SHARE:
コラム

コラム:進化する北朝鮮のハッカー集団、被害甚大

増永 建太郎
北朝鮮のサイバー犯罪は単なる個別犯罪ではなく、国家戦略の一端として位置付けられている可能性が高い。外貨獲得や制裁回避、情報収集といった明確な動機があり、組織的で技術的にも高度である。
北朝鮮の国旗(Getty Images)

北朝鮮(朝鮮民主主義人民共和国、DPRK)は近年、国家主導あるいは国家支援と見なされるサイバー犯罪活動を体系的かつ大規模に行っていると評価されている。これらの活動は金融窃盗、暗号資産(仮想通貨)窃取、ランサムウェア攻撃、標的型サイバースパイ活動など多岐にわたる。国連の制裁監視パネルや米国など複数の政府機関は、北朝鮮のサイバー活動が外貨獲得や制裁回避の主要手段になっていることを指摘している。国際的なブロックチェーン解析企業の報告では、2024年時点までの暗号資産窃取の大きな割合が北朝鮮に帰属すると報告されている。

北朝鮮のハッカー集団(概観)

北朝鮮のサイバー活動には、政府の情報機関や軍と関連するとみられる複数の専門部隊が関与しているとされる。業界では「Lazarus Group(ラザルス)」「APT38」「BlueNorOff」「Kimsuky」「APT37(Reaper)」などの呼称で観測されているが、これらは任務や目的に応じて組織化・再編成されることがある。米国の司法当局やサイバーセキュリティ機関は、これらのグループを国家支援のサイバー部隊と特定しており、重大な金融犯罪や破壊的マルウェア攻撃の責任を指摘している。

目的

北朝鮮のサイバー作戦の主要目的は大きく二つに分かれる:①外貨・資金の獲得、②情報収集・軍事的優位の確保である。①に関しては国連制裁下での経済的制約を補うため、金融機関や暗号資産プラットフォームを狙った大規模窃盗が行われている。②に関しては、韓国や米国、国際機関、懸念国家の政治・軍事情報を収集する目的で標的型攻撃やスパイ活動が継続している。

外貨獲得の手段としてのサイバー犯罪

近年、暗号資産の窃取が北朝鮮の外貨獲得で特に顕著になっている。複数年にわたるブロックチェーン解析によると、北朝鮮に関連するとみられるハッカーが数億ドル—場合によっては十億ドル超—規模の暗号資産を盗取し、洗浄を試みていることが確認されている。2024年・2025年の報告では、北朝鮮系の窃取が世界の暗号資産ハッキング被害の大きな割合を占めたとされる。これらの資金は匿名性の高い暗号資産を介して流通し、複雑なミキシングやラテラルな送金を通じて合法的資金に見せかけられる試みが行われている。

兵器開発の資金調達との関係

国連の報告や各国の評価は、北朝鮮が核・弾道ミサイル等の軍事プログラムを継続的に資金調達するためにサイバー犯罪を用いている可能性が高いと結論付けている。特に大規模な銀行詐取や暗号資産窃盗の収益が、政府(あるいは情報・軍事機関)に還流しているという観測がある。国際社会はこれを「制裁回避と軍事資金源の多様化」の一環と見ている。

主なハッカー集団(個別)

  • Lazarus Group / APT38 / BlueNorOff:金融窃盗や暗号資産の窃取、SWIFT関連詐取などの金融犯罪に長年関与してきたとされる集団。米国司法当局やFBIは複数の盗難事件を北朝鮮系グループに繋げている。

  • Kimsuky:主に情報収集・標的型攻撃を行うとされるグループで、研究者やメディア、政策関係者を狙ったスピアフィッシングが報告されている。

  • APT37(Reaper):韓国を中心とした政治・軍事関連のスパイ活動で知られるグループで、ゼロデイ脆弱性やカスタムマルウェアを活用する。

狙われる対象と手口

標的は多様で、金融機関、暗号資産取引所/ブリッジ、ブロックチェーンプロジェクト(特にクロスチェーンブリッジ)、政府機関、研究者、国際機関、メディア、個人(高価値のゲームユーザーや暗号資産を保有する個人)などが含まれる。手口は技術的に高度で、ソーシャルエンジニアリング(スピアフィッシング)、マルウェア(バックドア、トロイの木馬、ランサムウェア)、ゼロデイ攻撃、サプライチェーン攻撃、ブロックチェーンのスマートコントラクト脆弱性の悪用などを組み合わせる。近年はブリッジやクロスチェーンの脆弱性を狙うことで一度に巨額を奪う手法が目立つ。

