北朝鮮関連のハッカー集団による暗号資産(仮想通貨)窃盗の手口が、ますます巧妙化し、分散型金融(DeFi)エコシステムに深刻な脅威を与えています。かつては個別のハッキング事件として捉えられていたものが、現在では制裁下にある国家の資金調達を目的とした、持続的なキャンペーンへと発展していることが明らかになっています。
本記事では、2026年4月に発生したDriftおよびKelpに対する大規模エクスプロイト事件を詳細に分析し、北朝鮮の攻撃戦略がいかに進化しているか、そしてDeFiプロトコルが直面する構造的脆弱性とは何かを解説します。これらの事例は、DeFiの理論的な分散性と現実の実装との間に存在するギャップを浮き彫りにし、エコシステム全体にわたるシステミックリスクの増大を示唆しています。
北朝鮮の暗号資産窃盗手口の進化とDeFiへの継続的攻撃
近年、北朝鮮のハッカー集団、特に「Lazarus Group(ラザルス・グループ)」として知られる組織は、国際社会からの経済制裁を回避し、国家運営資金を調達するために暗号資産窃盗を主要な手段としてきました。その手口は、初期の取引所ハッキングから、ユーザーの認証情報を狙ったフィッシングやソーシャルエンジニアリングへと多様化し、そして現在、DeFiプロトコルの根幹に存在する構造的な脆弱性を悪用する段階へと進化しています。
2026年4月に入ってからのわずか2週間余りで、DeFiプラットフォームであるDrift ProtocolとKelpDAOに対する攻撃により、合計で5億ドル(約750億円)以上もの暗号資産が流出しました。これらの事件は、単なる偶発的なインシデントではなく、北朝鮮が戦略的にDeFiエコシステム全体を標的にしている証拠であるとセキュリティ専門家は指摘しています。ENS Labsの最高情報セキュリティ責任者兼法務顧問であるアレクサンダー・アーベリス氏は、「これは一連のインシデントではなく、繰り返されるリズムだ」と述べ、組織的な攻撃キャンペーンであることを強調しています。
DriftとKelpでの大規模被害:手口の変化
今回の連続攻撃は、北朝鮮関連のハッカーが用いる手口の変化を明確に示しています。まず、Drift Protocolに対する攻撃では、以前から用いられてきたソーシャルエンジニアリングの手法が確認されました。これは、標的となる人物や組織の従業員を騙し、悪意のあるソフトウェアをインストールさせたり、機密情報を引き出したりするものです。
一方で、KelpDAOに対する攻撃は、より高度な技術的側面を持っていました。KelpはLayerZeroのクロスチェーンインフラに統合されたリステーキングプロトコルであり、この攻撃は単なるバグの発見や盗まれた認証情報の利用を超え、分散型システムに組み込まれた基本的な設計思想そのものを悪用するものでした。この変化は、北朝鮮のハッカーが、システムの表面的な脆弱性だけでなく、DeFiプロトコルの根本的な仕組みを深く理解し、その設計上の「意図された」選択肢を攻撃ベクトルとして利用していることを示唆しています。
Kelpエクスプロイトの核心:暗号解読ではなく「署名された嘘」の悪用
Kelpに対するエクスプロイトの最も重要な点は、それが暗号技術そのものを破ったわけではないという事実です。セキュリティの専門家は、この攻撃が「暗号を解読する」ことではなく、「システムの構成と設計の弱点」を悪用したものであると分析しています。SVRNのCOOであるデイビッド・シュウェッド氏は、「この攻撃は暗号化を破ることではなかった。システムがいかに構築されていたかを悪用したものだ」と述べています。
具体的には、攻撃者はシステムのデータ入力部分を操作し、偽の情報に基づいてトランザクションが承認されるように仕向けました。アレクサンダー・アーベリス氏はこれを「署名された嘘は依然として嘘である」と表現しています。つまり、システムはメッセージの「送信元」が正当であること(署名)を確認したものの、そのメッセージに含まれる「内容」が真実であるか否かを確認できなかったのです。このような状況は、ブロックチェーン技術が本来持つ「信頼性の保証」が、運用上の特定の設計選択によって損なわれる可能性を示しています。
Kelpのケースでは、クロスチェーンメッセージを承認するための単一の検証者(verifier)に依存していたことが、主要な問題点の一つとして挙げられています。単一検証者は処理速度を向上させる一方で、その検証者が侵害された場合にシステム全体が脆弱になるというリスクを内包しています。
DeFiプロトコルが抱える構造的脆弱性
DeFiエコシステムは、中央集権的な仲介者を排除し、透明性と分散性を追求するという理念のもと発展してきました。しかし、Kelpのエクスプロイトは、「分散化」という理論と現実世界での「実装」との間に存在するギャップが、システミックなリスクを生み出し続けていることを浮き彫りにしています。多くのDeFiプロトコルは、利便性や効率性を優先するあまり、セキュリティモデルに特定の仮定や妥協点を含んでいることがあります。
例えば、クロスチェーンブリッジやリステーキングプロトコルは、異なるブロックチェーン間の資産移動や検証を可能にするため、複雑な仕組みを採用しています。これらの仕組みにおいて、情報の伝達や検証のプロセスが単一のエンティティや少数のエンティティに集中する設計になっている場合、そこが主要な攻撃ベクトルとなり得ます。攻撃者は、暗号技術の根本的な欠陥を探すのではなく、これらの設計上のボトルネックや、信頼の境界線におけるギャップを狙うことで、DeFiプロトコルの資金を合法的に(システムの定義する範囲内で)流出させることが可能になります。
DeFiエコシステムへの影響と今後の課題
北朝鮮によるDeFiへの持続的な攻撃は、エコシステム全体に深刻な影響を与えています。まず、大規模な資金流出はユーザーの信頼を大きく損ね、DeFi市場全体の成長を阻害する可能性があります。また、攻撃手法の進化は、既存のセキュリティ対策では不十分であることを示しており、DeFiプロジェクトはより高度で包括的なセキュリティ戦略を構築する必要に迫られています。
今後のDeFiプロトコルは、単にコードのバグを修正するだけでなく、システムの設計思想そのもの、特に「信頼の最小化」原則がどこまで徹底されているかを再評価する必要があります。複数の検証者モデル(マルチシグ、MPCなど)の導入、より堅牢なオラクルやデータフィードの検証機構、そして想定外の入力に対するシステム動作の厳格な監査が不可欠です。また、ソーシャルエンジニアリング対策としての組織全体のセキュリティ意識向上も継続的に求められます。
まとめ
北朝鮮のハッカー集団によるDeFiプロトコルへの攻撃は、その手口を巧妙化させ、もはや個別のインシデントとしてではなく、国家主導の組織的キャンペーンとして認識されるべき段階に達しています。Driftに対するソーシャルエンジニアリング、そしてKelpに対する構造的脆弱性の悪用という一連の攻撃は、DeFiの設計における「署名された嘘」の危険性や、単一検証者モデルのリスクを浮き彫りにしました。
DeFiエコシステムが持続的に成長するためには、プロトコル開発者は、理論上の分散性と現実の実装とのギャップを埋めるべく、より厳格なセキュリティモデルと多層的な検証メカニズムを導入する必要があります。ユーザーは、利用するDeFiプロトコルのセキュリティ体制と透明性を十分に理解し、自身のリスクを管理することがこれまで以上に重要となります。
