DMM BitcoinやBybitも被害に｜北朝鮮ハッカー集団ラザルス事件簿

ラザルスグループは、北朝鮮政府の支援を受けるサイバー犯罪組織であり、金融機関や暗号資産取引所を標的にしたハッキングを繰り返しています。過去にはソニーピクチャーズやバングラデシュ中央銀行、コインチェックなどを攻撃し、2024年にはDMMビットコイン、2025年にはBybitを標的に大規模な資金流出を引き起こしました。これらの攻撃で得た暗号資産は、北朝鮮の核・ミサイル開発資金として利用されているとされ、国際社会は制裁強化や法執行機関の連携を進めています。

本稿では、ラザルスグループの手口や被害事例、暗号資産業界への影響、そして政府や国際機関の対応について詳しく解説します。

ラザルスグループの背景

ラザルスグループは北朝鮮政府の支援を受けて活動しているとされるサイバー犯罪組織です。複数のサブグループ(APT38やBlueNoroffなど)から構成され、それぞれに得意分野があります。例えばAPT38は銀行システムへの不正送金を専門とし、BlueNoroffは暗号資産企業への攻撃を得意とすると言われます。TraderTraitorは求人詐欺を入口に組織内部へ侵入する手口に特徴があり、本事件でもその戦術が用いられました。また2018年頃からは暗号資産アプリに見せかけたマルウェア「AppleJeus」を用いて個人や企業から暗号資産を奪う作戦も展開しています。こうしたサイバー窃盗による収益は北朝鮮当局のもと核・ミサイル開発資金に充てられていると米連邦捜査局(FBI)や米財務省が指摘しています。

実際、北朝鮮の2020年公式輸出総額となる約1億4200万ドルをはるかに上回る約17億ドル相当を北朝鮮系ハッカーが2022年に盗み出したとの分析もあり、暗号資産ハッキングが国家経済に占める比重は大きくなっています。北朝鮮は2022年に前例のない頻度で約59発の弾道ミサイル発射実験を行いましたが、その軍事挑発の原資がこれら違法取得された暗号資産で賄われている可能性も否定できません。国連安保理の報告でも、北朝鮮が経済制裁下で仮想通貨窃盗を資金源としている実態が繰り返し指摘され、サイバー攻撃による資金獲得が国家戦略の一部となっている現状が浮かび上がっています。韓国情報当局によると、ラザルスは北朝鮮軍偵察総局所属の「121局」に属し、数百人規模のハッカーが中国やロシアなど海外から活動しているとされます。

さらに、北朝鮮は2017年から2022年の間に、日本から約980億円（7億2100万ドル）相当の暗号資産をハッキングしました。これは、世界全体の暗号資産ハッキング被害総額約23億ドルの約30%を占める規模となります。

過去に行ってきたサイバー攻撃

ラザルスグループは過去に以下のような大規模サイバー攻撃を起こしてきました。

• ソニーピクチャーズへの攻撃（2014年）: 映画『ザ・インタビュー』への報復とみられるハッキングで、未公開映画データや社員情報が流出。当局は北朝鮮の犯行と断定。
• バングラデシュ中央銀行ハッキング（2016年）: SWIFT国際送金システムを悪用し約8100万ドルの不正送金に成功。国家関与の金融機関狙い攻撃として世界を震撼させました。
• コインチェック事件（2018年）: 日本の取引所コインチェックから約580億円相当（約5億3000万ドル）のNEMトークンが盗難。当初犯人は不明でしたが、後に北朝鮮ラザルスの関与が指摘。
• アップビット取引所ハック（2019年）: 韓国Upbitから約5000万ドル相当の暗号資産が流出。調査でラザルス犯行と判明。取引所は被害額全額を自己資金で補填し運営継続。
• Liquid取引所ハック（2021年）: 日本Liquidから約100億円（9700万ドル）が流出。犯人は未特定ながら、北朝鮮関与が疑われています。
• クーコイン取引所ハック（2020年）: シンガポールKuCoinから約2億7500万ドルが盗難、当年最大の暗号資産ハックに。ホットウォレット秘密鍵流出が原因で、ラザルス特有のミキサー洗浄が確認。後に約2億400万ドル相当を回収。
• Roninブリッジハック（2022年）: ゲーム「Axie Infinity」関連のRoninブリッジから約6億2000万ドルが奪われ、当時史上最大規模に。ラザルス犯行と断定され、資金の大半はTornado Cashで洗浄。米財務省はTornado Cashを制裁指定し資金洗浄経路を封鎖。
• Harmonyブリッジハック（2022年）: ブロックチェーン間ブリッジ「Horizon」から約1億ドルが盗難。2023年1月にFBIがラザルス（別名APT38）による犯行と公式認定。盗難資金の約6000万ドル分はRailgun（プライバシープロトコル）で洗浄後、ビットコインに変換されたことをFBIが確認。

