北朝鮮ハッカーと暗号資産：サイバー攻撃がそのままマネーロンダリングになる仕組み

国家ぐるみのハッカー部隊が、ひと晩で数億ドル分の暗号資産を盗み、そのまま世界中のブロックチェーン上で“洗浄”まで完結させる――。北朝鮮とされるハッカー集団による暗号資産窃取は、単なるサイバー攻撃ではなく、「マネーロンダリング機能付きの資金調達モデル」として成立しています。

本記事では、北朝鮮系ハッカーによる暗号資産窃取の構造を、「サイバー攻撃→盗難コイン→ミキサー・DeFi→OTC・現金化」の流れで分解しつつ、Roninブリッジ事件などの具体例、アメリカ財務省による制裁、日本を含む各国の規制動向までを整理します。犯罪の手口そのものではなく、「サイバー攻撃とマネーロンダリングが一体化したビジネスモデル」として理解することを目指します。

暗号資産とマネーロンダリングが重なる理由

暗号資産は、本来は国境をまたぐ送金や新しい金融サービスのために設計された技術ですが、同時にマネーロンダリングにとっても都合のよい特徴を持っています。

• 銀行口座を経由せず、24時間365日、国境を意識せずに送金できる
• ビットコインやイーサリアムなどは取引履歴が公開されている一方で、実際の「中の人」はウォレットアドレスしか見えない
• 数十万件の小口取引を自動で分割して送ることが技術的に容易
• 匿名性を高めるための「ミキサー」や、本人確認が緩い取引所・OTC（店頭）ブローカーが存在する

マネーロンダリングの古典的なイメージは「ダミー会社を何層も経由して送金する」でしたが、暗号資産の世界では、その多くがソフトウェアとスマートコントラクトに置き換わっています。特に北朝鮮のように、国連安全保障理事会の制裁でドル決済から排除されている国にとって、暗号資産は「公式金融システムの外側」に新たな通路を作る手段になっています。

北朝鮮ハッカーの「収益モデル」と国際制裁

国連安全保障理事会の専門家パネルや民間調査会社の報告では、北朝鮮が2010年代後半以降、核開発や弾道ミサイル計画の資金源としてサイバー攻撃を組織的に活用していることが繰り返し指摘されています。その中心にあるとされるのが「ラザルスグループ（Lazarus Group）」と呼ばれるハッカー集団です。

報告によれば、北朝鮮系とみられるサイバー攻撃による暗号資産の窃取額は、2017年以降の累計で数十億ドル規模に達したと推計されています。特に2021〜2022年には、DeFi（分散型金融）プロトコルやブロックチェーンブリッジへの攻撃が急増し、1年で10億ドルを超える暗号資産が盗まれた年もあったとされています。

こうした状況を受けて、アメリカ財務省外国資産管理局（OFAC）は、北朝鮮と関係があるとされた特定のウォレットアドレスや、資金洗浄に用いられたとされるミキサーサービス「Tornado Cash（トルネードキャッシュ）」などを制裁対象に指定しました。また、FATF（金融活動作業部会）は「トラベルルール」を通じて、暗号資産交換業者にも送金者・受取人情報の把握と共有を求めています。

しかし、これらの制裁・規制が追いつかないスピードで新しいプロトコルやサービスが登場しており、「イタチごっこ」を超えて、構造的な課題として残り続けています。

具体事例：Roninブリッジ攻撃とその後の洗浄

北朝鮮系ハッカーによる暗号資産窃取の代表例として、2022年に起きた「Roninブリッジ」のハッキングが挙げられます。Roninは、ブロックチェーンゲーム「Axie Infinity（アクシー・インフィニティ）」向けに構築されたサイドチェーンで、ユーザーはイーサリアムなどの暗号資産をブリッジを通じて預け入れ、ゲーム内経済に参加していました。

ケースA：Roninブリッジ攻撃の流れ

• 上流：Roninバリデータの秘密鍵がフィッシングやマルウェアで奪取され、攻撃者がブリッジの管理権限を乗っ取る
• 中流：ブリッジのスマートコントラクトを悪用し、数億ドル相当のイーサリアムやステーブルコインが攻撃者アドレスに送金される
• 分散：盗まれた資産は、数千〜数万単位の小口トランザクションに分割され、別アドレスに転送される
• 洗浄：一部はTornado Cashなどのミキサーサービスを経由し、トレースを困難にしたうえで、別チェーンや別通貨にスワップされる
• 下流：最終的に、制裁対象外の取引所や、本人確認が不十分なOTCブローカーを通じて法定通貨化される

アメリカ政府や民間のブロックチェーン分析企業は、この攻撃で失われた資産の相当部分が北朝鮮のラザルスグループと関連していると公表し、具体的なウォレットアドレスを制裁リストに挙げました。これにより、主流の暗号資産交換業者は、これらのアドレスからの入出金をブロックするようになりました。

