2026年4月1日、Solanaブロックチェーン上の最大級の分散型無期限先物取引所「Drift Protocol」が壊滅的なサイバー攻撃を受けました。被害総額は約2億8500万ドル(約456億5000万円)、実行時間はわずか約12分間です。ブロックチェーン分析企業TRM LabsおよびEllipticの初期調査により、この攻撃は北朝鮮の国家支援ハッカーグループによるものと強く推定されています。
この事件が示すのは、DeFiセキュリティの概念を根底から覆す重大な転換点です。攻撃者はスマートコントラクトのコーディングバグを突いたのではなく、人間の心理的脆弱性とブロックチェーンのガバナンス機構の盲点を融合させた「社会技術的エクスプロイト」を実行しました。コードの監査が完璧であっても、ガバナンスを司る人間と外部依存のオラクルを攻撃することでシステム全体が瞬時に崩壊するという構造的欠陥が露呈したのです。
北朝鮮のサイバー部隊による暗号資産の窃取総額は過去累計で67億5000万ドル(約1兆125億円)を超え、2026年第1四半期だけですでに前年年間総額に匹敵するペースで被害が拡大しています。本稿では攻撃の技術的メカニズムから日本企業への直接的脅威、そして国家レベルでの対抗戦略まで、一次ソースに基づき包括的に分析します。
【エグゼクティブ・サマリー:本稿のポイント】
-
DeFi史上最大級のサイバー強奪: 2026年4月、北朝鮮国家支援ハッカーがDrift Protocolのガバナンスの盲点をソーシャルエンジニアリング的な侵入で、わずか12分間で約456億円を窃取。
-
北朝鮮サイバー戦略の進化と兵器化: 暗号資産の窃取総額は累計1兆800億円を突破。少額多数から「少数高バリュー」のプロトコル狙いへ移行し、窃取資金はミサイル開発等へ直接流用されている。
-
日本企業に迫る「静かなる潜入」: DMM Bitcoinの巨額流出事件に加え、偽造身分証やAIを駆使した「偽装IT労働者」が日本企業に潜入し、内部からサプライチェーン攻撃や情報窃取を手引きする深刻な脅威が急増中。
-
日本のパラダイムシフトと企業の急務: 日本は「能動的サイバー防御(ACD)法」を成立させ、国家主導の事前介入へ舵を切った。企業は採用時の厳格な身元確認(アイデンティティ検証)とゼロトラスト・アーキテクチャの導入が急務となっている。
※本記事内の米ドル表記は、最新の想定為替レート(1ドル=160円)に基づく日本円換算を併記しています。
目次
Drift Protocol攻撃の全貌:12分間で456億円を奪った手口
事件の概要
| 項目 | 詳細 |
|---|---|
| 発生日 | 2026年4月1日 |
| 被害総額 | 約2億8000万〜2億8600万ドル(約420億〜429億円) |
| TVL(総ロックバリュー)の変動 | 約5億5000万ドル(825億円)→ 2億5000万ドル(375億円)未満へ崩壊 |
| 実行時間 | 約12分間 |
| 主な窃取資産 | USDC、JPL(約1億5500万ドル / 約232億5000万円)、USDT、JUP、USDS、WBTC、WETHなど |
| Solanaエコシステム史上の位置づけ | 2022年Wormholeブリッジへの攻撃(約326億5000万ドル)に次ぐ史上2番目の規模 |
| 攻撃者の帰属 | TRM Labs・Ellipticが北朝鮮国家支援ハッカーグループと強く推定 |
出典:TRM Labs、Elliptic、The Record、The Hacker News
ステップ1:6か月かけて信頼関係を構築
この攻撃は決して突発的ではありませんでした。
Driftの予備調査によれば、攻撃者は2025年10月ごろから量的取引会社を装って主要な暗号資産カンファレンスでDrift関係者に接触し、約6カ月かけて信頼関係を構築していました。
技術的に精通し、もっともらしい職歴や業界知識を備えた人物を前面に出すことで、攻撃者は単なるフィッシングではなく、対面で実際に接触し対象を信頼させインテリジェンス主導の浸透工作を実行したとみられます。
2025年12月から2026年1月にかけて、彼らはDrift上でエコシステム・ボールトを開設しました。そのためには、戦略の詳細を記載したフォームへの記入が必要でした。彼らは複数の作業セッションを通じて多くの貢献者と連携し、詳細かつ的確な製品に関する質問を行い、100万ドル以上の自己資金を投入しました。そして、Driftエコシステム内で、計画的かつ忍耐強く、機能的な事業基盤を構築しました。