暗号資産関連企業、企業、研究者、個人、ITエンジニアへの偽装・報酬詐欺

北朝鮮系アクターはしばしば「合法的な採用担当」「プロジェクトマネージャー」「学術コラボレーター」を偽装し、標的に接触する手口を用いる。特に暗号資産関連の開発者や研究者、ITエンジニアを標的にし、バグ報酬や契約業務を装ってマルウェアを送りつけたり、認証情報を搾取したりするケースが多い。報酬を餌にリモートワーク環境へ招き入れ、内部ネットワークへアクセスするための足掛かりを作る手口も確認されている。これにより、サプライチェーン経由での侵害やスマートコントラクトの不正操作が行われるリスクがある。

サイバー犯罪を行う背景(政治・経済的要因)

北朝鮮は長年にわたり国際的な経済制裁を受け、外貨獲得手段が厳しく制限されている。国内経済の困難、軍事優先の国家予算、国際貿易・金融アクセスの欠落が、リスクの高い不正収益活動への傾斜を生み出している。また、国家の統制的文化と高度な教育を受けた技術者プール(IT教育や理工系の人材)があること、さらには情報機関がサイバー部隊を戦略資産として組織化してきた歴史がある。これらが相まって、サイバー犯罪が国家戦略の一部となっている背景がある。国連パネルや各国当局の分析は、こうした構図を指摘している。

国際社会の対応

国際社会は制裁、摘発、情報共有、ブロックチェーン追跡、制裁対象の拡大など多面的に対応している。米国は司法手続きや制裁、技術的な助言を通じて関与を強め、欧州や日韓も制裁措置や企業向けのセキュリティ勧告を発出している。ブロックチェーン監視企業や各国のサイバー当局は、不審なアドレスの特定や資金凍結支援を行い、暗号資産業界側でも対策が進んでいる。国連の監視・報告や各国の共同声明が経済的・外交的圧力の根拠になっている。

日本政府の対応

日本は北朝鮮の弾道ミサイル・核問題に関する制裁の一環として、サイバー関連の制裁・資産凍結を行ってきた。近年は北朝鮮関係者やハッカー集団を対象に個別制裁を課す事例があり、関係国(米国・韓国)と情報共有や技術協力を深めている。さらに国内法整備やサイバー防衛体制の強化、暗号資産取引所に対する監督強化、企業向けガイダンスの提供などが進んでいる。日米韓三国の協調枠組みも強められており、共同で脅威情報の共有や対応策の連携が行われている。

問題点

  1. 犯行主体の断定の難しさ:サイバー空間では攻撃の痕跡を偽装・隠蔽できるため、国家関与の立証が困難な場合がある。この点は外交的措置や国際法的対応を複雑にする。

  2. ブロックチェーンの匿名性と国境越えの資金移動:暗号資産特有の技術的特徴により、資金流れを追跡するのは可能でも、最終的な現金化(オンランプ/オフランプ)や協力者特定が難しい。

  3. 民間プラットフォームの脆弱性:多くの窃盗は取引所やブリッジ、スマートコントラクトの脆弱性を突いているため、民間事業者のセキュリティ整備が追いつかない場合がある。

  4. 法的・外交的制裁の限界:制裁や資産凍結は効果があるが、非合法経路や第三国の仲介を通じた資金流用を完全に防げない現実がある。

課題

技術面と政策面の両方で課題がある。技術面では暗号資産の取引匿名化技術や分散型金融の脆弱性への対策、ソフトウェアサプライチェーンの保護、人材育成が必要である。政策面では国際的な法整備、情報共有の迅速化、犯行者の国外での摘発・司法協力を強めることが求められる。また、民間企業と政府間での透明な情報共有フレームワークと即応体制を整備する必要がある。

