2026年上半期、グローバルな暗号資産エコシステムから盗まれた1ドルごとのうち、3分の2をたった1つの国家が奪い取った。
これは端数でもなければ、単発の派手な強奪事件の結果でもない。
ほぼ10年をかけて手法を磨き上げ、今や他のすべての脅威アクターを合算したものを上回る、継続的かつ産業化されたハッキングオペレーションの産物だ。
暗号資産犯罪の世界はもともと桁違いの数字に事欠かないが、その中でも今回の規模は際立っている。
北朝鮮関連グループは、ブロックチェーンセキュリティ研究者が今週公表したデータによると、2026年上半期の世界全体のデジタル資産ハッキング損失の66.2%を占めた。
単一の脅威クラスターにここまで損失が集中したことは、業界全体のリスクプロファイルに質的な変化をもたらしている。しかもそれは、機関投資家マネーが2021年以来最速のペースで暗号資産に流入している局面で起きている。
要点まとめ(TL;DR)
- 北朝鮮関連ハッカーは2026年上半期の暗号資産ハッキング損失の66.2%を奪取し、国家主導の暗号資産窃盗がかつてない集中度に達した。
- ラザルス・グループと関連するDPRK部隊は、かつての機会的な取引所ハックから進化し、DeFiプロトコル、クロスチェーンブリッジ、開発者へのソーシャルエンジニアリングを狙う高度に組織化された作戦へと変貌した。
- 奪取された資金は北朝鮮の兵器開発を直接的に資金面で支えており、暗号資産セキュリティは地政学的課題となって、ワシントン、ブリュッセル、ソウルの規制当局が緊急性をもって対応しつつある。
「66%」という数字とその意味するもの
戦略的な全体像を掘り下げる前に、この数字がどのような方法で算出されているのかを確認しておく必要がある。
66.2%という数字は、2026年上半期に発生した暗号資産ハッキング損失のうち、DPRK(北朝鮮)関連ウォレットに帰属できるもののシェアを示している。これは、初期窃取からミキサー利用、最終的なオフランプに至るまでの資金フローを追跡するオンチェーン・フォレンジクスに基づく。
暗号資産犯罪の長期的なデータを最も包括的に公表しているChainalysisは、2024年のCrime Reportで、北朝鮮関連グループが2023年に47件のインシデントで約13.4億ドルを盗み、その年の窃取額全体の61%を占めたと報告している。
2026年上半期の数字は、さらに集中度が高まっていることを意味する。DPRKの能力と他の脅威アクターとのギャップは縮まるどころか拡大していることを示唆している。
66.2%というシェアは、6カ月という単位で記録された、国家主導のデジタル資産窃盗としては史上最高の集中度だ。
この「66%」という数字が示していないものにも注意が必要だ。
この数字には、エグジット詐欺、ラグプル、その他の詐欺は含まれていない──Chainalysisは通常、それらをハッキングとは別カテゴリとして扱う。分母に入っているのは、検証されたハッキング損失のみである。
暗号資産犯罪のすべてのカテゴリを含めれば、DPRKのシェアは下がるだろう。しかし、絶対額として盗まれたドル建ての数字が小さくなるわけではない。
関連記事: XRP現物需要が上昇、一方でBinanceパーペチュアルが7.83億ドルの警告サイン
ラザルス・グループはいかにして「暗号資産超大国」になったか
米情報機関や民間研究者が、最も高度なDPRKサイバー部隊の総称として用いる**ラザルス・グループ(Lazarus Group)**は、当初から暗号資産を主目的としていたわけではない。
彼らの初期のプロファイルは、破壊的なサイバー攻撃、SWIFTネットワークの悪用による銀行強盗、ランサムウェアなどに特徴づけられていた。
暗号資産へのピボットは段階的に進んだ。本格化したのは2017年前後で、この頃から同グループは韓国の取引所を標的にし始め、その後2022年のRonin Network侵害をきっかけに急激にエスカレートした。