つまり100万ドルで、約1億5500万ドル を窃取した形となります。
そのうえで、オンチェーン上の作戦準備は少なくとも2026年3月11日には始動していました。TRM Labsによれば、攻撃者はインフラ構築、トークン製造、ソーシャルエンジニアリングを並行させ、3月下旬にはDurable Nonceアカウントの整備や権限移行に向けた下準備を進めていました。つまり本件は、「3週間のオンチェーン準備」ではなく、「6カ月の人的浸透+数週間の技術的 staging」が結合した複合作戦です。
攻撃の核心は「CarbonVote Token」と命名された完全に架空の暗号資産の製造です。
攻撃者はこの偽造トークンに数千ドル規模の初期流動性を提供し、自作自演のウォッシュトレードを繰り返すことで市場価格を人為的に吊り上げました。その結果、Driftの価格参照機能(オラクル)は致命的な誤認を起こし、この無価値なトークンを数億ドル規模の正当な担保資産としてシステム内に認識してしまいました。
ステップ2:Durable Nonceの悪用とガバナンスの完全掌握
偽造担保をシステムに認識させた後、攻撃者は最終防衛線である「セキュリティ評議会」の管理権限掌握へと移行しました。Drift側の事後報告が明言するとおり、プラットフォームのスマートコントラクト自体に技術的欠陥やシードフレーズの漏洩は存在しませんでした。
代わりに攻撃者が悪用したのが、「Durable Nonce(耐久性ノンス)」と呼ばれるSolanaの正当な機能です。
本来トランザクションの遅延実行を可能にするこの機能を使い、高度なソーシャルエンジニアリングでマルチシグネチャ権限を持つメンバーを欺き、不正な権限委譲の承認を隠蔽状態に置きました。
4月1日の作戦実行5時間前、攻撃者は管理者キーの譲渡を提案しました。新たな署名者の1人がわずか1秒以内に共同署名を実行し、Driftが設定していた承認プロセス(5人のキーホルダーのうち2人で可決)が突破されました。さらに「ゼロ・タイムロック(遅延なし)」が設定されていたため、権限移行が瞬時に完了し、管理権限が攻撃者の手に渡りました。
ステップ3:86万回のトランザクションによる資金流出とロンダリング
管理権限を完全掌握した攻撃者は出金制限を解除し、ボールトに預けられていた全資産を一斉に引き出しました。この後の資金洗浄プロセスは高度に自動化されたボットネットワークによって実行されました。調査機関PIF Research Labsの分析によれば、ボットは毎分590回、34時間で合計86万回以上のトランザクションを複数のブロックチェーンと取引所を跨いで実行し、資金の流れを極端に複雑化しました。
窃取されたトークンはSolanaベースのDEXアグリゲーターでUSDCにスワップされ、数時間以内にEthereumへブリッジされた後、最終的にETHへ変換されています。この一連のオンチェーン行動パターンは、過去に北朝鮮が関与した作戦と完全に一致しており、Ellipticが同国を背後関係として特定する強力な根拠となっています。
北朝鮮による暗号資産窃取の世界的規模と構造的進化
天文学的規模へと膨張する被害総額
Drift Protocol事件は北朝鮮のサイバー金融犯罪キャンペーンの一端に過ぎません。国連多国間制裁監視チーム(MSMT)およびChainalysisのデータによれば、過去累計の窃取総額は67億5000万ドル(約1兆125億円)を超過しています。
| 年 | 推定窃取総額 | 主な動向 |
|---|---|---|
| 2024年 | 11億9155万ドル(約1,787億円) | 北朝鮮の全外貨収入の約3分の1。DMM Bitcoin、WazirX、PlayDappなどが標的に |
| 2025年 | 20億2000万ドル(約3,030億円)(前年比51%増) | 2月のBybit攻撃(14億6000万〜15億ドル)が大部分を占める。攻撃件数は74%減少しつつも被害額が急増 |
| 2026年(第1四半期) | 20億ドル(約3,000億円)以上 | Drift Protocol(427億円)に加えLND.fi、WOO X、Seedifyなどへの攻撃が相次ぎ、前年年間総額に匹敵するペースで拡大 |
出典:Chainalysis、国連MSMT報告書、TRM Labs
特筆すべきは、2025年の攻撃件数が74%も減少している中で被害額が前年比51%増を達成している点です。
北朝鮮のサイバー部隊は少額標的を多数攻撃する手法から、大規模な流動性プールを持つ取引所・プロトコルを少数精鋭で狙い撃ちする「少数高バリュー(High-Value)」戦略へと完全移行しています。
