窃盗パターンに変化も
ブロックチェーン分析企業チェイナリシス(Chainalysis)が最新レポートを12月18日に発表し、2025年に盗まれた暗号資産の総額は年初から12月初旬までで34億ドル(約5,352.7億円)超に達したことを報告した。
レポートでは、暗号資産窃盗のパターンに変化が生じていることが報告された。主要な脅威として北朝鮮(DPRK)系ハッカーによる被害が継続していることに加え、中央集権型サービスに対する個別攻撃の深刻化の増大、個人ウォレット侵害の急増、そして分散型金融(DeFi)ハッキングの傾向における予想外の分岐が挙げられた。
2025年に北朝鮮関連の攻撃者が窃取した暗号資産は少なくとも20億2000万ドル(約3,180億円)相当に上るという。これは前年から51%増加しており、単年としては過去最悪の水準に達した。これにより、北朝鮮による累計暗号資産窃取額は約67億5000万ドル(約1.6兆円)に達したと推定されている。
しかし、攻撃件数自体は大幅に減少しているという。2025年は確認された攻撃数が少ないにもかかわらず、2月に発生したバイビット(Bybit)の約15億ドル(約2,361億円)に上る大規模侵害をはじめ、1件あたりの被害額が極端に大きくなっている。少数の成功した攻撃で年間被害額の大半を占める構造が、鮮明になっており、北朝鮮ハッカーが攻撃する際には大規模サービスを標的とし、最大の影響を狙うことを裏付ける結果となった。
北朝鮮ハッカーは少数の高額攻撃と、約45日間に及ぶ計画的な資金洗浄プロセスを組み合わせ、国家レベルで暗号資産を資金源として活用しているという。
また、北朝鮮ハッカーの戦術も変化している。従来はIT技術者として暗号資産関連企業に就職し、内部から権限を悪用するIT従業員潜入型が主流だった。2025年もこの手法は引き続き用いられているが、最近では新たな傾向が確認されているという。
具体的には、有名なWeb3企業やAI企業の採用担当者、あるいは投資家を装い、偽の採用面接や事業提携の打診を行う手口だ。技術面接やデューデリジェンスを装った過程で、ソースコードやVPN、SSO(シングルサインオン)の認証情報を窃取し、被害者が所属する企業のシステムへ侵入する。経営層や幹部クラスを直接狙うケースも増えており、ソーシャルエンジニアリングの高度化が進んでいる。
2025年は、個人ユーザーを狙ったウォレット侵害も深刻化した。年間の侵害件数は約15万8,000件に達し、被害を受けたユニークユーザー数は少なくとも約8万人と推定されている。これは2022年と比べて被害者数が倍増した計算だ。
一方で、個人ウォレットから盗まれた総額は約7億1,300万ドル(約1,122億円)と、約15億ドルだった2024年からは減少した。これは、攻撃者が少数の大口よりも、多数のユーザーから比較的小額を奪う戦略にシフトしている可能性を示すものだ。ネットワーク別では、イーサリアム(Ethereum)やトロン(Tron)でウォレットあたりの被害率が高く、対照的に、ベース(Base)とソラナ(Solana)はユーザーベースが非常に大きいにもかかわらず、被害率が低い結果となった。
DeFi分野については、過去とは異なる動きが見られた。2024年から2025年にかけてDeFiのTVL(総預かり資産)は回復基調にあるが、ハッキングによる損失額は高水準に戻っていない。監視ツールの高度化や、迅速なプロトコル停止・ガバナンス対応など、セキュリティ運用の成熟が一定の効果を上げているとみられている。
チェイナリシスは、北朝鮮ハッカーが採用やビジネス接点を悪用する事例が増えている点を指摘しており、2026年以降は個人ウォレットの基礎的なセキュリティ対策に加え、取引所やWeb3企業における人的・組織的リスクへの対応が重要になるとの見方を示している。
参考:レポート
画像:iStock/JohnDWilliams