ラザルスグループ:北朝鮮のサイバー攻撃者が暗号通貨を盗む方法
あるハッカー集団は、史上最多の仮想通貨を盗み出した。しかも、彼らは政府のために活動している。ラザルス・グループは北朝鮮の国家ハッキング組織であり、彼らにとって仮想通貨の窃盗は副業ではない。それは本業であり、国家の歳入源であり、その背後には給与が支払われている。彼らの基準で言えば、好調な年には、取引所、ブリッジ、そして一般のウォレットから20億ドル以上を盗み出す。そのほとんどは、誰かが被害届を出す前に消えてしまう。
このガイドでは、彼らが何者なのか、彼らに関連する最大の強盗事件、実際の攻撃の展開、資金洗浄の方法、そしてどれだけの金額が消失したのかを解説します。焦点は暗号通貨に当てられています。この物語は今、暗号通貨を中心に展開しているのです。
ラザルス・グループの正体とは?
パーカーを着た孤独なハッカーというイメージは忘れてください。ラザルス・グループは、給与が支払われる政府機関に近い存在です。欧米の諜報機関は、北朝鮮の主要な対外情報機関である偵察総局、そして「121局」と呼ばれることもある部隊とラザルス・グループを関連付けています。サイバーセキュリティ研究者はラザルス・グループを単一の脅威グループとして追跡していますが、実際には北朝鮮政府の攻撃的なサイバー作戦を実行する複数のチームの集合体です。キーボードを操作している人々は訓練を受け、給与を受け取り、任務を与えられており、標的リストは国家によって設定されています。
このグループは、レポートを作成する人によって様々な名前で呼ばれています。APT38、Hidden Cobra、Guardians of Peace、Labyrinth Chollimaなどです。アナリストは、このグループを異なる役割を持つサブチームに分けています。BlueNoroffは銀行や仮想通貨企業を標的に資金を狙い、Andarielはスパイ活動や妨害工作に重点を置き、より広範なLazarusグループは世間の注目を集める攻撃を担っています。2009年頃から何らかの形で活動しており、世界で最も長く活動を続け、金銭目的の攻撃を行う脅威アクターの一つとなっています。
ラザルスが他の国家ハッカーと一線を画すのは、その動機である。ロシアと中国は主にスパイ活動を行うが、北朝鮮は資金調達のために盗みを働く。2019年9月、 米国財務省はラザルスと関連グループであるブルーノロフ、アンダリエルを北朝鮮国家の手先として正式に制裁対象とした。あるセキュリティ企業は、このグループを「旗を掲げた犯罪組織」と的確に表現した。
ソニーからWannaCryまで:黎明期
仮想通貨が登場する以前、ラザルスは混乱を巻き起こすことで名を馳せた。2014年のソニー・ピクチャーズ・エンタテインメントへの攻撃では、ガーディアンズ・オブ・ピースと契約を結び、システムを消去し、未公開の映画を流出させ、数年分の社内メールを漏洩させた。その動機は?北朝鮮の指導者を揶揄するコメディ映画だった。騒々しく、政治的で、破壊的。しかし、まだ利益は出ていない。
次に金銭問題が浮上した。2016年、このグループは史上最大規模の銀行強盗をほぼ成功させかけた。ニューヨーク連邦準備銀行にあるバングラデシュ中央銀行の口座から9億5100万ドルを不正に引き出すため、偽のSWIFTメッセージを送信したのだ。タイプミスとわずかな幸運によって大部分は阻止されたが、約8100万ドルは逃走に成功した。このサイバー攻撃によって、ラザルスはキーボード一つで金融機関から金を盗むことができることが証明され、国家主導のサイバー犯罪が真の利益源へと変貌を遂げた。
そして2017年にはWannaCryというランサムウェアが登場し、約150カ国で数十万台のコンピュータをフリーズさせ、イギリスの病院にも被害をもたらした。その手口は粗雑で、ほとんど収益は得られなかった。しかし、その影響力の大きさは明らかだった。こうして仮想通貨が成熟する頃には、Lazarusはすでに10年もの間、本来触れる権利のない資金を動かす経験を積んでいたのだ。
北朝鮮のハッカーが暗号通貨を標的にする理由
国際銀行システムから切り離された政権にとって、仮想通貨はあまりにも便利すぎる。制裁措置によって銀行口座を凍結したり、SWIFT送金を阻止したりすることはできるが、ウォレットへの資金の送金を止めることは誰にもできない。仮想通貨は数分で国境を越え、取り消し不可能な形で決済され、追跡を困難にするツールを使って資金を移動させることができる。
そこで北朝鮮は方向転換した。電話一本で取り消せる銀行強盗のリスクを冒すよりも、ブリッジ攻撃の方が10倍も儲かる上に取り返しがつかないのだから。経済的には攻撃者に圧倒的に有利だ。SWIFT送金が失敗しても凍結されて返金されるだけだが、ブリッジ攻撃が成功すればブロックが確定した瞬間に資金が確定する。相手に電話することも、チャージバックすることも、ウォレットを管轄する裁判所もない。捜査当局と国連は現在、盗まれた仮想通貨が北朝鮮の対外収入の大部分と兵器開発計画の相当部分を賄っていると推定しているが、これらの正確な割合は公開された帳簿ではなく情報機関の評価に基づいている。