マネーロンダリングの高度化とWMD調達への直接リンク
窃取された暗号資産は国際制裁網を回避して政権中枢へ還流するため、極めて洗練された資金洗浄プロセスを経ます。
大規模窃取後に攻撃者は約45日間のロンダリングサイクルを設け、DeFiプロトコル・クロスチェーンブリッジ・ミキシングサービス・KYC要件のない取引所を複雑に経由させます。
他のサイバー犯罪者が100万〜1000万ドル単位で動かすのに対し、北朝鮮のハッカーは約50万ドル(約7500万円)の小規模チャンクに分割してロンダリングを行うという独特のパターンを持ちます。
最終段階では、米国財務省およびMSMTが特定した中国を拠点とするOTCトレーダー(Ye Dinrong、Tan Yongzhi、Wang Yicong、Zhang Yujunなど)や、カンボジアの「Huione(Huione Guarantee)」のようなコンプライアンス管理が意図的に無効化されたサービスを通じて法定通貨へ変換されます。
さらに深刻なのが、窃取資産の軍事物資調達への直接利用です。北朝鮮は暗号資産をステーブルコインの形態のまま、弾道ミサイル・弾薬製造のための原材料(銅など)の調達決済やロシアへの軍事装備品の支払いに直接使用していることが判明しています。国際銀行間通信網(SWIFT)の監視を完全にバイパスする「軍事物資調達のための独自の決済レール」として暗号資産が兵器化されているのです。
日本市場への直接攻撃:DMM Bitcoin事件とIT労働者偽装スキーム
DMM Bitcoin事件:570億円流出と取引所の消滅
北朝鮮による日本への直接攻撃の破壊力を示したのが、2024年5月31日に発生したDMM Bitcoinへのハッキング事件です。約3億8000万ドル(約570億円)相当のビットコインが不正流出し、FBIおよび日本の警察庁(NPA)の共同分析によりLazarus GroupのサブグループであるTraderTraitorによる犯行と断定されています。
顧客資産の大半を失ったDMM Bitcoinは事業継続が困難となり、最終的に資産の清算と事業閉鎖という最悪の結末を迎えました。この事件は単一企業の経営破綻にとどまらず、日本の暗号資産業界全体への投資家信頼を著しく損ない、金融庁によるサイバーセキュリティ要件の抜本的見直しを迫る契機となりました。
関連:Ginco,北朝鮮によるDMMビットコイン482億円流出事案で初の声明を発表
IT労働者偽装スキーム:日本企業への「静かなる潜入」
派手な直接攻撃の裏で、より巧妙かつ長期的な脅威として急増しているのが北朝鮮のIT労働者による日本企業への不正就労スキームです。
国連安保理の制裁を回避するため、北朝鮮は数千人規模の高度に訓練されたIT技術者を中国・ロシア・東南アジア(ラオス・ベトナムなど)に配置し、フリーランスのエンジニアとして欧米・日本企業に潜入させています。
セキュリティ調査機関Nisosの2025年1月報告書は、日本で実際に発生した事例を記録しています。北朝鮮のIT労働者が日本のコンサルティング会社「Tenpct Inc.」において「Weitao Wang」という偽名で、またソフトウェア開発企業「LinkX Inc.」において「Osamu Odaka」という日本人の偽名を使用して雇用関係を結んでいたことが特定されました。
関連:北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
これらの工作員は盗用した身分証明書、AIで生成された架空のプロフィール写真、面接時のボイスチェンジャーによる声色偽装など高度な身元秘匿技術を駆使しています。背後には「TAG-121」として追跡される活動クラスターが存在し、実在する企業ウェブサイトを丸ごとコピーした中国のフロント企業ネットワークが身分を裏書きしています。
このスキームが企業にもたらすリスクは給与の外貨送金(2024年だけで推定約8億ドル(約1200億円)の収益)にとどまりません。
| 潜入工作による企業への直接リスク | 影響と波及効果 |
|---|---|
| 知的財産と機密データの窃取 | 開発中のソースコード・顧客データ・インフラ構成情報を内部から持ち出し、将来の攻撃のための偵察情報として利用 |
| マルウェアの組み込み(サプライチェーン攻撃) | 業務プロセスに意図的なバックドアを仕込む。2026年3月の「axios」ライブラリへの攻撃(数千万回ダウンロードの基盤ソフトウェアへのマルウェア混入)が典型例 |