今後の展望

短中期的には北朝鮮がサイバー犯罪を資金源として引き続き利用する可能性が高いが、複数要因で活動パターンは変動する。国際的な取り締まり強化、ブロックチェーン追跡技術の進化、暗号資産取引所の規制強化により、従来のやり方は難しくなる一方で、北朝鮮側は新たな手口(例えばより巧妙なソーシャルエンジニアリング、DeFiプロトコルの悪用、マーケットプレイスを介したマネロン手法)へ適応する可能性がある。したがって、検出・阻止・司法的対処・予防(セキュア開発、脆弱性対策、人材教育)を統合した持続的な取り組みが必要である。

結論

北朝鮮のサイバー犯罪は単なる個別犯罪ではなく、国家戦略の一端として位置付けられている可能性が高い。外貨獲得や制裁回避、情報収集といった明確な動機があり、組織的で技術的にも高度である。国際社会は制裁、技術支援、司法協力、ブロックチェーン監視などで対抗しているが、匿名性の高い暗号資産や多国間での仲介を用いる手法により対策は常に後手に回るリスクがある。日本を含む各国は情報共有と民間防御の強化、法的枠組みの整備、国際協調を深める必要がある。

参考・出典

  • United Nations Security Council — Panel of Experts reports on DPRK (複数年報告).

  • Chainalysis — Crypto crime reports 2024–2025(北朝鮮関連の暗号資産窃取分析).

  • U.S. Department of Justice — Indictments and press releases on North Korea-linked cyber actors (2021ほか).

  • FBI — 公表資料(Horizon、Ronin等の暗号資産窃盗に関する発表).

  • CISA(米国CISA) — North Korea state-sponsored cyber threat advisories.

  • CSIS等のシンクタンク分析(日本・日米協力や政策動向).

特定事件の年表(主要事件・概略と出典)

(年:事件名 — 概要 — 主な責任帰属報告)

2014年:Sony Pictures Entertainment(SPE)攻撃 — 社内サーバー消去/大量データ流出。米国FBIは北朝鮮関与を示唆している。攻撃は破壊的マルウェア(ワイパ系)を使用したとされる。

2016年:Bangladesh Bank SWIFT窃取事件 — 中央銀行口座から約8100万USDが不正送金される(結果的に一部回収)。調査報告は攻撃で使用されたカスタムマルウェアとオペレーションの巧妙さを示し、後の北朝鮮系アクターとの関連が指摘される。

2017年:WannaCry ランサムウェア大流行 — 世界的に被害を拡大したランサムウェア。米国などは北朝鮮を公的に関与先として名指しした。CISA等はWannaCryのIOCsを公表している。

2016–2020:金融機関・ATM攻撃(FASTCash等)や企業標的攻撃の継続 — 金融窃盗やATM不正引出しを狙うツール群(FASTCash 等)が報告され、これらが体制的資金獲得手段の一つであると解析される。

2019–2023:暗号資産関連大規模窃取の多発(Ronin/Axie、Harmony Horizon等)

  • 2022年6月:Harmony(Horizon Bridge)から約1億米ドルが流出(後にFBIがLazarus関与を公表)。

  • 2022年3–4月:Ronin Network(Axie Infinity)から約6億米ドル超が窃取される。複数の追跡・回収行為が行われ、分析で北朝鮮系アクターの関与が示唆される。

2020–2024:MATA、DTrack、BLINDINGCAN、EarlyRat 等の新旧マルウェア系列の検出と多国ターゲットへの展開。国際機関やベンダーが連続的に技術分析を公開している。

2023年:国連監視パネル報告が、2022年の暗号資産窃取額が過去最大水準に達した可能性を指摘し、北朝鮮系サイバー活動が兵器開発資金還流に寄与しているとの懸念を再提示。各国の財務制裁や資産凍結の根拠となる報告が継続的に出されている。

(注)上記年表は代表的事件を時系列で示したものであり、北朝鮮系アクターの活動は断続的かつ多面的であるため、細かな攻撃キャンペーンはさらに多数存在する。国際機関や各セキュリティベンダーによる年次/随時レポートに詳細がある。