ラザルス・グループによる史上最大の暗号通貨強奪事件
これらの数字は、もはや犯罪の規模とは言い難い。まるで国家予算のようだ。最大の窃盗事件であるBybitのハッキング事件は、次に規模の大きい事件をいくつも合わせたよりも大きく、暗号通貨以外の銀行強盗事件としては史上最大規模だ。
| 強盗 | 日付 | 額 | 方法 |
|---|---|---|---|
| バイビット | 2025年2月 | 約15億ドル | 操作されたマルチシグ署名インターフェース |
| ロニンブリッジ(アクシー) | 2022年3月 | 約6億2500万ドル | 盗まれたバリデーターの秘密鍵 |
| DMMビットコイン | 2024年5月 | 約3億800万ドル | 偽の採用担当者、不正に関与した従業員 |
| WazirX | 2024年7月 | 約2億3500万ドル | ウォレットインフラストラクチャの侵害 |
| ハーモニー・ホライズン | 2022年6月 | 約1億ドル | 不正に入手したブリッジキー |
| アトミックウォレット | 2023年6月 | 1億ドル以上 | 悪意のあるソフトウェアアップデート |
よく見てみると、同じ弱点が何度も繰り返されていることがわかる。Roninの窃盗事件は、攻撃者が上級エンジニアを侵害した後、ブリッジを保護する9つのバリデーターキーのうち5つを掌握し、自身の引き出しを承認するのに十分な権限を得たことで成功した。Bybitの手口はより巧妙だった。攻撃者はコールドウォレットを破るのではなく、署名者が見るインターフェースを改ざんし、一見すると通常の送金に見えるが実際はそうではない送金を承認させた。どちらのケースでも暗号化自体は機能したが、人間とそれを取り巻くソフトウェアが機能しなかったのだ。
金額は情報源によって異なります。これは通常、トークンの当日の価格に連動しており、ラザルスはイーサリアムのような変動の激しい資産を盗む傾向があるためです。Roninの金額は、計算する人によって約5億4000万ドルから6億2500万ドルまで幅があり、Bybitは14億ドルから15億ドルとされています。その根底にあるパターンは一貫しています。ブリッジ、暗号通貨取引所、ウォレットソフトウェアなど、たった1つの障害で莫大な利益が解放されるボトルネックを狙うのです。
ラザルス・グループによるハッキング事件の経緯
ここからが人々を驚かせる部分だ。こうした記録破りの窃盗事件は、奇抜で止めようのない手口から始まることはほとんどない。まず、誰かが騙されることから始まるのだ。巧妙で取り返しのつかない部分は、その後、お金が消える必要が生じた時に訪れる。
侵入経路:偽の求人情報とフィッシング
ラザルスは忍耐強く、社交的です。その長年にわたる手口は「オペレーション・ドリームジョブ」と呼ばれ、LinkedInや開発者コミュニティで採用担当者を装い、実在しそうな企業での魅力的な仕事を提供するというものです。面接の途中で「コーディングテスト」やPDFファイルが送られてきて、それを開くとマルウェアがインストールされます。DMMのビットコイン窃盗事件も、まさにこの手口で始まったと考えられており、偽の採用担当者が関連企業の従業員を騙したのです。同様の手法は、正規の作業サンプルを装った罠付きのnpmパッケージやGitHubリポジトリを通じて、業界全体の開発者を標的にしてきました。ファイルが仕事の課題だと聞かされたエンジニアをファイアウォールで阻止することはできません。まさにこれが、突破不可能なエクスプロイトではなく、ソーシャルエンジニアリングがこうした攻撃のほとんどの扉を開ける理由なのです。
建物内にいる偽のIT作業員
新たな手口はさらに大胆だ。侵入するのではなく、北朝鮮は自ら求人に応募するのだ。数千人のIT技術者が、盗んだアメリカ人の身分証明書と現地の仲介者が運営するラップトップファームを利用して、リモート開発者を装っている。そのため、作業員は平壌ではなくテキサスからログインしているように見える。欧米のテクノロジー企業や暗号通貨企業に採用されると、彼らは給与を本国に送金し、時には後で盗むためにアクセス権を仕込むこともある。米国司法省はこの計画の両端を追及しており、 2024年12月には北朝鮮人14人を起訴し、2025年にはラップトップをホストしていた米国在住の仲介者に対して訴訟を起こしている。これは給与支払いを装ったスパイ行為である。
現金化:ミキサーとブリッジ
仮想通貨を盗むのは仕事の半分に過ぎず、残りの半分はそれを使うことだ。ラザルスは盗んだ資金を、2022年に米国から制裁を受けたトルネードキャッシュや、2023年後半に制裁を受けたシンバッドといったミキサーに通し、ブリッジやスワップを使ってブロックチェーンを横断させ、資金の流れを曖昧にしてから、チェック体制の弱い取引所で現金化する。このプロセスは迅速かつ自動化されており、バイビット事件の後、捜査官は資金が数時間以内に数百ものウォレットに分散していく様子を目撃した。これは産業規模の資金洗浄であり、政権が繰り返し実行しているほど頻繁に成功している。
ラザルス・グループはいくら盗んだのか?