ラザルス・グループがAxie Infinityのサイドチェーンから約6.25億ドルを盗み出したRoninハックは、戦略的な転換点だった。
これは、スマートコントラクトの複雑性、クロスチェーンブリッジへの依存、開発者へのソーシャルエンジニアリングといった要因を抱えるDeFiインフラの方が、10年にわたる侵害を経て防御が強化された中央集権型取引所よりも、はるかに収益性の高い攻撃面を提供していることを示した。
2022年3月に起きたこの6.25億ドルの窃盗は、現在も単独では史上最大のDeFiハックとして記録されている。そしてそれは、その後のDPRK暗号資産キャンペーンのオペレーション上のテンプレートとなった。
2022年以降、このグループは3つの攻撃ベクトルを体系的に磨き上げてきた。
1つ目は、開発者の認証情報の侵害だ。典型的には、偽のLinkedIn求人を通じて標的に接触し、ドキュメントを開いたりリポジトリを実行したりした際にマルウェアをインストールさせる。
2つ目は、クロスチェーンブリッジの脆弱性を突くもので、チェーン間の資産移転を検証するスマートコントラクトロジックを狙う。
3つ目は、暗号資産プロトコルが利用するソフトウェア依存関係に対するサプライチェーン攻撃である。これはもともと従来のサイバーセキュリティ分野で一般化した手法だが、今やブロックチェーンを標的とする形に適応されている。
関連記事: Eng対Indは、もはや予測市場トレーダーにとって単なるクリケットではない
標的は取引所からDeFiへとシフトした
暗号資産における初期の大規模ハックの歴史は、中央集権型取引所の侵害によって形作られてきた。2014年のMt. Gox、2016年のBitfinex、2018年のCoincheck。こうした攻撃は、ホットウォレットのインフラを侵害したり、APIの脆弱性を突いたり、内部関係者を買収したりする手法に依存していた。実行犯の多くは、国家の後ろ盾を持つ組織というよりも、機会主義的な犯罪グループだった。
現在のDPRKのプレイブックは、これとは根本的に異なる。TRM Labsは2024 Crypto Threat Intelligenceレポートの中で、DPRKによる暗号資産窃盗のうち、中央集権型取引所ではなくDeFiプロトコルの脆弱性を突いたものが占める割合が、2021年の約30%から2024年には70%超に達したと指摘している。この変化は、オンチェーン流動性そのものの成長と軌を一にしている。
DeFiプロトコルにロックされた総価値(TVL)は、世界全体で2021年末に1,800億ドル超でピークを付け、その後2022年の弱気相場で急落したが、現在は再び魅力的な標的となる水準まで回復している。DefiLlamaのデータによれば、2026年半ば時点で全チェーンのDeFi TVLは1,100億ドルを超えており、そのうち不釣り合いなシェアをクロスチェーンブリッジがプールされた形で支配している。
DeFiブリッジのコントラクトは、大規模な流動性プールを単一のスマートコントラクトに集約しつつ、完全な監査が困難な複雑なクロスチェーンメッセージ検証を要求するため、高度な攻撃者にとって構造的に魅力的な標的となる。
クロスチェーンブリッジは、その特異なリスク構造ゆえに、DPRK部隊にとって特別な「執着の対象」となった。ブリッジコントラクトは、ネイティブには検証できないリモートチェーンからの主張を信頼しなければならない。検証ロジックは複雑で、多くの場合マルチシグ委員会やライトクライアント証明に依存している。どちらのアプローチも、悪用されうる前提条件を生む。Roninブリッジは9-of-9マルチシグを採用していたが、ソーシャルエンジニアリングにより実質的には5-of-9の閾値へと「弱体化」されていた。この5署名の閾値を攻撃者が満たすことで、ブリッジを枯渇させる出金が正規のものとして承認されてしまったのである。
関連記事: Opus 4.8が依然として優秀なのに、Fable 5は価格が2倍の価値があるのか?
