北朝鮮のハッカー集団Lazarusが2026年3月にBitrefillを侵害し、18,500件の購入記録と暗号資産を奪いました。2025年だけで2,020億円を盗んだ彼らの最新手口と、個人・企業が今すぐできる防衛策を解説します。
数字が示す「国家犯罪」の規模
2026年3月1日、暗号資産と商品券のプラットフォームBitrefillがサイバー攻撃を受け、インフラの一部とウォレットが侵害されたと発表した。流出したのは約18,500件の購入記録と複数の暗号資産ウォレットの残高だ。
Bitrefill自身は侵害の帰属を明言しなかったが、暗号資産の送金先を分析したブロックチェーン追跡企業と複数のセキュリティ研究者が、北朝鮮に紐づくハッカー集団 Lazarusグループ によるものと断定した。
Lazarusはすでに世界規模の「暗号資産泥棒国家」として認識されているが、その活動規模は想像をはるかに超えている。
| 年 | 盗難総額 | 主な事件 |
|---|---|---|
| 2023年 | 約1,100億円 | 複数のDeFiプロトコル |
| 2024年 | 約1,340億円 | 複数のDeFiプロトコル |
| 2025年 | 約2,020億円 | Bybit(約1,500億円)他 |
| 累計(推計) | 約6,750億円 | ─ |
この資金は北朝鮮の核・ミサイル開発プログラムの資金源になっているとされており、単なるサイバー犯罪を超えた安全保障上の問題でもある。
Lazarusの「教科書通り」の手口
Bitrefillへの侵害がどのように行われたか、同社の発表から浮かぶ手口は実に「Lazarusらしい」ものだった。
Step 1: 社員のラップトップを踏み台にする
攻撃の起点は従業員1名のラップトップへの侵害だった。Lazarusはここ数年、標的企業の社員に「夢の転職オファー」を装ったスピアフィッシングメールを送る 「オペレーション・ドリームジョブ」 という手法を多用している。
LinkedInなどで技術職社員に接触し、架空の採用担当者を演じながら信頼を得る。そして「採用テスト」や「スキルチェック課題」として悪意あるコードを実行させる。対象者がコードを実行した瞬間、ラップトップはLazarusに掌握される。
Step 2: レガシー認証情報を探す
侵害したラップトップから、攻撃者は過去に使われた認証情報(ユーザー名・パスワード)を探す。多くの企業では開発環境の整備が後回しになることで、本番環境のアクセスキーがSlackのログや設定ファイルに残っていることがある。
Bitrefillのケースでは、このレガシー認証情報が本番システムへの入口になった。
Step 3: 暗号資産の即時送金と洗浄
本番環境へのアクセスを得た攻撃者は、ホットウォレット(インターネット接続された暗号資産ウォレット)の残高を即座に送金した。その後、ブロックチェーンのミキサーサービスを経由して資金を混合し、追跡を困難にする「洗浄」を行う。
なぜ北朝鮮は暗号資産を狙うのか
従来の銀行強盗やSWIFT不正送金と異なり、暗号資産には独特の「盗みやすさ」がある。
国際制裁を回避できる:北朝鮮は国際金融システムから切り離されているが、暗号資産は国境を問わず送金できる。
追跡が困難:ミキサーやプライバシーコインを使えば資金の流れを隠しやすい。
24時間365日稼働:銀行は休業日に取引を止められるが、暗号資産は止められない。
Chainalysis社の分析によれば、2025年に盗まれた全世界の暗号資産34億ドルのうち、北朝鮮関連ハッカーが 59% を占めた。まさに「国家が運営する組織犯罪」の様相だ。
「偽ITフリーランサー」という新しい脅威
Lazarusの活動でここ数年注目されているのが 「偽ITワーカー浸透」作戦だ。
北朝鮮のIT技術者が偽の身元を使い、欧米や日本の企業にリモートワーカーとして採用される。合法的な業務をこなしながら、内部から機密情報や認証情報を窃取する。FBIは2024年以降、この手口に関する複数の警告を発しており、採用した企業が気づいた時には内部ネットワークが丸ごと把握されていたケースも報告されている。
Bybitの1,500億円盗難(2025年2月)でも、取引所に侵入した経路として「内部の認証情報漏洩」の可能性が調査されている。もはやLazarusの脅威は「外からの攻撃」だけではない。
個人でできる防衛策
暗号資産を保有している個人が取るべき対策は、大企業のセキュリティとは少し異なる。
1. 大部分をコールドウォレットで保管する
インターネットに接続された取引所ウォレット(ホットウォレット)に大量の暗号資産を置かない。日常的な取引に必要な最低限の金額だけをホットに置き、残りはハードウェアウォレット(コールドウォレット)に保管する。
2. 「夢の転職オファー」に疑いを持つ
LinkedInやXで突然届く「高報酬のブロックチェーン開発者求人」は要警戒だ。採用プロセスでコードの実行や不審なファイルのダウンロードを求められたら、即座に疑うべきだ。
3. 取引所のMFAを必ずFIDO2/パスキーに設定する
SMS認証や認証アプリ(TOTP)でなく、物理セキュリティキー(YubiKeyなど)またはパスキーを使う。これが現時点で最も堅牢なMFA方式だ。
4. 旧いAPIキーや認証情報を定期的に削除する
開発者や個人投資家がbotを組んでいる場合、古いAPIキーは使わなくなった時点で即座に無効化・削除する。Bitrefillの侵害も、社内に残っていたレガシー認証情報が入口になった。
まとめ
北朝鮮Lazarusによる暗号資産盗難は、もはや「国際的な脅威」というだけでなく、暗号資産を保有するすべての個人・企業が直面しうる現実のリスクだ。Bitrefillのケースが示したのは、どれほど堅固なシステムでも「人」を踏み台にされれば突破されるということだ。技術的な対策と並行して、ソーシャルエンジニアリングへの意識を高めることが不可欠な時代になっている。