はじめに

暗号資産の大規模な盗難事件が相次いでいます。2025年2月には海外取引所から約15億ドルが流出しました。日本でもDMM Bitcoinが約482億円の被害を受けています。同社はその後、廃業に追い込まれました。これらの事件の背後にいるのは、北朝鮮のハッカー集団です。なぜ彼らは暗号資産を狙い続けるのか、その構造を解説します。

Lazarusグループとは

Lazarusグループは北朝鮮の軍事組織に属するハッカー集団です。具体的には朝鮮人民軍の情報機関の傘下にあります。2014年に米国の映画会社へ大規模な攻撃を仕掛け、世界的に名前が知られるようになりました。

当初は政治的な目的のサイバー攻撃が中心でした。しかし近年は暗号資産の窃盗に活動の軸を移しています。FBIは2025年2月、Bybit事件の犯行グループとしてLazarusを名指ししました1。米国の捜査機関はこのグループを「TraderTraitor」という名称でも追跡しています。

私がコンサル現場で見てきた限り、国家が支援するハッカー集団の脅威は年々増しています。一般的な犯罪グループとは資金力も技術力も桁違いです。Lazarusは複数の別名を持ち、作戦ごとにチームを編成します。その組織的な運用は企業のセキュリティ体制を容易にすり抜けてしまいます。

国家の資金源として暗号資産窃盗が機能している点が、このグループの最大の特徴です。単なるサイバー犯罪者ではなく、国家戦略の実行部隊として活動しています。

暗号資産窃盗の被害規模——数字で見る脅威

被害の規模は年々拡大しています。ブロックチェーン分析企業Chainalysisの推計によると、2017年以降の累計被害額は60億ドルを超えます2。2024年単年では約13.4億ドル、47件の事件が確認されました3。2025年にはBybit事件だけで15億ドルの被害が発生しています。年間の被害総額は20億ドルを超え、過去最悪を更新しました4

主要な事件を時系列で振り返ります。2022年3月にはオンラインゲームの資金管理システムから6.25億ドルが盗まれました。2024年5月には日本のDMM Bitcoinから約3.08億ドルが流出しています5。そして2025年2月、Bybitから約15億ドルが窃取されました。わずか3年で1件あたりの被害額が倍以上に膨らんでいます。

私が顧客企業のリスク評価を行う際、この数字を示すと多くの経営者が驚きます。「うちは大手取引所ではないから関係ない」という反応もあります。しかし攻撃者は取引所だけでなく、関連するサービス提供会社も標的にします。暗号資産に関わる企業であれば、規模を問わずリスクがあるのです。

攻撃手法——偽求人からサプライチェーン攻撃まで

Lazarusグループの攻撃手法は大きく3つに分類できます。

1つ目は偽の求人や面接を使った手口です。攻撃者はビジネス向けのSNSで暗号資産業界の人材に接触します。魅力的な求人を提示し、偽の面接サイトに誘導します。面接の過程で悪意のあるソフトウェアをインストールさせるのです。セキュリティ企業Sekoiaは2025年3月、この手口を「ClickFake Interview」と名付けて警告しました6。技術職だけでなく、営業や人事担当者も標的になっています7

2つ目はサプライチェーン攻撃(取引先や外部ツール経由の侵入)です。Bybit事件では、取引所が利用していた外部の電子署名サービスの開発者端末が最初に侵害されました8。攻撃者はそこから悪意あるプログラムを注入しています。正規のツールを経由するため、被害企業側では検知が極めて困難でした。

3つ目は暗号資産特有の技術的な弱点を突く手法です。複数の承認者が必要な仕組みの運用上の隙を狙います。2022年の事件では、9人の承認者のうち5人分の認証情報を取得して資金を移動させました。

私のコンサル経験では、2つ目のサプライチェーン攻撃が最も対策の難しい手口です。自社のセキュリティがいくら堅固でも、外部サービスが侵害されれば防ぎきれません。

盗んだ暗号資産はどこへ——資金洗浄の手口

窃取された暗号資産は複雑な経路で洗浄されます。攻撃者はまず、ミキシングサービス(複数の送金を混ぜて出所を隠す仕組み)を活用します。代表的なサービスであるTornado Cashが頻繁に使われてきました9。このサービスの共同創設者は2025年8月、資金洗浄への関与で有罪判決を受けています10

次に使われるのがチェーンホッピング(異なる暗号資産間での資金移動)です。Bybit事件では、THORChainという交換サービスを経由して、わずか2日間で1.6億ドルが移動されました11。複数の暗号資産を経由させることで、追跡を困難にする狙いがあります。

最終的には現金化して北朝鮮に送金されます。ブロックチェーン分析企業TRM Labsの調査によると、一部の資金はロシアを経由して現金化されている可能性があります12。国際的な資金洗浄ネットワークが、この仕組みを支えているのです。

私が現場で感じるのは、資金洗浄の速度が年々上がっている点です。以前は盗まれた資金の追跡に数週間の猶予がありました。しかし最近は数日以内に大部分が移動されます。対策側のスピードも問われる時代になっています。

なぜ暗号資産なのか——制裁回避と資金調達の構造

北朝鮮は国際社会から厳しい経済制裁を受けています。通常の貿易や金融取引は大幅に制限されています。暗号資産は、そうした制裁を迂回できる数少ない手段なのです。

窃取された資金の使途も明らかになっています。国連の報告書や各国の調査によると、核兵器やミサイルの開発に充てられています。2025年1月14日には日本・米国・韓国の3カ国が共同声明を発表しました13。北朝鮮によるサイバー窃盗への対策強化を宣言しています。

