北朝鮮とつながりがあると見られる開発者が、MetaMask(メタマスク)のコード開発に約1カ月間関与していたことが分かった。運営企業の Consensys(コンセンシス)は、その後この契約者を特定してアクセス権を剥奪し、資産やデータの流出はなかったと説明している。
注目点
- 開発者は偽名を用い、外部の派遣・業務委託プロバイダー経由でコンセンシスに参画していた。
- 中核となるウォレットコードや、暗号資産と法定通貨の決済連携機能を含む部分を担当していた。
- 事案発覚後、コンセンシスはリリースを一時停止し、当局へ通報、委託管理プロセスの見直しを開始した。
メタマスク開発環境への潜入
このコンサルタントは、コンセンシスが以前から利用していた外部の契約者を経由して参画し、名前は Tyler Knapp、GitHub のハンドルネームは「imyugioh」を名乗っていたとされる。公開リポジトリへのコミットは3月9日から4月にかけて確認されており、およそ1カ月間ウォレットの開発環境へアクセスしていた計算になる。
社内のメッセージ履歴によれば、Knapp はメタマスクのコア基盤やモバイルウォレットの一部を担当し、外部決済プロバイダーを通じて暗号資産を法定通貨に変換する機能に関するコードにも関与していた。脅威が検知されると、コンセンシスの法務責任者 Matt Corva 氏は、製品リリースの停止と、当該コンサルタントとの直接連絡を避けるよう社内に指示。その後、同社は速やかに同開発者のアクセス権を打ち切った。
Corva 氏は、「当社は脅威を確認後、包括的な調査を実施し、資産やデータの不正流用、悪意あるコードのデプロイ、ユーザーの安全・セキュリティへの影響は一切なかったことを確認した」と述べている。コンセンシスは捜査当局へ通報するとともに、外部委託エンジニアの審査プロセスを再点検している。
関連記事: GENIUS法のルール策定期限、6規制当局が遵守できずと経営幹部が警鐘
暗号資産業界に潜む採用リスク
このケースは、開発者アカウントが一度侵入を許すと、企業ネットワーク本体への外部からのハッキングを行わずとも、ソースコードやトランザクション署名システムへの経路を提供してしまうという構造的なリスクを示した。
ブロックチェーン分析企業 TRM Labs は、侵害された開発環境が、送金承認インフラへと直結する「抜け道」になり得ると警告している。
今回の事案は、北朝鮮の労働者が偽名や偽装身分を用いてリモート技術職を獲得する、より広範な工作活動の一端でもある。Ethereum(ETH)による助成プログラムは、半年間で53の暗号資産プロジェクトから約100人の疑わしい工作員を特定したとしている。また米国の裁判所は、こうした労働者があたかも国内居住者であるかのように偽装するのを手助けした米国人に対し、有罪判決を言い渡している。
金融面でのリスクはなお大きい。FBI は、2025年に暗号資産取引所 Bybit から約15億ドルが流出した大規模窃盗事件について、北朝鮮系ハッカーの犯行と結論付けた。業界推計でも、同年の世界全体の暗号資産窃盗被害額の半分超が北朝鮮関連とみられている。
北朝鮮のサイバー作戦は近年、偽採用・リモート就労・従来型のハッキングを組み合わせた多層的な手口へと進化している。一つの侵入経路に依存するのではなく、複数のアプローチを組み合わせることで成功確率を高めている格好だ。コンセンシスは今回、実害が出る前に契約者を排除できたものの、この事案は、暗号資産企業に対し本人確認の強化や脅威インテリジェンスの共有を迫る流れを一段と加速させるだろう。





