業界横断で北朝鮮系ハッカーへの防御網を拡大
リップル(Ripple)社は、北朝鮮関連のサイバー攻撃に関する社内脅威情報を、仮想通貨業界向けの非営利セキュリティ団体Crypto ISACと共有し始めた。
The strongest security posture in crypto is a shared one.
A threat actor who fails a background check at one company will apply to three more that same week. Without shared intelligence, every company starts from zero.
Ripple is now contributing exclusive DPRK threat… https://t.co/ZiXD25iOBx
— Ripple (@Ripple) May 4, 2026
仮想通貨における最も強力なセキュリティ体制は、共有されたものです。ある企業で身元調査に失敗した脅威アクターは、同じ週にさらに3社に応募します。情報共有がなければ、どの企業も…
共有対象には、不正ドメイン、ウォレットアドレス、IOC(侵害の兆候)に加え、仮想通貨企業への潜入を試みる北朝鮮関係者とみられる人物の情報も含まれる。
このデータは、Crypto ISACが新たに構築したAPIを通じて加盟企業に提供される。リップル社やコインベース(Coinbase)などの創設メンバーは、同ツールをセキュリティ運用に統合しており、攻撃発生後の対応にとどまらず、リアルタイムで脅威に対処する体制づくりを進めている。
DriftとKelpDAO攻撃が示した脅威の変化
今回の取り組みの背景には、2026年に発生した大規模なDeFi(分散型金融)ハッキング事件がある。
特にDrift ProtocolとKelpDAOへの攻撃は、北朝鮮系グループによる脅威の規模と手口の変化を示す事例となった。Driftへの攻撃では、攻撃者が約6カ月にわたり貢献者との信頼関係を構築した後、デバイスを侵害。事前署名済みトランザクションを悪用し、約2億8,500万ドル(約445億円)相当の資産を流出させた。
KelpDAOでは、内部RPCノードへの侵入やDDoS攻撃、偽データ送信など複数の手法を組み合わせた攻撃が行われ、約2億9,200万ドル(約456億円)規模の被害につながった。TRM Labsによると、この2件による被害総額は約5億7,700万ドル(約901億円)に達したとされる。また、北朝鮮系行為者による仮想通貨ハッキング被害の割合は、2020年と2021年には10%未満だったが、2025年には64%まで上昇したという。
人を狙う攻撃に備える共有インフラへ
Crypto ISACは、現在の攻撃が従来のスマートコントラクト脆弱性の悪用から、人間を標的にしたソーシャルエンジニアリング型へ移行していると指摘している。
Crypto ISACの成長担当ディレクターであるクリスティーナ・スプリング(Christina Spring)氏は、北朝鮮系攻撃者が仮想通貨企業や金融機関の内部から活動するケースが増えていると説明した。
リップル社も、ある企業の身元調査で不合格となった攻撃者が同じ週に別の複数企業へ応募する可能性を挙げ、情報共有の必要性を強調している。共有される脅威データには、メールアドレス、LinkedInアカウント、ドメイン、オンチェーンウォレット、マルウェア関連インフラなどが含まれ、単なるIOC一覧ではなく、攻撃者の行動パターンを含む文脈情報として活用される。
一方、北朝鮮側は仮想通貨窃盗への関与を否定している。国営メディアKCNAによると、北朝鮮外務省報道官は関連疑惑について「ばかげた中傷」だと主張している。
