国連制裁を回避する北朝鮮のサイバー作戦
多国間制裁監視チーム(MSMT)は、北朝鮮による国連制裁の組織的な違反を記録した包括的な報告書を発表しました。2024年から2025年にかけて、北朝鮮のサイバー作戦は仮想通貨窃盗において前例のない規模に達しています。2024年だけで、北朝鮮関連の行為者は約11.9億米ドルを盗み出し、前年比で50%増加しました。これは、朝鮮民主主義人民共和国(DPRK)が高度なサイバー作戦、派遣されたIT労働者、および仮想通貨窃盗を用いて国際的な規制を回避しつつ、兵器開発および弾道ミサイル計画に資金を供給している実態を明らかにしています。この傾向は2025年を通じて加速し、最初の9ヶ月だけで16.5億米ドルが盗まれ、報告期間全体での合計は28億米ドルに達しました。これらの収益は現在、DPRKの総外貨収入の約3分の1を占めており、仮想通貨が制裁回避において極めて重要な役割を果たしていることを浮き彫りにしています。
最も重大な事件は、2025年2月にドバイを拠点とする仮想通貨取引所Bybitで発生した「TraderTraitor」による侵害で、史上最大の仮想通貨強奪事件となる約15億米ドルが盗まれました。その他、日本のDMM BitcoinやインドのWazirXなどの著名なターゲットも含まれ、攻撃はサプライチェーンの脆弱性や第三者サービス侵害を悪用して多要素認証や取引制限を回避しました。
連携し進化する攻撃キャンペーン
MSMTの報告書は、複数の高度なDPRK APTグループが連携して活動していることを特定しています。TraderTraitor(Jade SleetおよびUNC4899としても知られる)は、最も手ごわいグループとして浮上し、2024年1月から2025年9月の間にソーシャルエンジニアリングとサプライチェーン侵入を通じて約25.8億米ドルを盗み出しました。CryptoCore(Sapphire Sleet)は、偽のスキル評価中にスピアフィッシング戦術と悪意のあるnpmパッケージを使用して少なくとも3350万米ドルを盗みました。攻撃手法は大幅に進化しており、生成AIを組み込んで合成IDを作成し、現実的なフィッシングキャンペーンを実施しています。2023年にPalo Alto Networksによって発見された「Contagious Interview」キャンペーンは、2025年には「ClickFake Interview」作戦に進化し、開発者以外の非技術職にも標的を拡大しました。攻撃者は現在、ChatGPTとDeepSeekを活用してソーシャルエンジニアリングを自動化し、マルウェアを開発し、運用効率を高めています。
DPRKは世界中に1,500人から3,200人のIT労働者を派遣し、年間推定3.5億〜8億米ドルの収益を上げています。これらの労働者は、AI生成の顔や偽造された資格情報を用いて合成IDを作成し、人工知能、ブロックチェーン、ウェブ開発、防衛産業を含む合法的な企業に潜入しています。彼らはUpwork、Freelancer、Fiverr、LinkedIn、Discordなどのプラットフォームを通じて職を得て、VPNサービスを使用して所在地を隠し、仮想通貨決済を利用して検出を回避しています。MSMTの報告書は、IT労働者とAPTグループの境界がますます曖昧になっていることを厳しく指摘しています。一部の労働者は、脆弱性の特定、データベース管理、さらにはマルウェアの展開においてサイバー部隊を支援する一方、他の労働者は将来の作戦のために技術情報を収集する目的で防衛・AI企業に意図的に潜入しています。
仮想通貨洗浄ネットワーク
DPRKのサイバー行為者は、ブロックチェーンブリッジ、分散型取引所、仮想通貨ミキサー、ピアツーピアトレーダーを含む複雑な多段階の資金洗浄プロセスを採用しています。2023年から2024年にかけて、Temp.Hermitは広く使用されている韓国の認証ソフトウェアの脆弱性を悪用して悪意のあるコードを拡散させました。MSMTの調査結果は、DPRKの作戦が現在、IT潜入、サプライチェーン侵害、オンチェーン窃盗、国境を越えた資金洗浄を組み合わせた統合キャンペーンを構成していることを強調しています。盗まれた資産は意図的な順序で移動します。ETHやBTCに交換され、Tornado CashやWasabi Walletのようなサービスを通じて混合され、ブロックチェーン間でブリッジされ、最終的にカンボジアを含む管轄区域のOTCブローカーを通じて法定通貨に変換されます。DPRKの第一信用銀行は、米国の金融サービス会社を利用して米ドルを人民元に変換し、数十の仮想通貨ウォレットで準備金を維持しています。
対策の必要性
取引所、ウォレット、カストディアルサービス、開発チームを含む組織は、この執拗かつ進化する脅威の状況に対処するために、ゼロトラストアーキテクチャ、強化された背景検証、サプライチェーンセキュリティ監査、継続的な脅威インテリジェンス監視を導入する必要があります。