| インサイダー主導のハッキング支援 | 外部攻撃部隊(TraderTraitorなど)と結託し、取引所の資産管理システムや承認フローに内部から介入して数百億円規模の攻撃を手引き |
「Operation Dream Job」と北朝鮮のマルウェア・エコシステム
求人偽装による標的型ソーシャルエンジニアリング
内部潜入スキームと並行して、北朝鮮は外部からの標的型攻撃においても高度なソーシャルエンジニアリングを展開しています。「Operation Dream Job(夢の仕事作戦)」では、ハッカーが実在する大手企業の人事担当者を装いLinkedInなどを通じて暗号資産企業・防衛・航空宇宙産業のエンジニアに接触します。
数週間から数ヶ月かけて信頼関係を構築した後、「オンライン面接」や「コーディングテスト」と称して不正なPDFファイルやGitHubリポジトリのリンクを送りつけます。
北朝鮮が展開するマルウェア群
| マルウェア / ツール名 | 機能と作戦における役割 |
|---|---|
| BeaverTail / InvisibleFerret | 「PurpleBravo(旧TAG-120)」が使用。暗号資産マーケットメーカーやカジノを標的とする認証情報窃取インフォスティーラー兼クロスプラットフォームPythonバックドア |
| OtterCookie | 侵害されたシステム上に永続的なアクセス権(パーシステンス)を確立するためのツール |
| DRATzarus | Operation Dream Jobでオープンソースツール(ResponderやWake-On-Lanなど)を標的ホストに展開するペイロード配信ツール |
| Torisma | 侵害システム上で新たなドライブ接続やリモートデスクトップ接続の発生をアクティブに監視する偵察ツール |
| WAVESHAPER / SparkCat | 偽のZoomミーティングへの誘導やエンタープライズ・メッセンジャーアプリに偽装してモバイル・デスクトップ環境に展開される高度なバックドア |
出典:Microsoft Security Blog、TRM Labs、Nisos
これらの攻撃はCVEを初期侵入ベクトルとして悪用することも多く、React2Shell脆弱性を突いたクレデンシャル・ハーベスティングや、Log4j脆弱性を利用したウェブシェル展開後にMimikatzで特権昇格を行うといった高度な戦術が日常的に展開されています。
国際包囲網の形成:日米韓・国連・OFACによる多国間対抗戦略
国連多国間制裁監視チーム(MSMT)の創設と機能
ロシアの拒否権行使により国連安保理の1718委員会(北朝鮮制裁委員会)専門家パネルのマンデートが終了したことを受け、国際社会は2024年に代替手段として「多国間制裁監視チーム(MSMT)」を創設しました。日本・米国・韓国・英国・オーストラリア・フランス・ドイツなど11の参加国と9つの民間企業が協働するこの枠組みは、北朝鮮が世界40カ国以上の防衛企業や重要インフラを標的としている実態と、IT労働者による制裁回避の手口を白日の下に曝した画期的な国際協力体制です。
米国OFACによる制裁強化
2026年3月12日、米国財務省のOFACは北朝鮮のIT労働者詐欺スキームを促進した6名の個人と2つの事業体を新たに制裁対象に指定しました。このネットワークはベトナム・ラオス・スペインなどを跨いで活動し、2023年半ばから2025年半ばにかけて約250万ドル(約3億7500万円)の不正収益を暗号資産に変換する支援を行っていました。米司法省(DOJ)もUranium Financeのハッキング関与者の起訴や、暗号資産を利用した資金洗浄に関与する中国企業の摘発など、制裁の実効性強化に取り組んでいます。
日米韓三カ国の連携と共同勧告
2025年8月、東京で開催された日米韓三カ国共同フォーラムで北朝鮮のIT労働者に関する共同勧告が更新され、民間企業に対して知的財産・資金窃取・風評被害・法的制裁のリスクに対する強い警告が発せられました。英国のNCSCも小売チェーンへのサイバー攻撃を「ウェイクアップ・コール(警鐘)」と位置づけ、北朝鮮の脅威に対する継続的な注意喚起を発出しています。
日本のパラダイムシフト:「能動的サイバー防御(ACD)法」と国家サイバーセキュリティ局(NCO)
ACD法の成立と歴史的意義
北朝鮮からの絶え間ないサイバー攻撃を受け、日本の国家サイバーセキュリティ政策は歴史的な転換点を迎えました。2025年5月16日、日本の国会において能動的サイバー防御(ACD)関連法案が可決・成立し、2027年までの完全施行に向けた段階的導入が開始されています。
