**見出しポイント:**暗号業界の2025年は深刻な試練を迎えています。Chainalysisのデータによると、今年の盗まれた資金総額は34億ドルを超え、そのうち単一の大型事件だけで15億ドルを占めました。より衝撃的なのは、攻撃の手口がますます高度化し、防御が困難になっているという点です。最も懸念すべき現象は、確認された攻撃回数は減少しているにもかかわらず、一件あたりの盗難額が急激に増加していることです。最大規模の攻撃と平均的な事件の損失比が初めて1000倍を突破し、2021年のブルマーケットをも超えています。## 北朝鮮による盗難が記録更新:過去最高の20.2億ドル北朝鮮が関連するハッカーグループによる2025年の盗難額は少なくとも20.2億ドルに達し、前年比で51%増加しました。これは北朝鮮による暗号盗難史上最も深刻な年となり、確認された攻撃事件全体の76%を占めています。累計で見ると、北朝鮮が盗んだ暗号通貨の総額は最低でも67.5億ドルに達しており、その規模の大きさは他のハッカーグループの追随を許しません。北朝鮮ハッカーの進化した手口が浮き彫りになってきました。以前は単にIT職員として潜入するだけだったのに対し、現在は:- 有名なWeb3・AI企業の採用担当者を装い、虚偽の採用プロセスを通じてログイン認証情報やソースコードを獲得- 経営層を狙った詐欺的投資家・買収者による接触を装い、システム情報や高価値インフラへのアクセスを獲得- プライベートキー管理やサイン認証プロセスへの複雑な攻撃により、コールドウォレット保護を回避これらの手口は、戦略的重要性を持つAIやブロックチェーン企業に集中しており、国家レベルでの資金調達と国際制裁回避が背景にあると考えられます。## 上位3件の大型事件が全損失の69%を占める2025年のデータは暗号業界における「極端化」を示しています。最大規模の攻撃で盗まれた資金は、通常の事件の1000倍に達する水準となり、全体損失の69%が上位3件の事件に集中しています。この集中度の高さは、セキュリティの弱点が特定のプラットフォームに集中していることを意味します。攻撃者は大規模なサービスをターゲットにし、最大の影響を求める戦略を採用しており、その結果として一度の成功が年間全体のセキュリティ評価を左右する状況が生まれています。個人ウォレット領域では事件数が15.8万件に急増(2022年の5.4万件から約3倍)し、被害者数も8万人に達しました。ただし、平均被害額は減少傾向にあり、攻撃者がターゲットユーザー数を増やしている一方で、個別の被害規模は縮小していることが判ります。特に顕著なのはSolanaネットワークで、約2.65万人の被害者が報告されており、個人ウォレットセキュリティの課題の深刻さが浮き彫りになっています。## 北朝鮮独自のマネーロンダリングモデル:45日周期の構造化プロセス大規模盗難後、北朝鮮ハッカーは極めて構造化されたマネーロンダリング手法を展開します。このプロセスは約45日間の周期で進行し、複数の段階に分かれています。**第一段階(0~5日):即時分散**- DeFiプロトコルへの流入が+370%に急増- ミキシングサービスの利用が+135~150%増加- 初期段階での最優先は「盗難元からの即座の分離」**第二段階(6~10日):広域への拡散**- KYC制限が少ない取引プラットフォーム(+37%)への移行- 中央集権的な取引所(+32%)への段階的流入- クロスチェーンブリッジ(+141%)による他チェーンへの分散**第三段階(20~45日):最終的な現金化**- KYC不要プラットフォーム(+82%)と担保サービス(+87%)の活用が顕著に増加- 中国語マネーロンダリングネットワークの積極的な利用(+33~1000%以上)- 最終的には法定通貨や他資産への交換へ北朝鮮ハッカーが他のサイバー犯罪者と異なる点は、中国語を使用したマネーロンダリングサービスと担保業者のネットワークへの極度の依存です。60%以上の取引が50万ドル以下に分割される「小口化戦略」により、追跡回避の複雑さを増しています。一方、北朝鮮ハッカーは以下のサービスをほぼ利用しません:- 貸付プロトコル(-80%)- KYC不要の取引プラットフォーム(-75%)※大きな矛盾あり- P2Pプラットフォーム(-64%)- DEX(-42%)このパターンから推測できるのは、北朝鮮の運営が特定の仲介者との協力体制に依存しており、自由度の高いサービスより信頼できる現地パートナーを優先していることです。## DeFiセキュリティの進化:TVL増加でもハッキング損失は低水準を維持興味深い現象が2024~2025年に観察されています。DeFiの総ロック資産(TVL)は2023年の低点から大幅に回復しているにもかかわらず、ハッキング攻撃による損失は過去の低水準を維持し続けています。