Chainalysisによると、北朝鮮系ハッカーによる暗号資産窃盗は2022年に約17億ドル（史上最多）、2023年は約6億6000万ドル、2024年は13億4000万ドル以上と推計されています。金額ベースで見ても被害は増加傾向にあり、こうした中でDMMビットコインとBybitへの攻撃はいずれも突出した規模であり、業界全体への影響も甚大でした。

DMMビットコインへの攻撃：LinkedInを悪用した内部侵入

攻撃の経緯と手口

日本の暗号資産交換業者DMMビットコインは、2024年5月24日に大規模な不正流出被害を公表しました。その後の警察庁の発表により、犯人は北朝鮮のハッカー集団ラザルス傘下の「TraderTraitor（トレイダートレイター）」であることが特定されています。

【SNSで接触か】DMMビットコイン流出は「北朝鮮の攻撃」 日米特定https://t.co/kdZpqN8MOD

今年5月、約482億円相当のビットコインが流出した事件。警察庁と米連邦捜査局（FBI）は、北朝鮮の軍傘下の組織による窃取と特定したと発表。日米が連携した捜査の結果から判明したという。 pic.twitter.com/P4DL5W13j7

— ライブドアニュース (@livedoornews) December 23, 2024

TraderTraitorは標的型のソーシャルエンジニアリング攻撃で知られており、今回の事件でもその手口が用いられました。

1. LinkedInを利用した標的攻撃
   • 2024年3月下旬、攻撃者はリクルーターを装い、DMMビットコインの業務委託先であるGinco社の社員に「転職のご案内」を送りました。
   • 採用前テストを装った悪意のあるPythonスクリプトへのリンクを送付しました。
   • 社員がこのコードを実行したことでPCがマルウェアに感染し、攻撃者はGinco社内の権限を乗っ取る足掛かりを得ました。
2. Ginco経由でDMMビットコインに侵入
   • 5月中旬以降、侵入者はマルウェアで窃取したセッション情報を利用し、Ginco社内の暗号資産管理システムに不正ログインしました。
   • 5月下旬には、Ginco経由でDMMビットコインの資金管理プロセスに介入しました。
   • DMM社員が発行した正規の出金リクエストを改ざんし、攻撃者自身のウォレットへ送金するよう仕向けました。

この改ざん送金により、4502.9BTC（当時約482億円）がハッカーのウォレットに流出しました。被害規模は2018年のコインチェック事件（約580億円相当）に次ぐ日本国内史上2番目の暗号資産流出となり、世界的にも過去3番目の規模となっています。

当初、DMMビットコインは原因を公表していませんでしたが、半年後の警察発表により、LinkedInを介した業務委託先への標的型攻撃であったことが明らかになりました。これは、Axie Infinity開発者がRonin事件で遭遇したLinkedIn詐欺と類似する手口であり、日本国内企業も標的となった事例となりました。

---

被害状況と資金の流れ

4500BTC以上もの巨額資産を得たハッカーは、即座に資金洗浄を開始しました。

暗号資産調査員ZachXBTの分析によると

1/4 So far in July 2024 more than $35M from the $305M DMM Bitcoin hack has been laundered to the online marketplace Huione Guarantee