従来の日本のサイバー防衛は、憲法第21条が保障する「通信の秘密」と不正アクセス禁止法の厳格な制約により、攻撃の兆候を事前に監視したり国外の攻撃元インフラに対抗措置を講じたりすることが極めて困難でした。
ACD法はこれらの制約を乗り越え、国家が法的根拠を持って事前介入することを可能にする画期的な立法です。また2025年7月には既存のNISCが発展的に改組され、各省庁間の総合調整を行う「司令塔(Control Tower)」として「国家サイバーセキュリティ局(NCO)」が創設されました。
ACD法の4つの柱
| 柱 | 実施内容 |
|---|---|
| 官民連携の強化・インシデント報告の義務化 | 2026年11月までにサイバー協議会を再編。政府が収集した脅威インテリジェンス(IoC等)を民間企業にタイムリーに提供。電力・通信・金融・水道などの重要インフラ事業者に対しサイバーインシデントのNCOへの報告を法的に義務付け |
| 通信情報の活用と能動的監視 | 政府が通信事業者(ISP)と協定を結び、明確な法的根拠に基づき海外が関与する疑わしい通信データを平時から監視・分析して攻撃の兆候を未然に検知 |
| アクセスと無害化(Neutralization)措置 | 深刻なサイバー攻撃が切迫・発生していると判断された場合、NCOが攻撃者のインフラへリモートアクセスしマルウェアの動作を停止させる「無害化」措置を実行する権限を付与 |
| セキュリティ・クリアランス制度の整備 | 2025年5月施行の「経済安全保障情報保護法」に基づき、重要インフラ・重要物資サプライチェーンに関わる民間企業従業員に身元調査を伴うクリアランス制度を導入。北朝鮮の潜入工作員などを機密領域から排除 |
並行する規制強化の動向
ACD法導入と並行して、2025年12月には中小企業(SMB)向けサイバーセキュリティ総合ガイドラインの改正案が公表され、フィッシング耐性のある多要素認証(MFA)の導入が強く推奨されています。また経済産業省(METI)はIoT製品のセキュリティ適合性を評価する「JC-STAR」制度(2025年3月にSTAR-1レベル開始)を推進し、政府調達での同ラベル取得義務付けを打ち出しています。
日本企業が今すぐ取るべき実践的対策
採用プロセスにおけるアイデンティティの厳格な検証
リモートワーカーの採用プロセスを根本から見直すことが急務です。専門の調査機関を通じたバックグラウンドチェックを実施し、SNSアカウントの不自然さ、AI生成画像の痕跡、給与振込先として要求される特殊な銀行口座や仮想通貨ウォレットを徹底的に検証してください。「TAG-121」のようなフロント企業ネットワークを通じた身元裏書の偽造が高度化しているため、書類のみへの依存は危険です。
ゼロトラスト・アーキテクチャと厳格なエンドポイント管理
「社内ネットワークは安全である」という境界防御の前提を廃棄し、ゼロトラストの原則を導入してください。貸与するIT機器の配送先が不審な転送サービス拠点でないかを確認し、端末には必ず高度なEDR(Endpoint Detection and Response)を実装します。業務に不要なRMM(リモート管理ツール)や未承認のVPNをプロキシレベルでブロックし、業務時間外や異常な地理的IPからのアクセスを常時監視する体制を構築してください。
ソフトウェア・サプライチェーンのリスク管理(TPRM)
Drift Protocolのガバナンス乗っ取りや、axiosライブラリへのマルウェア混入事件が示すとおり、サードパーティのソフトウェアやインフラが侵入口となるケースが急増しています。導入システムのSBOM(ソフトウェア部品表)を把握し、依存関係にある外部ライブラリのセキュリティ監査を定期的に実施するTPRMを経営課題として位置づけてください。マルチシグネチャ権限の承認プロセスには適切なタイムロックを設定し、ゼロ・タイムロックの運用を避けることが重要です。
スレットハンティングとインテリジェンス共有エコシステムへの参加
受動的な監視だけでなく、自社ネットワーク内にすでに脅威が潜伏していないかを積極的に探索する「スレットハンティング(Threat Hunting)」を定期的に実施してください。NCOが主導するサイバー協議会やサイバー脅威アライアンス(CTA)などの情報共有フレームワークに参加し、最新のIoC(侵害の痕跡)を防御システムに即座に反映させるエコシステムを形成することが不可欠です。
FAQ:よくある質問
Drift Protocolへの攻撃で何が起きたのですか?