技術的な攻撃チェーンの詳細(概説)

以下は典型的な攻撃チェーン(kill chain)を段階ごとに示し、各フェーズで確認されている代表的な手口・マルウェア名およびIOCの所在を併記する。IOCを直接含む詳細(ファイルハッシュ、IP、ドメイン、ウォレットアドレス)については公的レポートの付録に多数掲載されているため、該当報告の参照先を明記する。

攻撃チェーン(段階別)— 概略

  1. 標的選定・偵察(Reconnaissance)

    • ソーシャルメディア、企業サイト、採用募集情報、研究論文、GitHub、ブロックチェーンプロジェクトの公開ソースからターゲットを選定する。

    • 標的の職務や技術スタックを把握し、カスタムのスピアフィッシング誘い文句を作成する。KimsukyやAndarielの活動で観測される。

  2. 初期侵入(Initial Access)

    • スピアフィッシングの添付ファイルやリンク、偽求人・偽コントリビューター招待、公開脆弱性の悪用(例:Log4ShellやManageEngineの脆弱性)を通じてマルウェアを配布する。MATAフレームワークやEarlyRatなどはこのフェーズで利用される報告がある。

  3. 権限昇格・横展開(Privilege Escalation / Lateral Movement)

    • 侵入後にDTrackやBLINDINGCANなどのRAT(Remote Access Trojan)を使い、内部情報収集や資格情報の窃取、ネットワーク内移動を行う。FASTCashでは銀行内部の決済スイッチやATMシステムに到達するための横展開が行われたとされる。

  4. 収集(Collection)

    • 銀行システムのトランザクションファイル、ブロックチェーンのキーファイル、取引所のAPIキー、内部管理者権限を盗む。DTrackやCollectionRAT、QuiteRAT等がデータ窃取に使用されているという報告がある。

  5. 窃取・現金化(Exfiltration / Monetization)

    • SWIFTメッセージ改ざん、ATM不正引出し、ウォレットからの暗号資産盗取、ブリッジやDeFiの脆弱性悪用で資金を奪う。奪取した暗号資産はTornado Cash等のミキシングサービスや複数のチェーンを介することで洗浄が試みられる。RoninやHarmony事件での実例がある。

  6. カバーアップ・持続(Anti-Forensics / Persistence)

    • ログ削除、痕跡消去、バックドアの確保により調査を困難にする。Bangladesh Bank事件では痕跡消去を目的としたファイル削除や印刷停止のタイミングが観測された。

代表的マルウェア/ツール(名称と用途)

(以下は公開レポートで広く言及される代表的ファミリ名。詳細なIOCsは各レポート参照)

  • WannaCry:世界的ランサムウェア。北朝鮮系関与が公的に指摘された例。CISA等がIOCを公開。

  • DTrack(Remote Access Trojan):データ窃取・リモート操作を行うRAT。銀行や研究機関、発電所等でも検出。

  • MATAフレームワーク:マルチプラットフォームのモジュラー型フレームワーク。ランサムウェアやデータ窃取モジュール展開に使われる。

  • FASTCash:ATM/決済スイッチを標的とした窃取ツール群(ATM不正引出しで利用)。CISA等が技術解析を公開。

  • BLINDINGCAN(別名 HIDDEN COBRA 関連):防衛産業等を狙うRATの一群。DHS/CISA/FBIが解析レポートを公表。

  • EarlyRat / Maui / TFlower / Maui等:近年に観測された新しいファミリやランサムウェア派生。Andariel/And related subgroups が使用。

  • QuiteRAT / CollectionRAT / その他新種:クラスタ別に名称が付されたバックドア群。C2通信やファイル窃取機能を持つ。

IOC(Indicator of Compromise)と参照先(概要)

公的機関・研究機関は事件ごとにIOCsを公開しているため、最新版は必ず原報告で確認すること。以下に主要レポートとそのIOC情報の所在を示す。

  • CISA / FBI / DHS マルウェア分析レポート(MAR / AA 警告):BLINDINGCAN、FASTCash、北朝鮮関連活動のIOC(ファイルハッシュ、C2ドメイン、サンプル名等)を掲載。具体的なハッシュ/IPはレポート本文と付録参照。

