多国間制裁監視チーム(MSMT)が発表した報告書によると、北朝鮮関連のハッカーが2024年から2025年9月までに28億3000万ドル相当の仮想資産を盗んだ。
報告書は、平壌が窃盗に優れているだけでなく、不正に得た利益を現金化する高度な手法を持っていることを強調している。
Sponsoredハッキング収益が国の外貨の3分の1を支える
MSMTは、米国、韓国、日本を含む11カ国の多国籍連合である。2024年10月に北朝鮮に対する国連安全保障理事会の制裁の実施を支援するために設立された。
MSMTによれば、2024年から2025年9月までに盗まれた28億3000万ドルは重要な数字である。
「2024年における北朝鮮の仮想資産窃盗の収益は、同国の総外貨収入の約3分の1に相当する」とチームは指摘した。
窃盗の規模は劇的に加速しており、2025年だけで16億4000万ドルが盗まれ、2024年の11億9000万ドルから50%以上増加している。2025年の数字には最終四半期が含まれていないにもかかわらずである。
Sponsored Sponsoredバイビットのハッキングとトレーダートレイター組織
MSMTは、2025年2月に発生したグローバル取引所Bybitのハッキングを、2025年の不正収益の急増の主要な要因として特定した。この攻撃は、北朝鮮の最も高度なハッキング組織の一つであるTraderTraitorによるものとされた。
調査により、グループはBybitが使用するマルチシグネチャウォレットプロバイダーであるSafeWalletに関連する情報を収集したことが明らかになった。その後、フィッシングメールを通じて不正アクセスを得た。
彼らは悪意のあるコードを使用して内部ネットワークにアクセスし、外部の送金を内部の資産移動として偽装した。これにより、コールドウォレットのスマートコントラクトの制御を乗っ取ることができた。
MSMTは、過去2年間の主要なハッキングにおいて、北朝鮮がしばしば取引所自体を攻撃するのではなく、取引所に接続された第三者サービスプロバイダーを標的にすることを好むと指摘した。
Sponsored Sponsored9段階の資金洗浄メカニズム
MSMTは、北朝鮮が盗まれた仮想資産を法定通貨に変換するために使用する綿密な9段階の資金洗浄プロセスを詳述した。
1. 攻撃者は盗まれた資産をDEXでETHなどの暗号資産に交換する。
2. Tornado Cash、Wasabi Wallet、Railgunなどのサービスを使用して資金を「ミックス」する。
3. ブリッジサービスを介してETHをBTCに変換する。
4. 中央集権型取引所のアカウントを通過した後、資金をコールドウォレットに移動する。
5. 2回目のミックス後、資産を異なるウォレットに分散する。
6. ブリッジとP2P取引を使用してBTCをTRX(トロン)に交換する。
7. TRXをステーブルコインUSDTに変換する。
8. USDTをOTCブローカーに転送する。
9. OTCブローカーが資産を現地の法定通貨に現金化する。
グローバルネットワークが現金化を促進
最も困難な段階は、暗号資産を使用可能な法定通貨に変換することである。これは、中国、ロシア、カンボジアを含む第三国のOTCブローカーや金融会社を使用して達成される。
Sponsored報告書は特定の個人を名指しした。これには、中国の深圳チェーンエレメントネットワークテクノロジーの葉鼎栄と譚永志、P2Pトレーダーの王一聡が含まれる。
彼らは北朝鮮の組織と協力し、偽のIDを提供し、資産洗浄を促進したとされる。ロシアの仲介者もBybitハッキングからの約6000万ドルの現金化に関与した。
さらに、カンボジアのHuione Group傘下の金融サービスプロバイダーであるHuione Payが資金洗浄に利用された。
「北朝鮮の国民がHuione Payの関係者と個人的な関係を維持し、2023年末に仮想資産を現金化するために協力した」とMSMTは述べた。
MSMTは2024年10月と12月にカンボジア政府に対し、Huione Payの活動が国連指定の北朝鮮のサイバーハッカーを支援していることについて懸念を表明した。その結果、カンボジア国立銀行はHuione Payの支払いライセンスの更新を拒否したが、同社は国内での営業を続けている。