2026年4月1日、北朝鮮の国家支援ハッカーグループがSolanaブロックチェーン上のDeFi取引所「Drift Protocol」から約2億8500万ドル(約427億円)を約12分で窃取しました。偽造暗号資産「CarbonVote Token」をオラクルに担保として認識させつつ、Durable Nonce機能を悪用したマルチシグネチャ権限の乗っ取りを組み合わせた社会技術的エクスプロイトです。スマートコントラクト自体の技術的欠陥は存在しませんでした。
「Durable Nonce」とはどのような機能で、なぜ悪用されたのですか?
SolanaブロックチェーンのトランザクションをNonce切れなしに遅延実行するための正当な機能です。攻撃者はこの機能を使い、マルチシグネチャの不正な権限委譲の承認を隠蔽状態に置いてメンバーを欺きました。さらにゼロ・タイムロック(遅延なし)が設定されていたため、権限移行が瞬時に完了し管理権限が奪われました。
北朝鮮のIT労働者偽装スキームとはどのようなものですか?
数千人規模のIT技術者を中国・ロシア・東南アジアに配置し、フリーランスのエンジニアとして日本・欧米企業に潜入させるスキームです。日本では「Weitao Wang」「Osamu Odaka」といった偽名で実際に雇用されたケースが確認されています。盗用した身分証明書・AI生成の顔写真・ボイスチェンジャーによる声色偽装を駆使します。目的は給与による外貨送金だけでなく、企業内部への正規アクセス権取得によるサプライチェーン攻撃や知的財産窃取です。
日本の「能動的サイバー防御(ACD)法」とは何ですか?
2025年5月16日に成立した法律で、従来の「専守防衛」的アプローチから転換し、攻撃者のインフラへのリモートアクセスによる「無害化」措置、通信事業者と連携した平時からの監視・分析、重要インフラへのインシデント報告義務化などを可能にします。2025年7月にNISCが改組され「国家サイバーセキュリティ局(NCO)」が創設されました。2027年までの完全施行を目指しています。
出典一覧
一次ソース:政府・国際機関
- Sanctions to Disrupt DPRK IT Worker Schemes Defrauding U.S. Businesses – 米国務省
- OFAC Targets North Korean IT Workers Crypto March 2026 – Chainalysis(OFAC制裁発表解説)
- 北朝鮮サイバー脅威に関する外務省資料 – 外務省
- Japan Cybersecurity Strategy 2025 Abstract – 国家サイバーセキュリティ局(NCO)
- Japan, ROK, U.S. Warn Against North Korean Cyberattacks – IP Defense Forum(日米韓共同勧告)
ブロックチェーン分析・サイバーセキュリティ研究機関
- North Korean Hackers Attack Drift Protocol in $285 Million Heist – TRM Labs
- Drift Protocol Exploited for $286 Million in Suspected DPRK-Linked Attack – Elliptic
- DPRK IT Threat to Japan – Nisos(日本企業への偽装IT労働者報告書)
- Jasper Sleet: North Korean Remote IT Workers Evolving Tactics – Microsoft Security Blog
セキュリティメディア・報道