  • 米国司法省(DOJ)起訴文/プレスリリース:被告の活動説明とともに、攻撃に関連する技術的証拠の要約を示すことがある(例:Park Jin Hyok 関連起訴)。詳細IOCは起訴文の証拠資料に含まれる場合がある。

  • セキュリティベンダー(Kaspersky, Securelist, Sygnia, Mandiant, NCC Group等):マルウェア解析レポートでサンプルコードの振る舞い、プロセスツリー、ファイルハッシュ、C2パターンを公開している。MATA、DTrack、EarlyRat等の詳細がある。

  • ブロックチェーン解析企業(Chainalysis, Elliptic 等):暗号資産窃取事件に関連する疑わしいウォレットアドレス、トランザクション経路、ミキシングサービス経由の追跡レポートを公開。Ronin/Harmony 等事件の追跡に有用。

(注)IOCは時間経過で無効化・変更される。インシデント調査や防御対策には、上記機関の最新レポートを取得して照合することが必須である。

参照サンプル(サンプル取得の指針)

  • 各国CISA(Cybersecurity and Infrastructure Security Agency)やFBIのMAR/警告ページには、マルウェア解析のサンプル名・ハッシュ・振る舞い図が記載されている。まずこれらの公式ページを確認すべきである。

  • セキュリティベンダーの公開レポート(Kaspersky、Sygnia、Securelist、Mandiant、Cisco Talos等)は、解析図、YARAルール、行動指標(TTPs)を提供している。これらは検知ルールやEDRチューニングに直接使える。

  • ブロックチェーン事件では、ChainalysisやEllipticの公開レポートが疑わしいアドレス列や送金チェーンを示す。資産凍結や法的手続きのための一次資料として有用である。

日本企業向け:実務的対策チェックリスト(すぐに実施できる項目と中長期施策)

以下は実務担当者(CISO、SOC、IT管理者、人事、法務)向けに整理したチェックリスト。優先度を★(高)〜☆(低)で示す。

すぐに実施すべき(即効性・優先度高)

  1. ★エンドポイントのパッチ適用と脆弱性管理プロセス整備(OS、FW、VPN、公開Web、ManageEngine等の管理ツール)— 既知の脆弱性を悪用されないよう定期的にパッチを当てる。

  2. ★多要素認証(MFA)の全社導入(管理者アカウント、VPN、クラウド管理コンソール)— 資格情報窃取を受けてもリスクを低減する。

  3. ★Eメール防御強化(SPF/DKIM/DMARCの導入、スピアフィッシング対策、受信メールのサンドボックス)— 偽採用・偽連絡を経由した侵入を減らす。

  4. ★バックアップ運用とオフライン隔離(定期検証、ランサムウェア対策)— データ損失時の事業継続性を確保する。

  5. ★ログ収集・SIEM/EDRの導入と脅威検知ルールのチューニング(公開されたYARAルールやIOCの取り込み)— 早期検知のため。

中期で整備すべき(組織・技術)

  1. ★サプライチェーンセキュリティ(外部開発者、OSS依存、クラウドサービス連携の精査)— サプライチェーン経由の侵入に備える。

  2. ★ネットワーク分離とゼロトラスト設計(重要資産のネットワーク分離、最小権限)— 金融系や秘匿データを扱うセグメントに適用。

  3. ★ブロックチェーン/暗号資産関連のガバナンス整備(ウォレット管理の分離、コールドウォレットの運用、内部承認フローの厳格化)— DeFi連携事業や暗号通貨保有のある企業は必須。

  4. ☆インシデント対応計画(IR playbook、法務・広報含む、定期テーブルトップ演習)— 実務対応速度が被害軽減に直結する。

  5. ☆脅威インテリジェンス購読と自動化更新(CISA/FBI/ベンダーIOCの自動取り込み)— 最新IOCを追い続ける体制を作る。

人的対策(教育・運用)

