2026年に入り、暗号資産(仮想通貨)市場は未曾有の脅威に直面しています。
北朝鮮に関連するハッカー集団による攻撃は、その質・量ともに従来の境界線を遥かに超え、エコシステム全体の存亡を揺るがす事態へと発展しました。
TRM Labsの最新報告によると、2026年4月時点における仮想通貨盗難被害の実効シェアの76%を北朝鮮系グループが独占しており、その累計被害額はついに60億ドル(約9000億円超)の大台を突破しました。
特筆すべきは、件数ベースでは全体のわずか3%に過ぎない大規模な2件の攻撃が、被害総額の大部分を占めているという点です。
これは、彼らの戦略が「手当たり次第の攻撃」から、特定のプロトコルを数カ月かけて攻略する「精密狙撃型」へと完全にシフトしたことを示唆しています。
本稿では、2026年に発生した象徴的な2大インシデントを深掘りし、北朝鮮ハッカーの進化する手口と、それに対抗する業界の動向を詳述します。
圧倒的な独占状態:北朝鮮による仮想通貨盗難の推移
北朝鮮による仮想通貨の窃取は、今や一国の国家戦略として組み込まれており、その占有率は年を追うごとに加速度的に上昇しています。
以下の表は、過去数年間におけるハッキング被害総額に対する北朝鮮のシェア推移をまとめたものです。
| 年 | 北朝鮮による被害シェア | 特記事項 |
|---|---|---|
| 2020-2021年 | 10%未満 | 初期的なDeFi攻撃の試行 |
| 2022年 | 22% | Ronin Bridge事件などの大規模化 |
| 2023年 | 37% | ソーシャルエンジニアリングの巧妙化 |
| 2024年 | 39% | 機関投資家向けカストディの標的化 |
| 2025年 | 64% | 複数チェーンへの同時攻撃の増加 |
| 2026年(4月現在) | 76% | 過去最高値を更新、60億ドル累計突破 |
2026年の数値が突出している理由は、4月までに発生した「Drift Protocol」と「Kelp DAO」への2件の攻撃だけで、合計5億7,700万ドル(約870億円)が盗み出されたことにあります。
この2件だけで、2026年Q1からQ2序盤までの全被害額の4分の3以上を占めるという異常な偏在が発生しています。
Drift Protocol事件に見る「対面工作」という新たな脅威
2026年4月1日に発生したSolana基盤のDeFiプロトコル「Drift Protocol」からの2億8,500万ドル流出事件は、技術的な脆弱性以上に、その準備プロセスの異常性において業界に衝撃を与えました。
数カ月にわたる人的潜入と信頼構築
TRM Labsの分析によれば、この攻撃の準備はオンチェーン上の動きが始まる数カ月前から、現実世界(オフライン)で進行していました。
驚くべきことに、北朝鮮の代理人とされる人物が偽の経歴を詐称してDrift Protocolの従業員や関係者と接触し、複数回にわたって対面ミーティングを行っていたことが判明しました。
これは従来のフィッシングメールやマルウェア配布といった非対面型の攻撃ではなく、スパイ映画さながらの人的工作(ヒューマン・インテリジェンス)が仮想通貨業界に対して行われたことを意味します。
この工作を通じて、攻撃者は内部の運用フローやコードの脆弱性を深いレベルで把握したと推測されています。
Solanaの「durable nonce」を悪用した精密実行
技術的な側面では、Solanaネットワークの機能の一つであるdurable nonceが悪用されました。
通常、トランザクションのブロックハッシュは短期間で失効しますが、この機能を利用すると、事前に署名されたトランザクションを長時間保持し、任意のタイミングで実行することが可能になります。
- 3月11日: 攻撃者がオンチェーンでの準備(nonceの作成)を開始。
- 4月1日: わずか12分間のうちに、事前に用意していた31件の引き出し命令を連続実行。
- 結果: USDCやJLPなど計2億8,500万ドル相当の資産が流出。
盗まれた資金は、ブリッジを通じて即座にイーサリアムネットワークへ移動され、ミキシングサービスを警戒する監視の目をかいくぐるため、現在は特定のウォレットで凍結状態(動かされていない状態)にあります。
Kelp DAO事件とAaveへの連鎖的リスク
Drift Protocol事件からわずか2週間後の4月18日、リキッド・リステーキング・プロトコルである「Kelp DAO」が攻撃を受け、2億9,200万ドル相当の資産(約116,500 rsETH)が消失しました。
