北朝鮮の否定は、外交的には重要な文脈だ。だが、Ripple(リップル)や暗号資産(仮想通貨)業界が動いている理由は、それだけでは説明できない。
報道によると、Rippleは暗号資産業界向けの情報共有組織であるCrypto ISACを通じ、北朝鮮関連と評価されたハッキングキャンペーンの内部脅威インテリジェンスを共有し始めた。共有対象には、不正に関係するドメイン、ウォレットアドレス、侵害指標(IOC)が含まれる [2]。これは北朝鮮の責任を法廷で最終確定するためというより、取引所、DeFi(分散型金融)、インフラ企業が同じ侵入パターンを早く見つけるための共同防衛に近い [
1][
7]。
争点は「否定」より「防御に使えるシグナル」
北朝鮮は、暗号資産ハッキングへの関与疑惑を虚偽情報であり、政治的な目的を持つ中傷だと否定してきたと報じられている [19][
20]。一方で、米国や同盟国、捜査・情報機関側では、ラザルス・グループなど北朝鮮関連とされる組織を大規模な暗号資産窃取事件と結びつける見方が続いている [
17][
25]。
たとえば米上院議員らが財務省と司法省に宛てた書簡では、2025年2月のBybitハッキングについて、北朝鮮政府の支援を受けたハッカー集団ラザルス・グループが約15億ドル相当のデジタル資産を盗んだと主張している [17]。また日米韓の共同声明は、北朝鮮関連ハッカーが2024年に少なくとも6億5,910万ドル相当の暗号資産を盗んだと指摘した [
25]。
こうした状況で業界が共有しようとしているのは、政治的なスローガンではない。セキュリティ担当者がすぐに照合できる「シグナル」だ。特定のドメイン、ウォレットアドレス、メールアドレス、疑わしいアカウント、悪質な行動パターンは、別の企業の防御システムでもブロック、監視、調査の対象になり得る [2][
6]。
RippleがCrypto ISACに出す情報とは
Crypto ISACは、暗号資産業界のセキュリティ情報共有を目的とする組織として説明されている [2][
7]。Rippleはこの枠組みを通じ、北朝鮮関連のハッキング活動に関する内部脅威インテリジェンスを提供している。報じられている共有項目には、不正関連ドメイン、ウォレットアドレス、侵害指標が含まれる [
2]。
一部報道では、疑わしい攻撃者または北朝鮮のIT要員と評価された人物のプロフィール、LinkedInアカウント、メールアドレスといった識別情報にも触れられている [3][
6]。
この種の情報が重要なのは、攻撃者が一社だけを狙うとは限らないからだ。ある企業で見つかったドメイン、ウォレットアドレス、偽の人物プロフィールが、別の取引所、DeFiプロジェクト、インフラ事業者への接触でも再利用される可能性がある。Crypto ISACを通じた共有は、各社がばらばらに見つけた手がかりを、業界全体の早期警戒に変える試みといえる [2][
7]。
なぜ今なのか:狙われるのはコードだけではなく「人」
最近の報道が共通して指摘しているのは、攻撃対象がスマートコントラクトの技術的な脆弱性だけではなくなっている点だ。
CoinMarketCapは、攻撃者が技術的なエクスプロイトから、暗号資産企業の従業員を狙う社会工学型の作戦へ移っていると説明している [2]。crypto.newsも、セキュリティチームが、長期的な潜入、信頼関係の構築、権限の獲得を経て資金を移す手口の増加を確認していると伝えた [
10]。
Drift Protocolの事例も、この変化を示す例として取り上げられている。Binance Squareに掲載された報道では、Driftをめぐる2億8,500万ドル規模の事件について、スマートコントラクトの脆弱性ではなく、長期にわたる社会工学的な潜入、マルウェアの設置、秘密鍵の窃取によるものだったと説明された [6]。この説明が正しければ、コード監査だけでは防ぎにくいタイプの攻撃だったことになる。
情報共有が必要な4つの実務的理由
第一に、侵害指標は素早い検知に使える。不正ドメイン、ウォレットアドレス、侵害指標がAPI経由で共有されれば、参加企業は自社のセキュリティ運用の中でより早く照合できる [2]。
第二に、社会工学型の攻撃は企業の境界を越えて繰り返される。攻撃者が同じ偽の身元、連絡先、プラットフォームアカウント、ウォレットアドレスを複数の企業に使うなら、一社の発見は別の企業にとって予防のサインになる [3][
6]。
第三に、責任の最終判断には時間がかかるが、防御は待ってくれない。北朝鮮は疑惑を否定しているものの、米国や同盟国はラザルスなど北朝鮮関連組織を複数の大規模事件と結びつけて見ている [17][
25]。業界の立場からすれば、外交・司法上の最終判断を待つより、繰り返されるパターンを先に止める方が現実的だ。
第四に、暗号資産のセキュリティは一社だけの問題ではない。取引所、ウォレット、DeFiプロトコル、ブリッジ、インフラ提供企業が相互につながるエコシステムでは、一か所の侵害が別の場所のリスクに広がり得る。Rippleの情報共有は、特定企業の評判管理というより、業界全体の防御面を広げる取り組みとして理解できる [1][
7]。
断定は避けるべき:「北朝鮮関連」と「最終責任」は違う
この問題を読むうえで大切なのは、「北朝鮮がやった」と一足飛びに断定することではなく、「北朝鮮関連と評価された脅威」として扱われている点を押さえることだ。北朝鮮は関連疑惑を虚偽で政治的な攻撃だと否定しており [19][
20]、公開報道だけで全ての事件の証拠水準を同じように評価することはできない。
ただし、サイバーセキュリティの現場では、完全な法的結論が出る前でも危険な兆候を共有する。脅威インテリジェンスの共有は、判決文というより警報システムに近い。
RippleとCrypto ISACの動きも、北朝鮮の否定を無視するというより、繰り返し観測されるウォレット、ドメイン、プロフィール、侵入手法が再利用される可能性に備える防御策と見る方が正確だ [2][
7]。
結局のところ、Rippleと暗号資産業界が北朝鮮関連ハッカーの情報を共有する理由は、政治的な論争に勝つためではない。攻撃者が人を欺き、内部アクセスを得る方向へ進化しているとの見方が強まる中で、業界が同じシグナルをより早く見つけ、より早く止めるためだ [2][
10]。