2020~2021年:TVLとハッキング損失が同時増加2022~2023年:両指標が同時減少2024~2025年:TVL回復も、ハッキング損失は安定低位この変化は2つの重要な意味を持ちます:**セキュリティ対策の改善効果**2020~2021年の初期DeFi時代は、プロトコルのセキュリティが極めて脆弱でした。現在、TVL増加にもかかわらずハッキング被害が増えないのは、プロトコル開発チームがセキュリティ実装を大幅に強化した証拠です。**攻撃者の標的シフト**同時期に個人ウォレット盗難と中央集権サービス攻撃が急増していることから、攻撃者の関心がDeFiから他のターゲットへ移行していることが判ります。実例として、2025年9月のプロトコル事件は改善されたセキュリティインフラの効果を示しています。侵害されたクライアントを通じた攻撃が発生した際、セキュリティ監視プラットフォームが18時間前に疑わしい活動を検出。20分以内にプロトコルが一時停止され、資金流出を防止。その後12時間以内に盗まれた資金がすべて回収されました。特に注目すべきは、ガバナンスを通じて攻撃者が制御していた300万ドルの資産が凍結されたことで、攻撃者が逆に資金を失う結果になっています。この対応の迅速さと有効性は、初期DeFi時代に成功した攻撃がしばしば永久的な損失を意味していた状況から、根本的な変化をもたらしています。## 2026年への課題と産業への示唆2025年のデータから浮かび上がる現実は、北朝鮮が確認された攻撃回数を74%減少させながら、盗難額を51%増加させるという相反する現象を実現したことです。これは、可視化される活動が実際の行動のごく一部である可能性を示唆しています。暗号業界にとって、2026年の最大の課題は以下の点に集中します:**北朝鮮特有のマネーロンダリング特性の識別強化**特定のサービスタイプ、送金額の傾向、中国語ネットワークの活用パターンなど、北朝鮮ハッカーは他の犯罪者と明確に区別される行動特性を持っています。これらを検出することで、より早期の介入が可能になります。**高価値ターゲットの防御強化**攻撃回数は減少しているが破壊力は増加している現状では、採用詐欺やソーシャルエンジニアリングなどの高度な手口に対する警戒が必須です。特にAI・ブロックチェーン企業などの戦略的重要企業は、従来のセキュリティ対策では不十分です。**監視と対応能力の向上**Venus事件が示したように、積極的な監視、迅速な対応、果断なガバナンスメカニズムが組み合わされることで、被害を最小化できます。業界全体でこのレベルのセキュリティ実装を標準化することが必要です。北朝鮮による盗難は単なるサイバー犯罪ではなく、国家レベルの戦略的活動です。その手口の進化と運営方法の変化を追跡することは、産業全体のセキュリティレベル向上に不可欠な課題となっています。
2025年の暗号盗難は転機を迎える:北朝鮮の攻撃が過去最高の20.2億ドルに達し、マネーロンダリング周期は約45日
見出しポイント:
暗号業界の2025年は深刻な試練を迎えています。Chainalysisのデータによると、今年の盗まれた資金総額は34億ドルを超え、そのうち単一の大型事件だけで15億ドルを占めました。より衝撃的なのは、攻撃の手口がますます高度化し、防御が困難になっているという点です。
最も懸念すべき現象は、確認された攻撃回数は減少しているにもかかわらず、一件あたりの盗難額が急激に増加していることです。最大規模の攻撃と平均的な事件の損失比が初めて1000倍を突破し、2021年のブルマーケットをも超えています。
北朝鮮による盗難が記録更新:過去最高の20.2億ドル
北朝鮮が関連するハッカーグループによる2025年の盗難額は少なくとも20.2億ドルに達し、前年比で51%増加しました。これは北朝鮮による暗号盗難史上最も深刻な年となり、確認された攻撃事件全体の76%を占めています。
累計で見ると、北朝鮮が盗んだ暗号通貨の総額は最低でも67.5億ドルに達しており、その規模の大きさは他のハッカーグループの追随を許しません。
北朝鮮ハッカーの進化した手口が浮き彫りになってきました。以前は単にIT職員として潜入するだけだったのに対し、現在は:
これらの手口は、戦略的重要性を持つAIやブロックチェーン企業に集中しており、国家レベルでの資金調達と国際制裁回避が背景にあると考えられます。
上位3件の大型事件が全損失の69%を占める
2025年のデータは暗号業界における「極端化」を示しています。最大規模の攻撃で盗まれた資金は、通常の事件の1000倍に達する水準となり、全体損失の69%が上位3件の事件に集中しています。