It is suspected that Lazarus Group is behind the hack due to similarities in laundering techniques and off chain indicators. pic.twitter.com/g1ndlttBll

— ZachXBT (@zachxbt) July 14, 2024

• 盗んだBTCを複数のミキサー（送金履歴を撹乱するサービス）に投入しました。
• クロスチェーンプロトコル「THORChain」を利用し、BTCをイーサリアムやアバランチに交換しました。
• ETHとAVAXをそれぞれテザーとトロンにスワップしました。
• 最終的に全資金をカンボジア拠点のHuioneGuarantee社に集約しました。

Ellipticの報告によると

• Huione社はカンボジア当局との関係が疑われる企業です。
• 過去に110億ドル超の不正資金洗浄に関与した可能性が指摘されています。

また、ZachXBT氏はハッカーのウォレットが3日間で約1400万ドルを引き出したことを確認し、関連する538のアドレス群を特定しました。そのオンチェーン挙動やマネーロンダリング手法は北朝鮮ラザルスの関与を示唆しています。

日本の警察当局もブロックチェーン分析を駆使し、資金追跡を行いましたが、洗浄済み資金の回収は極めて困難な状況となっています。

関連記事：DMMビットコイン流出事件、北の攻撃と特定 – Linkedin経由＝警察庁

---

DMMビットコインの事業終了と業界への影響

巨額の流出により、DMMビットコインは事業継続を断念しました。2024年12月、事業廃止と顧客資産のSBIVCトレードへの移管を発表しました。

• ユーザー資産はすべて保全され、他社へ引き継がれます。
• しかし、ハッキングが直接の引き金となり、有力国内取引所が消滅する事態となりました。

金融庁はこの事件を受け、他の取引所に対し、内部委託先も含めたセキュリティ対策の総点検を要請しました。

金融庁の対応

• 人的リスクの再評価
• 多層防御の強化

また、警察庁・NISC・金融庁の連名で2024年12月に注意喚起文書を公表しました。

具体的な対策として

• 自社だけでなく、委託先を含めたサプライチェーン全体のアクセス状況把握
• 従業員へのソーシャルエンジニアリング詐欺に関する警戒訓練の実施

などが挙げられ、業界全体のセキュリティ意識向上が求められました。

関連記事：SBI VCトレード、DMMビットコインからの口座・預かり資産移管に伴う14銘柄を取扱い開始

Bybitへの攻撃: 史上最大規模の暗号資産ハッキング

攻撃の発生と巨額流出

2025年2月21日未明、シンガポールを拠点とする大手取引所Bybitで暗号資産流出事件が発生しました。流出額は約40.1万ETH（時価約15億ドル＝約2200億円）に上り、単一のハッキング事件として史上最大の被害額となりました。この事件により、BybitのETH準備金の過半が失われ、取引所の運営に深刻な影響を及ぼしました。

Join us on war against Lazarus – https://t.co/6DnaH1WTId
Industry first bounty site that shows aggregated full transparency on the sanctioned Lazarus money laundering activities. V1 includes:
– Becoming a bounty hunter by connecting your wallet and help tracing the fund, when…

— Ben Zhou (@benbybit) February 25, 2025

当初、原因は特定できず、Bybitの社内インシデント対応チームが調査を進めるとともに、全ユーザーへの補償を約束するなど、緊急対応に追われました。流出直後からオンチェーン上で膨大なETHが不審な移動をしていることが確認され、セキュリティ専門家たちは即座に解析を開始しました。

ZachXBT氏は、分析プラットフォームArkhamの懸賞金提供を受け調査を行い、数時間のうちに「Bybitハックの犯人は北朝鮮ラザルスグループである」との結論に到達しました。決め手となったのは、犯行に使われたウォレットが1月に発生したPhemex取引所からの8500万ドル流出事件の犯人ウォレットと共通していた点です。この共通点が両事件を繋ぐ明確な証拠となり、ZachXBT氏にはArkhamから5万ARKM（約3万ドル相当）の報奨**が支払われました。