米国財務省のOFAC(外国資産管理局)は、Lazarusに関連する暗号資産のアドレスや個人を制裁対象に指定しています。しかし新しいアドレスは容易に生成できるため、制裁の実効性には限界があります。Bloomberg(2025年2月)の報道によると、暗号資産業界全体がこの構造的な課題に直面しています14

私がコンサル現場で痛感するのは、この問題が単なるセキュリティの話ではない点です。国際政治と密接に絡んでおり、一企業の対策だけでは根本的な解決が難しい構造があります。だからこそ業界全体での情報共有と連携が欠かせません。

企業と個人ができる防御策

では、企業や個人はどのような対策を取るべきでしょうか。ここでは5つの具体策を紹介します。

第一に、複数人承認の運用を見直すことです。署名プロセスの各段階で独立した検証を行う体制が必要です。Bybit事件では、正規の承認フローが悪用されました。承認画面の表示内容と実際の処理内容が一致しているか、別の端末で確認する仕組みが有効です。

第二に、偽求人・偽面接への教育を徹底することです。技術部門だけでなく、人事や営業など全社員が対象です。SNSで突然連絡してくる求人には慎重に対応する意識を浸透させましょう。金融庁も2025年に注意喚起を行っています15

第三に、外部ツールやライブラリの監査体制を整えることです。サプライチェーン攻撃への対策として、利用中の外部サービスの安全性を定期的に確認する必要があります。

第四に、ブロックチェーン監視ツールの活用です。ChainalysisやTRM Labsといった企業が提供する監視サービスを導入すれば、不審な取引を早期に検知できます。

第五に、制裁リストとの照合を日常業務に組み込むことです。取引先のアドレスが制裁対象に含まれていないか、定期的にチェックする体制が求められます。

私の経験では、これらの対策は一度導入すれば終わりではありません。攻撃手法の変化に合わせて継続的に見直す姿勢が重要です。

まとめ

Lazarusグループによる暗号資産窃盗は、単なるサイバー犯罪ではありません。国家が組織的に行う資金調達モデルです。攻撃手法は年々高度化しており、2025年には過去最大の被害額を記録しました。偽求人やサプライチェーン攻撃など、手口も多様化しています。技術的な対策と人への教育の両面で備えることが不可欠です。まずは自社が利用する外部サービスの棚卸しから始めてみてください。

セキュリティ対策の課題を、一緒に整理しませんか?

SecureKernel では、こうしたサイバー脅威への対応を含むセキュリティ管理業務を効率化するツールを提供しています。ご関心のある方はお気軽にお問い合わせください。

資料請求する →

脚注・注釈

  1. FBI「Public Service Announcement: TraderTraitor」(2025年2月) https://www.bleepingcomputer.com/news/security/fbi-confirms-lazarus-hackers-were-behind-15b-bybit-crypto-heist/

  2. Chainalysis「2025年上半期暗号資産犯罪速報」(2025年7月) https://www.chainalysis.com/blog/2025-crypto-crime-mid-year-update-japanese/

  3. Chainalysis「2024年の暗号資産盗難被害額は22億ドル」(2025年1月) https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2025-japanese/

  4. ScanNetSecurity「金正恩政権による暗号資産窃取 2025年過去最高」(2025年12月) https://scan.netsecurity.ne.jp/article/2025/12/25/54330.html

  5. TRM Labs「The Bybit Hack: Following North Korea’s Largest Exploit」(2025年3月) https://www.trmlabs.com/resources/blog/the-bybit-hack-following-north-koreas-largest-exploit

  6. Sekoia「ClickFake Interview Campaign by Lazarus」(2025年3月) https://blog.sekoia.io/clickfake-interview-campaign-by-lazarus/

  7. Picus Security「Job Offers Turned Attack Vectors: Inside Lazarus’ ClickFake Campaign」(2025年4月) https://www.picussecurity.com/resource/blog/lazarus-clickfake-job-offer-campaign

  8. The Hacker News「Bybit Hack Traced to Safe{Wallet} Supply Chain Attack」(2025年2月) https://thehackernews.com/2025/02/bybit-hack-traced-to-safewallet-supply.html

  9. TRM Labs「North Korea’s Lazarus Group moves funds through Tornado Cash」(2025年) https://www.trmlabs.com/resources/blog/north-koreas-lazarus-group-moves-funds-through-tornado-cash

  10. BleepingComputer「US charges founders of Tornado Cash mixer」(2025年8月) https://www.bleepingcomputer.com/news/security/us-charges-founders-of-tornado-cash-mixer-used-by-lazarus-hackers/

  11. CyberScoop「Crypto analysts stunned by Lazarus Group’s capabilities」(2025年3月) https://cyberscoop.com/bybit-lazarus-group-north-korea-ethereum/

  12. Chainalysis「北朝鮮からロシアに暗号資産」(2025年) https://www.chainalysis.com/blog/north-korea-russia-crypto-money-laundering-japanese/

  13. 警察庁「北朝鮮による暗号資産窃取及び官民連携に関する共同声明」(2025年1月) https://www.npa.go.jp/bureau/cyber/pdf/20250114jp.pdf

  14. Bloomberg「北朝鮮の15億ドルハッキング、暗号資産業界に衝撃」(2025年2月) https://www.bloomberg.co.jp/news/articles/2025-02-28/SSE432T0AFB400

  15. Wiz「TraderTraitor: Deep Dive」(2025年) https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist