📊 3行サマリー

  • 米TRM Labsが2026年4月30日付で発表。北朝鮮系ハッカーが今年4月までに2件の攻撃で5.77億ドル(約860億円)を盗み、年間被害額の76%を1グループで占めた。
  • 標的はSolana上の Drift Protocol(4月1日、2.85億ドル)と Ethereum 上の KelpDAO の LayerZero ブリッジ(4月18日、2.92億ドル)。北朝鮮の累計暗号資産窃取は2017年以降で60億ドルを超えた。
  • 日本では2024年5月にDMM Bitcoinが482億円を盗まれた事件があり、米FBI・警察庁はTraderTraitor(北朝鮮系)の関与と公表済み。国内のクリプト業界とSolana DeFi利用企業も同じ攻撃面を抱える。

📝 北朝鮮ハッカー、4月の2件だけで暗号資産5.77億ドルを盗む

米ブロックチェーン分析企業 TRM Labs が2026年4月30日付で出したレポートで、北朝鮮系のハッカー集団が2026年1〜4月の2件の攻撃だけで総額5億7700万ドル(約860億円)の暗号資産を盗み、年初来のクリプトハッキング被害額の76%を1グループで占めたと公表した。攻撃件数では全インシデントの3%しかないのに、被害金額シェアは過去最高水準である。

北朝鮮の暗号資産窃取シェアは2020〜2021年が10%未満、2022年22%、2023年37%、2024年39%、2025年64%、そして2026年は4月時点で76%と、年ごとに加速してきた。攻撃の頻度ではなく、1件あたりの被害規模が増えているのが特徴で、累計の盗難額は2017年以降で60億ドルを超えた。

📰 TRM Labs:Drift Protocolで12分、KelpDAOで単一検証者を突破

元ネタNorth Korea Stole 76% of All Crypto Hack Value in 2026 — With Just Two Attacks(TRM Labs / 2026-04-30)

North Korean hacking groups accounted for 76% of all crypto hack losses in 2026 through April — not because North Korea launched a wave of attacks, but because two attacks totaling USD 577 million dwarfed everything else.

1件目は4月1日の Drift Protocol(Solana上の永久先物プロトコル)攻撃で、被害は2.85億ドル。攻撃者は数カ月かけて運営側に対人接触を含むソーシャルエンジニアリングを仕掛け、3月23日から30日にかけて Solana の「durable nonce(耐久ナンス)」機能を悪用して事前署名済みトランザクションを仕込んだ。4月1日にこれらを一気にブロードキャスト、約12分で USDC や JLP を含む資金を抜き取っている。

2件目は4月18日の KelpDAO の rsETH 用 LayerZero ブリッジへの攻撃で、被害は2.92億ドル。攻撃者は内部 RPC ノード2台を改ざんし、外部 RPC への DDoS でフェイルオーバーを誘発し、改ざんノードの偽データを唯一の検証者(DVN)に承認させた。LayerZero は複数検証者構成をサポートしているが、KelpDAO は単一の LayerZero Labs DVN のみで運用しており、これが致命的だった。

🔥 「広く撃つ」から「狭く深く撃つ」へ、攻撃配分が変わった

2025年最大の事件 Bybit ハッキング(14.6億ドル、過去最大)に続き、2026年の Drift と KelpDAO は、北朝鮮の攻撃モデルがすでに「少数高額」型に固定化しつつあることを示す。年間2件のみで76%という被害シェアは、フィッシングや単純な秘密鍵窃取に依存していた数年前とは違う構図である。

TRM Labs のアナリストは、北朝鮮が偵察やソーシャルエンジニアリングに AI ツールを取り入れている可能性を指摘する。実際 Drift Protocol への攻撃では、Solana のセキュリティ評議会メンバーに対する数カ月単位の心理工作と、Solana 固有のナンス機能の精緻な悪用が組み合わさっていた。攻撃面はもはやスマートコントラクトの脆弱性だけでなく、人と署名と運用にまで広がっている。

🇰🇷 韓国メディア:累計60億ドル超で「国際金融の脅威」と再認識

韓国の証券・金融系メディアは、TRMレポートを「北朝鮮の核・ミサイル開発を支える外貨獲得手段」として継続的に追っており、SK Telecom や Lotte Card など国内の大型インシデントと同列で扱う傾向が強い。2025年9月には政府が省庁横断で「データ漏洩被害最小化策」を打ち出し、企業の通報義務違反への罰則強化と当局による独立調査権の確保を進める方向だ(Korea Herald 9月19日付)。

英語圏の専門メディア(CNN・Axios・TechCrunch)は、北朝鮮による Axios npm パッケージ乗っ取り事件(2026年3月31日)と並べて、サプライチェーンと DeFi の両面攻勢が常態化していると分析した。Drift・KelpDAOはその意味で、Bybit を頂点とする「数十億ドル級ハック・シーケンス」の延長線上にある。日本の報道は数字の大きさにフォーカスする傾向があるが、現地報道は「国家アクター × DeFi インフラ」の構造的脆弱性に踏み込んでいる点で温度差がある。

🇯🇵 日本DMM Bitcoin 482億円事件と同系統、Solana DeFi 利用企業に再警告

日本の読者にとって北朝鮮ハッキングの最大の自分事は、2024年5月のDMM Bitcoin事件だ。約4502BTC、当時のレートで482億円相当が流出し、警察庁・FBI・国防総省の共同声明で「TraderTraitor(北朝鮮系)の関与」が公表された。当時の手口は職員へのリクルーティング偽装と GitHub 経由のマルウェア配布で、今回の Drift Protocol への対人ソーシャルエンジニアリングと骨格が重なる。

2026年の二大事件は、日本企業にとって2つの意味で他人事ではない。第一に、国内の Web3 系プロジェクトや取引所も Solana・LayerZero・THORChain を業務基盤に組み込む例が増えており、Drift と同型の durable nonce 悪用や、KelpDAO 型の単一 DVN 構成は今も国内サービスに残っている可能性が高い。第二に、金融庁が暗号資産交換業者に求めるサイバーセキュリティ管理態勢のガイドラインは、ブリッジや DeFi 接続に対する個別チェックがまだ薄い。現行制度のままでは「DMMの教訓」を運営に落とし込めていない事業者を取りこぼす恐れがある。

🏁 ブリッジ単一検証者と Solana 多重署名が、次の標的構造

2026年4月の2件はそれぞれ別の弱点を突いた。Drift Protocol は Solana のガバナンス契約(マルチシグと durable nonce)、KelpDAO は LayerZero ブリッジの単一検証者構成だ。共通するのは「単一の信頼ポイントが大規模資金の出口」を握っていた点で、他のプロトコルにも当てはまる構造である。北朝鮮ハッカーは今年すでに次の標的のリサーチを進めている可能性が高く、日本のクリプト業界はブリッジ構成・マルチシグ閾値・社外パートナー経由の社員アクセスの3点を緊急に再点検すべき時期に来ている。