Bybitハッキングの手口は非常に高度なものでした。Chainalysisの分析によると、攻撃者はBybitのコールドウォレットのマルチシグ署名者に対してフィッシング（ソーシャルエンジニアリング）を行い、署名者に偽のトランザクションに署名させることでマルチシグコントラクトを乗っ取ることに成功しました。

攻撃者はちょうどコールドウォレットからホットウォレットへの定期転送が行われるタイミングを狙い、署名済みの送金要求を改ざんし、約40.1万ETHを攻撃者のアドレスへ迂回送金させました。

表向き正常に見える処理の陰で巨額送金がすり替えられる形となり、SafeWallet（Safe）というマルチシグ運用フレームワークの脆弱性を突かれたとみられています。BybitではLedgerハードウェアウォレットも使用し多層防御を施していましたが、その検証ステップすら欺かれたことになります。この攻撃はソーシャルエンジニアリングとブロックチェーン技術の悪用を組み合わせた極めて巧妙な手口であり、業界に大きな衝撃を与えました。

関連記事：北朝鮮ラザルスグループ、Bybitハッキングの背後

---

盗難資産の洗浄手口

盗まれたETHは瞬く間に分散され、複数のウォレットに移動しました。犯人はこれらをさまざまな手段で換金・洗浄しています。Chainalysisは、この事件の流れを5段階に整理しました。

THE BYBIT HACK WAS THE LARGEST FINANCIAL HEIST IN HISTORY

Bybit sustained losses of $1.4 Billion at the time of the hack, 21st Feb 2025. The closest competitor is the theft from the Central Bank of Iraq, which lost $1 Billion on 18th March 2003. pic.twitter.com/OzAcWFUXPL

— Arkham (@arkham) February 24, 2025

1. 初期侵入（ソーシャルハック）
   • コールドウォレット署名者へのフィッシングを通じて、マルチシグ権限を奪取。
2. 不正送金実行
   • 定期送金に偽装し、40.1万ETHを攻撃者のアドレスに送金。
3. 資金分散
   • 盗難ETHを多数の中間アドレスへ細分化して転送。
4. 資産交換とブリッジ
   • ETHをBTCやDAIなどに交換し、DEXやクロスチェーンブリッジを利用して資産を移動。
5. 資金静置と遅延洗浄
   • 監視が薄れるのを待ち、時間を置いてから本格的な洗浄を開始。

犯人は、ETHの相当量をラップドBTC（WBTC）やDAIに変換し、ポリゴンやBSCなど他のチェーンへブリッジしました。さらに、Tornado Cash類似のプライバシーツールや他のミキサーを利用して資金を隠蔽したとみられます。

Chainalysisは、2022年以降ラザルスがTornado Cash制裁後に新たなミキサー「Sinbad」を多用していることを指摘しており、Bybit事件でも一部ETHがBitcoinにブリッジされSinbadへ流入した可能性があると分析しています。また、ラザルスは盗んだ資金を一部休眠させ、数ヶ月から一年単位で時間を置いて洗浄を再開する戦略を取っており、Bybit事件でも少なくないETHが未だ犯人ウォレットに残存している状況です。

関連記事：Bybit、史上最大ハッキング後にイーサリアム準備金回復

Bybit事件とDMM事件の比較

Bybit事件とDMM事件はいずれも北朝鮮ハッカーによる大胆不敵な攻撃ですが、アプローチが異なります。以下に両事件を対比します。

項目	DMMビットコイン流出事件	Bybitハッキング事件
発生時期	2024年5月下旬	2025年2月21日
侵入経路	LinkedInで委託先社員を標的（内部侵入）	フィッシングで署名者騙し（内部権限奪取）
被害額	約482億円（BTC 4502.9枚）	約2200億円（ETH 401000枚）
手口	正規送金の改ざんでBTC流出	マルチシグ契約乗っ取りでETH流出
洗浄経路	ミキサー→THORChain→複数通貨→Huione	分散→DEX・ブリッジ→BTC等→多段ミキサー
事後対応	警察庁がTraderTraitor特定、事業廃止	FBIが北朝鮮関与断定、全額補償予定