この事件は、DeFiのインフラ構造を逆手に取った極めて巧妙な手口でした。
RPCノードの侵害とデータ汚染
攻撃者は、Kelp DAOが運用していた内部のRPCノード2基を侵害しました。
同時に、外部の正常なノードに対してDoS(サービス拒否)攻撃を仕掛け、プロトコルの検証者が「侵害されたノードのデータ」のみを信じざるを得ない状況を作り出しました。
この汚染されたデータにより、実際には焼却(バーン)されていない資産が「ソースチェーン上でバーン済みである」という虚偽の報告がイーサリアム側のブリッジコントラクトに送られました。
これにより、本来ロックされているはずの資産が不正に引き出されることとなったのです。
市場の混乱と「1兆円規模」のTVL流出
この事件の影響はKelp DAOだけに留まりませんでした。
Kelpの資産を担保として受け入れていた最大手レンディングプロトコルのAave V3およびV4において、約1億9,600万ドルの不良債権が瞬時に発生しました。
このニュースが駆け巡ると、市場にはパニックが広がり、DeFi市場全体から週末の48時間だけで約1兆円規模のTVL(預かり資産)が流出するという、典型的な「バンクラン(取り付け騒ぎ)」が発生しました。
単一のプロトコルの脆弱性が、エコシステム全体の流動性危機へと直結するリスクを改めて露呈した形です。
業界の反撃:DeFi UnitedとArbitrumの断固たる措置
北朝鮮の圧倒的な攻撃力に対し、分散型の理念を守りつつも「中央集権的な緊急対応」に踏み切る動きが加速しています。
3億ドル規模の救済基金「DeFi United」
Aaveの創業者スタニ・クレチョフ氏を中心に結成された「DeFi United」は、Kelp DAOの損失をカバーするための救済プログラムを立ち上げました。
業界内からの寄付やガバナンス合意に基づき、わずか短期間で132,650 ETH(約3億300万ドル相当)を確保しました。
これにより、Kelp DAOの利用者が直接的な損失を被る最悪の事態は回避される見通しです。
Arbitrumセキュリティ評議会による「緊急凍結」
また、L2ソリューションのArbitrumにおいては、セキュリティ評議会(Security Council)がその歴史上で初めて緊急権限を行使し、ハッカーに関連する約7,200万ドルの資産をオンチェーンで凍結しました。
評議会メンバーのグリフ・グリーン氏は、「分散化への懸念はあるが、DeFiの存続そのものが脅かされている状況では、行動しないという選択肢はなかった」と述べ、危急の際にはガバナンスを介さない迅速な介入が必要であることを強調しました。
国家レベルの背景と法的包囲網
北朝鮮によるこれらの活動は、単なる犯罪集団の暴走ではなく、国際制裁を回避するための外貨獲得手段として洗練され続けています。
米国当局もこれに対し、法的・外交的な圧力を強めています。
その象徴的な事例が、元イーサリアム財団幹部のバージル・グリフィス氏に対する判決です。
同氏は2019年に平壌で開催された仮想通貨カンファレンスにおいて、制裁回避のためのブロックチェーン技術利用を教示したとして、米連邦裁判所から禁錮63カ月(5年3カ月)および10万ドルの罰金を言い渡されました。
北朝鮮側が、単なる技術的な興味ではなく、マネーロンダリングへの応用を執拗に求めていた事実が公判で明らかにされています。
まとめ
2026年、北朝鮮ハッカーによる仮想通貨窃取は、累計60億ドルという天文学的な数字に達しました。
特に近年の傾向として、インシデントの数は減りつつある一方で、1件あたりの被害額が劇的に巨大化している点が最大の特徴です。
Drift Protocol事件で露呈した「人的工作」や、Kelp DAO事件で見られた「インフラノードの乗っ取り」は、従来のスマートコントラクト監査だけでは防ぎきれない新たなフェーズの脅威です。
業界は「DeFi United」のような協調体制や、Arbitrumに見られる緊急介入メカニズムの構築を急いでいますが、これは同時に「分散化と安全性のトレードオフ」という根本的な問いを私たちに突きつけています。
今後、クロスチェーンブリッジのセキュリティ標準化や、人的アクセス権限の厳格な管理、そして国家レベルのサイバー攻撃に対する国際的な枠組みの構築が、仮想通貨市場が真の信頼を勝ち得るための必須条件となるでしょう。