日本でも、2018年のCoincheck（コインチェック）からのNEM流出事件をきっかけに、暗号資産交換業者に対するマネーロンダリング対策の強化が進みました。Coincheck事件が北朝鮮と直接結びつくと断定されたわけではありませんが、「盗難暗号資産がどのような経路で世界を回るか」という構造への関心を高める契機になりました。

ミキサー・DeFi・OTCブローカーという洗浄インフラ

北朝鮮系ハッカーは、盗んだ暗号資産をそのまま保有するのではなく、「トレースされにくい資産」に作り替える必要があります。その過程で活用される主なインフラが、ミキサー、DeFiプロトコル、そしてOTCブローカーです。

ミキサー（タンブラー）

• 多数のユーザーから預かった暗号資産を一旦プールし、別アドレスにまとめて払い出すサービス
• 入金元と出金先の対応関係を見えにくくすることで、「資金の系譜」を断ち切る役割を持つ
• Tornado Cashのように、プライバシー保護目的も掲げつつ、一部ユーザーがマネロンに悪用していた例もある

DeFiプロトコルとクロスチェーンブリッジ

• 分散型取引所（DEX）やレンディングプラットフォームを利用して、盗難資産を別の暗号資産にスワップする
• クロスチェーンブリッジを使い、チェーンをまたいで移動することで、分析ツールの追跡を困難にする
• 一部の小規模DeFiはKYCが存在せず、誰でもウォレットさえあれば利用できる

OTCブローカーと法定通貨化

• 中国やロシア、東南アジアなどに拠点を置くOTCブローカーが、暗号資産と現金・銀行送金を仲介する
• 制裁対象国の顧客であることを隠すため、名義貸しやフロント企業を利用するケースも報告されている
• こうして、盗難暗号資産はドルや人民元などの法定通貨に変わり、最終的に実物取引や現金輸送に紛れ込む

この一連の流れは、「サイバー攻撃→ブロックチェーン上の匿名移転→ミキサー・DeFi→OTC→現金」という形で、マネーロンダリングの3段階（プレースメント・レイヤリング・インテグレーション）をほぼオンライン上で完結させる構造になっています。

各国の対策と日本の暗号資産交換業者へのプレッシャー

国際社会は、こうしたサイバー起点のマネーロンダリングに対し、複数のレイヤーで対応を進めています。

• FATFの「トラベルルール」により、暗号資産交換業者間で送金者・受取人情報の共有を義務づける
• アメリカのOFACが、北朝鮮関連ウォレットやミキサーを制裁対象として指定し、取引を禁じる
• 欧州連合（EU）が、暗号資産規則（MiCA）やAMLパッケージの中で、暗号資産サービスプロバイダーへのAML/CFT義務を明確化
• 日本の金融庁が、資金決済に関する法律や犯罪収益移転防止法を通じて、暗号資産交換業者にKYC・モニタリング・疑わしい取引の届出などを求める

日本の暗号資産交換業者は、FATF勧告への対応としてトラベルルールに沿ったシステム対応を進める一方、海外の事業者との連携や、制裁リストに基づくウォレットブロックなど、技術的・運用的な負荷に直面しています。特に、北朝鮮系ハッカーが使うアドレスは頻繁に入れ替わるため、「ブラックリストを追いかけるだけでは不十分」であり、トランザクションパターンやブロックチェーン分析企業のリスクスコアを活用したリスクベース・アプローチが不可欠になっています。

まとめ：国家ぐるみのサイバー資金源と私たちが意識すべきポイント

北朝鮮ハッカーによる暗号資産窃取は、「闇市場の一部」ではなく、国家レベルの制裁回避と外貨獲得のための重要な資金源として位置づけられています。サイバー攻撃とマネーロンダリングが一体化したこのモデルは、従来のAML・CFTの前提（銀行口座中心、オフライン取引中心）を揺さぶっています。

私たちが意識すべきポイントは次の通りです。

• 暗号資産は「犯罪の道具」だけでなく、「制裁回避や資金調達のインフラ」として国家レベルで利用され得ること
• ミキサーやDeFi、OTCブローカーなど、新しいサービスの設計次第で、マネーロンダリングリスクが大きく変わること
• 規制や制裁だけでは追いつかず、技術側（分析ツール・プロトコル設計）とガバナンス側（国際協調・基準作り）の両輪が必要なこと
• 日本の暗号資産交換業者も、北朝鮮問題とは無縁ではなく、国際基準レベルのAML/CFT体制を求められていること

今後も、北朝鮮以外のアクターが同様のモデルを模倣する可能性は十分にあります。闇経済ラボとしては、単に「危ない話」として消費するのではなく、国際金融システムと暗号資産エコシステムの境界で何が起きているのかを、継続的に追いかけていきたいと思います。

神谷 玲央（マネーロンダリング・金融犯罪担当）／ 犯罪経済ラボ