---

日本政府や国際機関の対応・制裁措置

DMMビットコインおよびBybitの事件を受け、日本政府や国際社会は次のような対応策・制裁措置を講じました。

警察庁の合同捜査と情報共有

日本の警察庁は関東管区警察局サイバー特別捜査部・警視庁と連携し、米FBIやDC3と合同でTraderTraitorを特定。この成果は国内外の関係機関と共有され、北朝鮮サイバー犯罪の実態解明が進められています。

注意喚起文書の発出

警察庁・内閣サイバーセキュリティセンター（NISC）・金融庁は2024年12月24日付で、TraderTraitorの手口例と緩和策に関する文書を公開しました。

• LinkedIn経由のマルウェア感染
• セッションハイジャック攻撃

これらの手口が詳述され、組織が取るべき対策（サプライチェーン管理、ログ保存強化、従業員教育、開発環境の安全性確保など）が示されました。

金融庁の監督強化

金融庁は国内暗号資産交換業者に対し、今回の侵入手口を踏まえた緊急のシステム点検を要請。特に、

• 委託先を含むアクセス管理
• マルウェア対策
• 人材採用プロセスのセキュリティ確認

これらの重点チェックを指導し、暗号資産業界団体（JVCEA）と連携して標的型攻撃への備え向上を進めています。

米国の制裁措置

米OFAC（財務省外国資産管理局）は北朝鮮の暗号資産犯罪ネットワークに対する制裁を強化。

• 2022年3月 Blender.io（ミキサー）を制裁対象に指定
• 2022年8月 Tornado Cash（ミキサー）を制裁対象に指定
• 2023年1月 北朝鮮のIT労働者やハッカーのウォレットアドレスを凍結
• 2023年5月 ロシア人マネーロンダラー逮捕（ラザルス資金洗浄関与）

北朝鮮の資金洗浄ネットワークを断つための取り組みが強化されています。

FBIの公開指名手配

FBIは2018年にラザルス所属のパク・ジンヒョク氏をWannaCryやSWIFT攻撃の容疑で起訴し、国際指名手配。これにより、

• 米国への入国禁止
• 資産の凍結

が行われ、サイバー犯罪者への圧力が高まっています。

資金押収と回収努力

法執行機関とブロックチェーン企業の協力により、

• Ronin事件では約3000万ドル
• Harmony事件ではETH数百万ドル相当

が押収された。また、ノルウェー当局もRonin資金の一部560万ドル相当を押収。ChainalysisやEllipticの支援もあり、犯罪収益の摘発が進められています。

国際的な規制強化

FATF（金融活動作業部会）はトラベルルール（送金者・受取者情報の取引所間共有）の厳格化を加盟各国に要請し、日本も2023年に同ルールを施行。

• G7広島サミット（2023年）では、各国首脳が「北朝鮮による仮想通貨窃盗」に懸念を表明
• EUの暗号資産マネロン規制（MiCA）により、ミキサーやプライバシーコインへの監視を強化

こうした多角的な対策により、北朝鮮ハッカー集団の資金移動が徐々に制限されつつある。

関連記事：日米韓政府、北朝鮮による暗合資産窃取および官民連携に関する共同声明を発表

まとめ：資産管理を徹底し、ハッキングされないように心がけよう

ラザルスグループによる暗号資産ハッキングは、国家主導のサイバー犯罪として世界的な脅威となっています。DMMビットコインやBybitの大規模流出事件を含め、彼らは取引所や金融機関に巧妙な攻撃を仕掛け、多額の資産を奪取しています。これらの違法取得資産は北朝鮮の軍事資金として利用され、国際社会の安全保障にも影響を及ぼしています。各国政府や規制当局は、制裁強化やセキュリティ対策の見直しを進めていますが、暗号資産業界全体がさらなる防衛策を講じることが求められます。