  1. ★人事・採用プロセスの厳格化(外部のリモート契約者向けの認証、社内環境アクセスの制御)— 偽求人や偽報酬詐欺による侵入を防止。

  2. ★技術者向け訓練(ソーシャルエンジニアリング耐性、コードレビュー、セキュアコーディング)— 特に暗号資産プロジェクトの開発者は脆弱なスマートコントラクトで狙われやすい。

法務・協力体制

  1. ★外部機関との連携(JPCERT/経済産業省/警察庁/金融庁/関連業界ISAC)への通報ルート確保— 情報共有と援助依頼を円滑にする。

  2. ☆保険・資産凍結対策(暗号資産の保険検討、法的手続きの準備)— 侵害後の財務的被害軽減に資する。

技術的検出ルール例(導入指針)

  • 公開されたYARAルールをEDRに組み込み、MATAやDTrack系のバイナリ振る舞いを検出する。

  • 異常な外部通信(夜間の大容量接続、未知の国のIPへのHTTPS接続)をSIEMでアラート設定する。

  • ブロックチェーンのモニタリング:社有アドレスからの未承認送金や、外部からの大口入金後に即座にミキサーへ送金される挙動を検知するためのルールを設定する。

事例別の技術的ポイント(代表事件を例に)

Bangladesh Bank(2016)— 技術的特徴

  • 手口:SWIFTアクセス端末に侵入し、偽の送金命令を発行。ログ・トランザクション記録の改ざんと消去を行い、検出を遅延させた。マルウェアはトランザクション処理を監視・操作する機能を持っていた。詳細な解析は技術報告書に示されている。

WannaCry(2017)— 技術的特徴

  • 手口:WindowsのSMB脆弱性(EternalBlue)を悪用して自己伝播するワーム型ランサムウェアを展開。暗号化処理と復号条件の構造が解析されている。CISAがIOCsを公開している。

Ronin / Harmony(2022)— 技術的特徴(暗号資産窃取)

  • 手口:ブリッジの認証・署名プロセスやノード管理の不備、マルチシグ運用の弱点を突いてブリッジの鍵管理を奪取または偽装し、巨額の資金を一括移転した。資金は複数のチェーンとミキサーを経由して洗浄されるケースが観測された。チェーン解析企業のレポートが詳細を示す。

問題点(実務上の留意)

  • IOCやTTPは刻々と変化するため、単発のIOC収集では不十分であり、継続的なインテリジェンス更新が必要である。

  • 暗号資産の技術特性(高度なチェーン間移動やミキシング)により、犯行資金の完全凍結は困難であるが、チェーン解析と国際捜査協力で回収や凍結が可能な例も増えている。

まとめ(実務的提言)

  1. 公的機関(CISA、FBI、JPCERT 等)のアラートとセキュリティベンダーの解析レポートを定期的に監視し、自動的にIOCやルールを取り込む運用を確立する。

  2. 暗号資産を扱う企業やプロジェクトは、ウォレット管理・ガバナンス・マルチシグ運用・スマートコントラクトの第三者監査を必須化する。ブリッジ/クロスチェーン機能は特に高リスクであるため、リリース前の堅牢なセキュリティ審査を行う。

  3. 人的攻撃(偽採用・報酬詐欺)に対する訓練と採用プロセスの見直しを行い、外部コントリビュータに対するネットワークアクセスは段階的・限定的に付与する。

参考(主要レポートの参照先 — IOCやサンプルはこれらの付録を参照)

  • 米国CISA / FBI マルウェア分析レポート(BLINDINGCAN、FASTCash等)。

  • 米国司法省(DOJ)起訴資料・プレスリリース(北朝鮮関与の公的通知と証拠要旨)。

  • 国連安全保障理事会制裁委員会・パネル・オブ・エキスパート報告(DPRKに関する継続的な監視報告)。

  • Chainalysis / Elliptic 等のブロックチェーン解析レポート(Ronin, Harmony 等)。

  • セキュリティベンダーの技術解析(Kaspersky, Sygnia, Securelist, Cisco Talos 等が MATA, DTrack, EarlyRat 等)。

この記事が気に入ったら
フォローしよう
最新情報をお届けします