新しいレポートが北朝鮮の暗号通貨ハッカーの驚くべき影響範囲を明らかに

Multilateral Sanctions Monitoring Team（MSMT）が発表したレポートによると、北朝鮮関連のハッカーは2024年から2025年9月までに、驚異的な28億3000万ドル相当の仮想資産を盗み出したとされています。

このレポートは、平壌が窃盗に長けているだけでなく、不正に得た資産を現金化する高度な手法も持っていることを強調しています。

ハッキング収益が国家の外貨収入の3分の1を占める

MSMTは、アメリカ、韓国、日本を含む11カ国からなる多国籍連合であり、2024年10月に北朝鮮に対する国連安全保障理事会の制裁実施を支援するために設立されました。

MSMTによると、2024年から2025年9月までに盗まれた28億3000万ドルは極めて重要な数字です。

「北朝鮮の2024年における仮想資産窃盗による収益は、同国の総外貨収入のおよそ3分の1に相当する」とチームは指摘しています。

窃盗の規模は劇的に加速しており、2025年だけで16億4000万ドルが盗まれ、2024年の11億9000万ドルから50%以上増加しています。なお、2025年の数字には最終四半期は含まれていません。

BybitハッキングとTraderTraitorシンジケート

MSMTは、2025年2月に発生したグローバル取引所Bybitのハッキングが、2025年の不正収益急増の主な要因であると特定しました。この攻撃は、北朝鮮で最も高度なハッキング組織の一つであるTraderTraitorによるものとされています。

調査によると、このグループはBybitが利用していたマルチシグネチャウォレットプロバイダーSafeWalletに関連する情報を収集し、フィッシングメールを通じて不正アクセスを得ていました。

彼らは悪意のあるコードを利用して内部ネットワークにアクセスし、外部への送金を内部資産移動に偽装しました。これにより、コールドウォレットのスマートコントラクトの制御を乗っ取ることができました。

MSMTは、過去2年間の主要なハッキング事件において、北朝鮮はしばしば取引所自体ではなく、取引所と連携するサードパーティサービスプロバイダーを標的にする傾向があると指摘しています。

9段階の資金洗浄メカニズム

MSMTは、北朝鮮が盗んだ仮想資産を法定通貨に換金するために用いる、綿密な9段階の資金洗浄プロセスを詳細に説明しています：

1. 攻撃者は盗んだ資産をDEX（分散型取引所）でETHなどの暗号資産に交換する。

2. Tornado Cash、Wasabi Wallet、Railgunなどのサービスを使って資金を「ミックス」する。

3. ETHをブリッジサービス経由でBTCに変換する。

4. 中央集権型取引所のアカウントを経由した後、資金をコールドウォレットに移動する。

5. 2回目のミキシング後、資産を異なるウォレットに分散する。

6. ブリッジやP2P取引を利用してBTCをTRX（Tron）に交換する。

7. TRXをステーブルコインUSDTに変換する。

8. USDTをOTC（店頭取引）ブローカーに送金する。

9. OTCブローカーが資産を現地の法定通貨に換金する。

グローバルネットワークによる現金化支援

最も難しい段階は、暗号資産を実際に使用可能な法定通貨に換金することです。これは、中国、ロシア、カンボジアなどの第三国にあるOTCブローカーや金融会社を利用して実行されます。

レポートでは、具体的な個人名も挙げられています。これには、中国籍のYe Dinrong、Tan Yongzhi（Shenzhen Chain Element Network Technology所属）、P2PトレーダーのWang Yicongが含まれます。

彼らは北朝鮮の関係者と協力し、偽造IDの提供や資産洗浄を支援したとされています。ロシアの仲介業者も、Bybitハッキングで得られた約6000万ドルの資産現金化に関与していたとされています。

さらに、カンボジアのHuione Group傘下の金融サービスプロバイダーHuione Payも資金洗浄に利用されました。

「北朝鮮国籍の人物がHuione Payの関係者と個人的な関係を築き、2023年末に仮想資産の現金化で協力した」とMSMTは述べています。

MSMTは2024年10月と12月にカンボジア政府に対し、Huione Payの活動が国連指定の北朝鮮サイバーハッカーを支援していることについて懸念を表明しました。その結果、カンボジア国立銀行はHuione Payの決済ライセンスの更新を拒否しましたが、同社は国内での営業を続けています。