偽求人オファーと開発者を狙うソーシャルエンジニアリング
2026年上半期のDPRKキャンペーンで、最も一貫していながら過小評価されている要素が、個々の開発者やプロトコル従業員を狙うソーシャルエンジニアリング基盤だ。これは伝統的な意味での「技術的ハック」ではない。むしろ、最終的にコード実行に至る、人間関係ベースの粘り強い情報工作だ。
標準的なプレイブックは、MandiantによるAPT38金融脅威分析や、米国のCybersecurity and Infrastructure Security AgencyによるCISA Alert AA22-108Aで詳細に記録されている。それによれば、DPRKオペレーターはAI生成のプロフィール写真を用いてLinkedIn上にもっともらしいプロフェッショナルな経歴を作成し、暗号資産プロトコルで働く開発者に接触する。コンタクトは、業務委託のオファーや採用面接、コードレビューの機会といった形で行われる。
実際に確認されたケースでは、DPRKオペレーターが標的となる暗号資産開発者と数週間から数カ月にわたりLinkedIn上で関係を維持し、対象のコードベースに関する技術的にもっともらしい会話を通じて信頼を築いたうえで、最終的にマルウェアを仕込んだペイロードを送り付けていた。
標的が関与すると、攻撃者は最終的に実行を要するファイルを送付する。これは埋め込みペイロードを含むPDFであったり、悪意ある依存関係を含むGitHubリポジトリであったり、バックドアをインストールするための偽の技術テストであったりする。攻撃者が開発者マシンへの足掛かりを得れば、秘密鍵、内部システムのセッショントークン、プロトコルのデプロイ管理に使われるクラウドインフラの認証情報などを収集できる。
このような「職人技」ともいえる手口の洗練度は、民間の犯罪組織では真似できないレベルの能力開発への制度的投資を反映している。DPRKのサイバー部隊はフルタイムの国家公務員であり、厳格なオペレーションセキュリティの規律の下で活動し、どのプロトコルが最も脆弱で、どの開発者が接触しやすいかについて、長年にわたり蓄積された組織的知見を持っている。
関連記事: TeraWulf株が急騰、Anthropic提携でビットコインマイナーが1,900億円規模のAI転換へ
窃盗額の裏側にある資金洗浄インフラ
暗号資産を盗むことは、プロセスの第一歩に過ぎない。それを体制が利用可能な収入へと変えるには、綿密に構築された資金洗浄チェーンが必要になる。そしてこの部分こそが、オンチェーン調査の主要な対象となってきた。窃取後の資金移動こそが、捜査当局が攻撃をDPRKに帰属させるうえで最も信頼できるポイントであり、というのも同グループには行動パターンが── 資金の移動と秘匿の仕方には一定のパターンがある。
Chainalysis は、標準的な北朝鮮(DPRK)の資金洗浄フローを多段階プロセスとして記録している。盗まれた資産はまずオンチェーンの分散型取引所を使って Ethereum (ETH) や Bitcoin (BTC) にスワップされ、プロトコル固有で流動性の低いトークンが、より流動性の高い資産へと変換される。その後、これらの資産はミキシングサービスを経由して移動されるが、このグループは歴史的には Tornado Cash を使用してきたものの、2022年8月の OFAC 制裁を受けて Sinbad や Yomix などの代替秘匿ツールに適応していった。これらもその後、米国の制裁対象となっている。
OFAC は 2023年11月に Sinbad ミキサーを、2025年4月に Yomix ミキサーを指定し、各種 DPRK の資金洗浄ツールが最終的には制裁措置に直面し、そのたびにグループが新たなインフラへと移行する「ネコとネズミ」のような動態を示している。
ミキシング後、資金はネストされた取引所アカウントのネットワーク、AML が十分に施行されていない法域で活動する OTC ブローカー、ピアツーピア・プラットフォームなどを経由する。最終的なオフランプとして最も頻繁に使われてきたのは、歴史的に KYC の執行が限定的な、東アジアおよび東南アジアで運営されている取引所である。北朝鮮に関する 2024年の 国連専門家パネル の報告書は、暗号資産窃取の収益を DPRK の弾道ミサイル計画の主要な資金源として特定し、暗号資産による収益が大量破壊兵器開発のための外貨需要のおよそ 40% を賄っていると推計している。
あわせて読みたい: Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan
規制当局の対応とその限界
米国政府は、DPRK の暗号資産オペレーションに対して、OFAC によるウォレットやミキシングサービスの指定、特定のハッキングに関する FBI の帰属通知、同盟国の情報機関との共同勧告など、幅広いツールセットを展開している。司法省(Department of Justice) は複数の名指しされた DPRK 工作員を起訴しているが、送還ルートが存在しないため、実際の訴追は事実上不可能である。
米国の対応の限界は構造的なものだ。ウォレットアドレスに対する制裁は、オフランプとして規制された金融インフラを利用する主体に対しては有効だが、米国の AML の射程外にある法域を経由する高度な主体に対しては影響が限定的である。Tornado Cash に対する OFAC の措置は重要であり議論も呼んだが、DPRK は数か月以内に代替インフラへ移行することで適応した。