全体像を把握するのは困難だ。Chainalysis によると、北朝鮮関連のハッカーは2025年に約20億2000万ドル相当の仮想通貨を盗み出し、前年比51%増となり、累計額は67億5000万ドルを超えた。2025年には、北朝鮮が世界中の仮想通貨サービスから盗まれた総額の約76%を占めたと推定されている。一つの国が、被害の4分の3を占めているのだ。
| 期間 | 盗まれた(暗号通貨) | ソース |
|---|---|---|
| 2024年(各国政府による確認済み) | 約6億5900万ドル | 米国・日本・韓国共同声明 |
| 2024年(出典明記) | 約11億9000万ドル | チェイナリシス/マンディアント |
| 2025 | 約20億2000万ドル | チェイナリシス |
| 歴代記録(下限値) | 約67億5000万ドル | チェイナリシス |
2024年の数字が食い違うのは、測定対象が異なるためです。政府は少数の特定の窃盗事件を確認したのに対し、分析会社はオンチェーン追跡によってより多くの事件を特定しました。いずれにせよ、傾向は上昇しています。国連専門家パネルの調査では、2024年と2025年の記録が樹立される前の2017年から2023年の間に、北朝鮮による暗号資産攻撃の疑いのある事例が約58件、総額約30億ドルに上るとされています。同パネルは、この資金が北朝鮮の兵器開発計画の資金源になっていると報告しています。これは監査済みの会計報告ではなく、加盟国の諜報機関からの主張ですが、あらゆる取引所の侵害を地政学的な出来事に近いものとして捉え直すものです。
制裁、起訴、そして対応
では、一体誰がそれに対して実際に何ができるというのか?彼らの名前を挙げ、制裁を加え、起訴する。逮捕する、というのはほとんど不可能だ。なぜなら彼らは平壌にいるからだ。
証拠書類は今や膨大な量に上る。財務省は2019年にラザルスをブラックリストに載せ、その後、ラザルスが頼りにしていたミキサー、トルネード・キャッシュとシンバッドを追及した。検察も追及に加わり、2021年には既に名前が挙がったハッカーを起訴し、最近では偽のIT人材供給ルートを運営していた人物も起訴した。逮捕状の執行は容易ではないだろう。
お金を取り戻すのはさらに稀だ。ロニンの窃盗事件の後、捜査官はFBIとChainalysisの協力を得て資金の一部を取り戻した。ほんの一部だ。残りは消えてしまった。そして制裁は問題をただたらい回しにするだけだ。トルネード・キャッシュをブラックリストに載せれば、お金はシンバッドに流れ、シンバッドを攻撃すれば、グループは次のミキサーを見つける。あらゆる動きが、現金化をよりコストのかかる、より厄介なものにする。どれも窃盗の根源を止めることはできない。政府を引き渡すことはできないのだ。
ラザルス・グループを阻止することは可能か?
正直に言って、制裁だけでは解決しません。本当に重要な防御策は侵害が発生する前に講じるべきものであり、それは検察官ではなく取引所とユーザーの責任です。つまり、高額送金にはハードウェアによる承認を義務付け、勧誘者を機会ではなく脅威とみなし、侵害されたノートパソコン1台で資金を流出させないようにするということです。また、画面を鵜呑みにするのではなく、実際に署名する内容を検証することも重要です。これはまさにBybitが10億ドル以上を失った原因となった欠陥です。この非対称性は容赦がありません。防御側は常に正しく行動しなければならないのに対し、Lazarusは1人のエンジニアが1つのファイルを開くだけで済むのです。現実的な目標は、このグループを根絶することではなく、それぞれの窃盗をより遅く、より小さく、より資金洗浄しにくくすることで、次の10億ドル規模の侵害が発生する可能性をなくすことです。
ラザルス・グループが暗号通貨業界にとって重要な理由
ラザルスは、仮想通貨が最も誇る特徴である「国境を越え、取り消し不可能」という点を、国家の資金調達手段へと変えてしまった。ここでの不都合な教訓は、銀行から資金を解放する設計が、同時に資金の回収を不可能にするという点にある。仮想通貨のセキュリティは、もはや個人の秘密鍵に関する懸念事項にとどまらず、複数の国にとって国家安全保障上の問題となっている。監査を受けていないブリッジや、管理体制の緩い取引所はすべて、ミサイル予算の潜在的な項目となり得る。ここでじっくり考えるべきは、オープンでパーミッションレスな金融システムが、大規模な窃盗を外交政策として扱う、忍耐強く資金力のある敵対勢力から、いかにして自らを守るかということである。