この集中度の高さは、セキュリティの弱点が特定のプラットフォームに集中していることを意味します。攻撃者は大規模なサービスをターゲットにし、最大の影響を求める戦略を採用しており、その結果として一度の成功が年間全体のセキュリティ評価を左右する状況が生まれています。
個人ウォレット領域では事件数が15.8万件に急増(2022年の5.4万件から約3倍)し、被害者数も8万人に達しました。ただし、平均被害額は減少傾向にあり、攻撃者がターゲットユーザー数を増やしている一方で、個別の被害規模は縮小していることが判ります。
特に顕著なのはSolanaネットワークで、約2.65万人の被害者が報告されており、個人ウォレットセキュリティの課題の深刻さが浮き彫りになっています。
北朝鮮独自のマネーロンダリングモデル:45日周期の構造化プロセス
大規模盗難後、北朝鮮ハッカーは極めて構造化されたマネーロンダリング手法を展開します。このプロセスは約45日間の周期で進行し、複数の段階に分かれています。
第一段階(0~5日):即時分散
第二段階(6~10日):広域への拡散
第三段階(20~45日):最終的な現金化
北朝鮮ハッカーが他のサイバー犯罪者と異なる点は、中国語を使用したマネーロンダリングサービスと担保業者のネットワークへの極度の依存です。60%以上の取引が50万ドル以下に分割される「小口化戦略」により、追跡回避の複雑さを増しています。
一方、北朝鮮ハッカーは以下のサービスをほぼ利用しません:
このパターンから推測できるのは、北朝鮮の運営が特定の仲介者との協力体制に依存しており、自由度の高いサービスより信頼できる現地パートナーを優先していることです。
DeFiセキュリティの進化:TVL増加でもハッキング損失は低水準を維持
興味深い現象が2024~2025年に観察されています。DeFiの総ロック資産(TVL)は2023年の低点から大幅に回復しているにもかかわらず、ハッキング攻撃による損失は過去の低水準を維持し続けています。
2020~2021年:TVLとハッキング損失が同時増加 2022~2023年:両指標が同時減少 2024~2025年:TVL回復も、ハッキング損失は安定低位
この変化は2つの重要な意味を持ちます:
セキュリティ対策の改善効果 2020~2021年の初期DeFi時代は、プロトコルのセキュリティが極めて脆弱でした。現在、TVL増加にもかかわらずハッキング被害が増えないのは、プロトコル開発チームがセキュリティ実装を大幅に強化した証拠です。
攻撃者の標的シフト 同時期に個人ウォレット盗難と中央集権サービス攻撃が急増していることから、攻撃者の関心がDeFiから他のターゲットへ移行していることが判ります。
実例として、2025年9月のプロトコル事件は改善されたセキュリティインフラの効果を示しています。侵害されたクライアントを通じた攻撃が発生した際、セキュリティ監視プラットフォームが18時間前に疑わしい活動を検出。20分以内にプロトコルが一時停止され、資金流出を防止。その後12時間以内に盗まれた資金がすべて回収されました。特に注目すべきは、ガバナンスを通じて攻撃者が制御していた300万ドルの資産が凍結されたことで、攻撃者が逆に資金を失う結果になっています。
この対応の迅速さと有効性は、初期DeFi時代に成功した攻撃がしばしば永久的な損失を意味していた状況から、根本的な変化をもたらしています。
2026年への課題と産業への示唆
2025年のデータから浮かび上がる現実は、北朝鮮が確認された攻撃回数を74%減少させながら、盗難額を51%増加させるという相反する現象を実現したことです。これは、可視化される活動が実際の行動のごく一部である可能性を示唆しています。
暗号業界にとって、2026年の最大の課題は以下の点に集中します:
北朝鮮特有のマネーロンダリング特性の識別強化 特定のサービスタイプ、送金額の傾向、中国語ネットワークの活用パターンなど、北朝鮮ハッカーは他の犯罪者と明確に区別される行動特性を持っています。これらを検出することで、より早期の介入が可能になります。
高価値ターゲットの防御強化 攻撃回数は減少しているが破壊力は増加している現状では、採用詐欺やソーシャルエンジニアリングなどの高度な手口に対する警戒が必須です。特にAI・ブロックチェーン企業などの戦略的重要企業は、従来のセキュリティ対策では不十分です。
監視と対応能力の向上 Venus事件が示したように、積極的な監視、迅速な対応、果断なガバナンスメカニズムが組み合わされることで、被害を最小化できます。業界全体でこのレベルのセキュリティ実装を標準化することが必要です。
北朝鮮による盗難は単なるサイバー犯罪ではなく、国家レベルの戦略的活動です。その手口の進化と運営方法の変化を追跡することは、産業全体のセキュリティレベル向上に不可欠な課題となっています。