司法省は暗号資産窃取作戦に関連して 7人の DPRK 軍ハッカーを起訴したが、誰一人として裁判にかけられていない。起訴は主として、帰属の手段および、資金移動を支援しかねない第三者サービスに対する抑止策として機能している。
政府間の AML 基準を策定する機関である 金融活動作業部会(FATF) は、北朝鮮を最高リスク区分に引き上げ、DPRK と関連する取引について、加盟法域に対し強化されたデューデリジェンスの適用を継続的に要請している。しかし FATF の勧告には法的拘束力がなく、DPRK にとってオフランプとして有用な法域は、そもそも FATF 非加盟であるか、あるいは実施状況の弱い加盟国であることが多い。
2024年末に全面施行された EU の 暗号資産市場規制(MiCA) には、一定額を超える暗号資産送金に対してカウンターパーティの特定を義務付けるトラベルルール要件が含まれている。支持者は、これによって一部の OTC オフランプ経路が封じられると主張する。一方批判者は、DPRK のオペレーションは十分に高度であり、ホストされていないウォレットや EU の射程外にある法域を利用することで KYC 要件を回避できると指摘している。
あわせて読みたい: Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art
オンチェーン・フォレンジクスが実際に示していること
暗号資産窃取を北朝鮮に帰属することは、政治的な主張ではない。これは、公的なブロックチェーンデータとウォレット・クラスタリングツールにアクセスできる研究者であれば誰でも独立に再現できる、検証可能なオンチェーンデータに基づいている。その帰属の仕組みを理解することは、その信頼性を評価するうえで不可欠である。
DPRK がプロトコルから盗みを行うと、その最初のトランザクションは即座にオンチェーンで可視化される。盗まれた資金は攻撃者が管理するウォレットへ移動し、その後、一連のスワップ、ブリッジトランザクション、ミキシング操作が実行される。別のブロックチェーン分析企業である Elliptic は、DPRK ウォレットが、特定のタイミングパターン、好まれるスワップルート、中間ウォレットに残される特徴的なダスト量、盗んだ資金を移動させる前にウォレットクラスター内で長期間保有する傾向など、行動上のシグネチャの周囲にクラスター化していることを示す詳細な手法を公表している。
Elliptic のウォレット・クラスタリング分析は、DPRK の窃取オペレーションに関連する 15,000 を超えるアドレスを特定しており、フォレンジック分析官がミキシング後であっても資金フローを追跡するために利用する、相互接続されたウォレットのグラフを構築している。
Alphapo 侵害や 2023年の Atomic Wallet 悪用を含む特定のハッキングに関する FBI の帰属通知は、このフォレンジック手法と機密扱いの通信傍受情報を組み合わせたものである。
公的なオンチェーンデータと政府のインテリジェンスを組み合わせることで、オンチェーン証拠が存在しない従来型のサイバー犯罪捜査における典型的なレベルを上回る帰属確度が得られている。
あわせて読みたい: Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive
並行する収益チャネルとしての IT ワーカー・スキーム
ハッキング・オペレーションとは別に、DPRK は 2024年および 2025年に法執行機関から大きな注目を集めた、並行する暗号資産収益プログラムを運用している。何千人もの北朝鮮国籍者が、AI 生成の書類やディープフェイク映像技術を用いて偽名で活動し、北米および欧州全域の暗号資産企業や Web3 スタートアップでリモート雇用を獲得している。
司法省(Department of Justice) は 2024年5月、北朝鮮の IT ワーカーを 300 社以上の米国企業に送り込み、その収益を DPRK に還流させるスキームを運営したとして、14人を起訴した。
起訴状によると、個々のワーカーは年間 25万〜30万ドルを稼ぎ、このスキーム全体では数年にわたり数千万ドル規模の収益を上げていたとされる。
司法省による 2024年5月の起訴は、北朝鮮の IT ワーカーが米国の暗号資産およびテック企業で一人あたり年間最大 30万ドルを稼ぎ、その資金が米国、英国、中国にいる仲介者ネットワークを通じて DPRK に送金されていたことを記録している。
IT ワーカー・スキームが暗号資産業界にとって特に厄介なのは、開発チーム内部にインサイダーアクセスを植え付ける点にある。正規の資格情報とリポジトリアクセスを持つ IT ワーカーは、外部から境界防御を突破しようとする攻撃者よりもはるかに危険である。
複数のセキュリティ研究者が、コードコミットの不審なパターン、説明のつかないリポジトリアクセス、異常な勤務時間帯などが、セキュリティ意識の高い暗号資産企業において、潜在的な DPRK IT ワーカーの指標として扱われ始めていることを指摘している。
