北朝鮮が暗号資産を繰り返し狙う背景について、制裁回避のための決済網を築くことよりも、兵器開発資金を直接確保する狙いが大きいとの分析が出ている。攻撃対象も取引所やウォレットサービス、DeFiプロトコルに加え、署名権限やインフラへのアクセス権を持つ個人に広がっており、事前防御の重要性が一段と高まっている。

CoinDeskは12日（現地時間）、複数のセキュリティ専門家の見解として、北朝鮮による暗号資産ハッキングは、他の国家支援型サイバー攻撃とは性格が異なると報じた。背景には、Driftを狙った6カ月に及ぶ潜入工作が明らかになったこともあり、業界内の警戒感は強まっている。

大きな違いは、暗号資産の位置付けにある。ロシアやイランが制裁下での資金移動手段として暗号資産を活用するのに対し、北朝鮮は暗号資産のエコシステムそのものを攻撃対象としているという。

SVRNの最高執行責任者（COO）、デイブ・シュウェド氏は、北朝鮮は厳しい制裁環境の下で兵器開発資金の確保を迫られていると指摘した。国際機関や情報機関の多くが、暗号資産の窃取を北朝鮮の核・ミサイル開発を支える主要な資金源の一つとみているとも述べた。

そのため北朝鮮は、公開ブロックチェーン上で追跡可能であっても、大規模な窃取をためらわない戦略を取っているとされる。シュウェド氏は、ロシアには石油・ガスや原材料の輸出先がなお残り、イランにも制裁下の原油や中東域内の資金ネットワークがある一方、北朝鮮には外貨を得られる手段がほとんど残されていないと説明した。

北朝鮮の輸出の大半は事実上、制裁対象となっており、正常に機能する経済基盤も乏しい。このため、決済網の維持・確保よりも直接的な資金獲得が優先されるという。暗号資産の窃取であれば、取引相手を介さずに世界規模で短時間に資金を移転しやすい点も利点だとした。

標的も明確だ。ENS Labsの最高情報セキュリティ責任者（CISO）、アレクサンダー・アーベリス氏は、取引所やウォレットサービス、DeFiプロトコルに加え、署名権限やインフラへのアクセス権を持つ中核人材が主要な標的になっていると指摘した。資金へのアクセス権限を持つ個人やシステムが、攻撃の中心に据えられているという。

手口も一般的なサイバー犯罪とは異なる。北朝鮮は単純なフィッシングにとどまらず、情報機関レベルの長期潜入を仕掛けるとみられている。数カ月単位で関係を築き、偽の身元を使い、サプライチェーンへの侵入も組み合わせる手法だ。

Driftの事例でも、特定の人物に狙いを定め、長期間かけて信頼関係を築いた上で接触する手法が使われたとされる。

暗号資産の仕組み自体も、北朝鮮に有利に働く。伝統的な金融システムでは、ハッキング被害が起きても決済の遅延や規制上の確認、送金の差し止め・取り消しなど、被害拡大を防ぐ余地がある。これに対し、暗号資産は取引が承認されると差し戻しが難しい。

アーベリス氏は、昨年初めのBybitへの攻撃で15億ドル（約2250億円）が約30分で移動した事例に触れ、こうした構造的な違いを強調した。

この特性は防御戦略にも直結する。銀行など伝統的金融では、インシデント発生後にも一定の対応余地があるが、暗号資産の世界では事前の遮断と予防が事実上の最重要策になる。

もっとも、多くのプロジェクトは開発やリリースの速度を優先し、十分なセキュリティ統制や監査体制を整えられていないことが弱点として挙げられる。

専門家は、精巧に作られた偽の身元や内部アクセス権限の悪用を見抜くことが、この業界における最も難しいセキュリティ課題の一つだと口をそろえる。Driftの事例を受けて警戒感は高まっているが、北朝鮮が暗号資産を決済インフラではなく、直接資金化できる標的とみなしている以上、防御側の重い負担は当面続きそうだ。