるソーシャルエンジニアリング(人間の心理的な隙やミスを突いて情報を入手する手法)が、Web3業界の大きなリスクとなっています。
業界への影響と資金の行方
北朝鮮がWeb3プロジェクトや仮想通貨取引所を優先的に狙う理由は、従来の金融システムと比較して、盗み出した資金を匿名で洗浄・換金しやすい点にあると分析されています。CrowdStrikeの報告書では、盗まれた資金の多くが北朝鮮の軍事プログラムに流用されている可能性が極めて高いと結論付けています。
金融サービス業界は現在、世界で4番目に攻撃の標的となりやすいセクターとなっており、特に北米では金融機関への侵入が過去2年間で48%増加しています。攻撃者はAIを活用することで、初期侵入から資金奪取までの時間を短縮しており、企業側にはアイデンティティ管理の徹底や、サプライチェーン全体のセキュリティ強化が強く求められています。
ポイント
- 2025年の北朝鮮関連グループによる仮想通貨窃盗額は20.2億ドルに達し、2024年から51%増加しました。
- 攻撃の回数は減少傾向にありますが、1件あたりの被害額が大きくなる「高価値ターゲット」への集中が進んでいます。
- 生成AIを用いて偽のアイデンティティやビデオ会議環境を作成し、企業の採用プロセスや内部システムに潜入する手法が激化しています。
- サプライチェーン攻撃や、リモート開発者としてプロジェクト内部に潜入するソーシャルエンジニアリングが主な脅威となっています。
- 窃盗された資金は北朝鮮の軍事プログラムの財源となっていると見られており、国際的なセキュリティ上の懸念事項となっています。