IT ワーカー・スキームと開発者に対するソーシャルエンジニアリング・キャンペーンが交差することで、DPRK の暗号資産業界に対する攻撃面は多次元的なものとなっている。外部ハッカー、偽の求人オファーによって侵害された開発者、そして配置されたインサイダーが、同時並行で稼働する脅威ベクトルとなっている。
あわせて読みたい: OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout
業界全体のセキュリティ対応
DPRK 脅威に対する業界の対応は、実質的ではあるものの一様ではない。
最も潤沢なリソースを持つプロトコルは現在、デプロイ前の包括的なセキュリティ監査を実施し、6 桁台の報奨金を持つバグバウンティプログラムを運営し、攻撃的リサーチのバックグラウンドを持つ内部セキュリティチームを抱えている。
こうしたプロトコル階層の最上位へのセキュリティ投資の集中は、暗号資産全般を支配するパワーロー(べき乗則)と同じ構図を反映している。
主要な Web3 バグバウンティプラットフォームである Immunefi は、潜在的に数十億ドル規模の損失をもたらし得た脆弱性の特定を支援しつつ、2025年半ばまでに総額 1 億ドル超のバウンティ支払いを行ったと報告している。
同社の歴史上最大の単一支払いは、ある大手 DeFi プロトコルにおいて、悪用される前にクリティカルな欠陥を発見したホワイトハット研究者への 1,000 万ドルの報酬だった。
しかし、トップティア・プロトコルへのセキュリティ支出の集中は、依然として合計で数十億ドル規模の TVL を管理しているものの、はるかに防御が手薄な状態に置かれている小規模な DeFi プロジェクトを生み出している。
多くの大規模ハッキングの中心に位置してきたクロスチェーンブリッジ問題は、それ自体としてアーキテクチャ上の解決策を生み出している。
その筆頭が、よりトラストミニマイズされたブリッジングへの移行であり、検証者委員会に依存することなく、ゼロ知識証明を用いてソースチェーンの状態を検証する手法である。
Succinct Labs や Polyhedra Network を含むプロジェクトは、Ronin のようなブリッジを脆弱にしていた「信頼された委員会」という前提を排除することを目的として、ZK ライトクライアント・インフラを構築している。
このアプローチが今後、業界標準となり得るかどうかは――そのセキュリティインフラが、DPRK(北朝鮮)の能力開発のペースを上回るほど十分な速さで改善しているのかどうかは、実のところ不確実だ。
2026年上期における66%というシェアは、業界側の多額の投資があっても、攻撃者がそのペースに追いついていることを示している。
Also Read: SpaceXAIが600億ドルのディール成立前に、カーソル駆動型の「Claudeキラー」を狙う理由
地政学的な利害とこの先に起きること
暗号資産の窃取は、北朝鮮にとって最も重要な外貨獲得源だ。
これはレトリックではない。米財務省、国連、同盟国の情報機関が認める、文書化された作戦上の現実を反映している。
国連専門家パネルは、DPRKによる暗号資産窃取の収益を、2017年から2023年の間でおよそ30億ドルと推計しており、そのペースはここ数年で加速している。
これらの資金が、いわゆる通常の意味で政権の国庫に消えていくわけではない。
それらは兵器計画に直接流れ込んでおり、特に弾道ミサイルと核弾頭の小型化に向けた取り組みに充てられている。これこそが平壌の最優先戦略課題だ。
DeFiプロトコルから盗まれる1ドルごとが、米国・韓国・日本の防衛計画担当者が脅威評価の中で具体的にモデル化している兵器システムの、物的・技術的な能力へと変換され得る。
国連専門家パネルは、2017年から2023年の間に行われた30億ドル規模の窃取が、兵器計画の資金調達に直接結びついていると指摘しており、ブロックチェーンセキュリティを北東アジアの地域安全保障の計算における、現実の要素として位置づけている。
Read Next: Fable 5より安いAIツール5選:日々のAI業務で割高な支出は避けよう
最後に
2026年上期の66.2%というシェアは、単なるデータ上の curios ity(珍現象)ではない。
それは、世界でも有数の能力を持つ国家主導のサイバー部隊と、歴史的に「市場投入の速さ」を「運用上のセキュリティ」より優先してきた業界との間で進行中の競争の現状を示すシグナルだ。
この競争の軌跡 — 2017年の機会的な取引所ハックから、2022年のRoninブリッジ侵害、そして現在の開発者・ブリッジ・インサイダーを同時に狙う多層的キャンペーンへと至る流れ — は、学習し、適応し、スケールするスピードが、業界側の防御投資よりも速い脅威アクターの存在を物語っている。
DPRKに有利に働く構造的要因は、短期的には消えそうにない。
北朝鮮には、民間企業への流出も、公的な説明責任もなく、「あらゆる手段で収益を上げよ」という国家の命令を受けた制度化されたサイバー人材が存在する。
これに対し暗号資産業界のセキュリティ環境は分散的だ。最も価値の高いプロトコルは次第に防御が固くなっている一方で、裾野に広がる小規模DeFiプロジェクト群は体系的にリソース不足のままだ。
そして、エコシステム内の流動性の島々をつなぐインフラであるクロスチェーンブリッジは、構造的な複雑さゆえに、常に搾取可能な前提条件を生み出し続けている。





