分散型金融(DeFi)の世界で注目を集めるSolanaベースの暗号資産プロトコル「Drift」が、2億8500万ドル(日本円で約440億円)という巨額のハッキング被害に遭いました。この事件は単なる技術的脆弱性を突いたものではなく、北朝鮮関連のハッキンググループが6ヶ月もの期間をかけて周到に準備した、極めて巧妙な情報操作とサプライチェーン攻撃の結晶であることが明らかになっています。本記事では、この前例のない攻撃の手口、北朝鮮の関与、そして暗号資産業界全体が直面するセキュリティ課題について深く掘り下げていきます。
詳細解説:Driftプロトコルを襲った巧妙な手口
2026年4月1日に発生したDriftプロトコルへの攻撃は、その手口の複雑さと計画性において、従来のハッキング事件とは一線を画します。被害額はUSDCなどのステーブルコイン、JLP、SOLといった暗号資産を含む約2億8500万ドルに上り、ブロックチェーントラッキング企業TRM LabsとEllipticの調査により、その全貌が徐々に明らかになっています。
攻撃は2025年秋に始まりました。ハッカーたちは、実在する定量取引会社を装い、Driftの貢献者たちに主要な暗号資産カンファレンスで接触。その後も複数の国で開催されたイベントで対面での関係を深め、Telegramグループを設立して詳細な取引戦略やVault統合について議論を重ねました。彼らはさらに、100万ドル以上の預金を持つ「Ecosystem Vault」をDriftプラットフォームにオンボーディングすることで、完全に信頼を構築していきました。
攻撃の決定的な転換点となったのは、2026年3月27日にDriftのセキュリティチームが行った承認システムの変更です。この変更により、主要な変更を承認するために必要なキーホルダーが5人中2人に減り、さらにアラートをトリガーする可能性のある組み込みの待機期間が削除されました。この変更は、ハッカーにとって絶好の機会となりました。
ハッカーは、7億5000万個もの偽トークン「CarbonVote Token(CVT)」を新たに作成。Driftの価格チェックツールを巧妙に操作し、これらの無価値なトークンを正当な高価値担保として認識させることに成功しました。そして4月1日、彼らは事前に準備していたトランザクションを一斉に実行。偽トークンをプラットフォームに追加し、借入限度額を大幅に引き上げた後、数億ドル相当の偽トークンをシステムに投入し、31回の高速引き出しを通じて実資産を流出させました。この一連のプロセスはわずか約12分で完了したと報じられています。
盗まれた資金は、Solana上の取引所でUSDCに交換された後、追跡を困難にするために迅速にEthereumネットワークへ移動されました。この手口は、最近Resolvプロトコルで発生したエクスプロイトと類似しており、コードの脆弱性ではなく、プライベートキーへのアクセスと、資産の発行・担保化の制限をはるかに超える能力を組み合わせた攻撃であることが共通しています。
北朝鮮の影:長期にわたる情報作戦の実態
今回のDriftプロトコルへの攻撃が、北朝鮮関連のハッキンググループによるものであることは、事件発生からわずか数日後にTRM LabsとEllipticによって指摘されました。オンチェーンデータのステージングが平壌現地時間と一致していたことや、過去の北朝鮮関連のサイバー活動と行動パターンが合致したことがその根拠とされています。
さらに、SEAL 911チームは、この攻撃が2024年10月に発生したRadiant Capitalハックの背後にいた北朝鮮国家関連アクターと同一である可能性が高いと、中〜高程度の確信を持って断定しています。これは、北朝鮮が暗号資産窃盗を国家の資金源として組織的に行っていることを示唆するものです。
Driftが公開したX(旧Twitter)のアップデートでは、この情報作戦がどのように展開されたかの詳細が明かされています。特に注目すべきは、対面で接触してきた人物が北朝鮮国民ではなく、第三者の仲介者であったという点です。これは、北朝鮮の諜報活動における典型的な手口であり、直接的な関与を隠蔽し、国際的な追跡を困難にする狙いがあります。ハッカーグループは、攻撃後にTelegramの履歴や関連するソフトウェアをすべて削除し、証拠隠滅を図りました。
プライベートキーの侵害経路については、複数の可能性が指摘されています。一つは、Driftの貢献者の一人が、既知のVSCodeまたはCursorの脆弱性を悪用するコードリポジトリをクローンした可能性。もう一つは、別の貢献者が、ハッカーが提供した偽のウォレット製品を装ったTestFlightアプリをダウンロードするよう説得された可能性です。3つ目の経路については、現在も法執行機関による調査が進行中です。
Drift側の「過失」と問われるセキュリティ意識
今回の事件では、ハッカーの巧妙さに加えて、Driftプロトコル側のセキュリティ体制に対する疑問の声も上がっています。数億ドルものユーザー資金を管理するプロトコルが、なぜ未検証のTestFlightアプリをマルチシグアクセスに関連するハードウェアにダウンロードすることを許可したのか、という点は大きな論点となっています。
また、開発環境と署名キー間の厳格な分離が不足していたことも指摘されています。暗号資産弁護士のアリエル・ギブナー氏はX(旧Twitter)で、「これは民事過失の問題であるとしか思えない」と述べ、ハッカーの高度さに関わらず、基本的な運用セキュリティ(OpSec)が不十分だった可能性を強く示唆しています。プロトコルが管理する資産の規模を考慮すれば、より厳格なセキュリティプロトコルと従業員教育が求められるのは当然のことでしょう。
業界への警鐘:進化するサイバー攻撃と北朝鮮の資金源
セキュリティ研究者たちは、今回のDriftプロトコルへの攻撃が、6ヶ月にわたる高度な情報作戦であったことを踏まえ、同様の攻撃がすでに他の暗号資産プロジェクトに対しても進行している可能性を警告しています。これほどの時間とリソースを投資するアクターが、単一のターゲットに限定するとは考えにくいからです。
北朝鮮は長年にわたり、暗号資産窃盗を国家の主要な資金源として利用してきました。2022年にはRonin Networkから6億ドル以上が盗まれるなど、過去にも大規模なハッキング事件に関与しています。Chainalysisの報告によると、2025年には北朝鮮のハッカーが年間で過去最高の20.2億ドルを窃盗したとされており、その活動は年々活発化し、手口も巧妙化しています。
暗号資産の匿名性、分散性、そして高額な資産が集中する特性は、国家レベルのハッキンググループにとって非常に魅力的なターゲットとなっています。欺瞞、リモートコラボレーション、そして高額な金融リスクが組み合わさることで、情報機関を含む高度なアクターが数ヶ月かけて信頼を構築し、最終的に大規模な攻撃を実行する条件が整ってしまうのです。
今回の事件は、暗号資産業界が技術的な防御だけでなく、人間を介したサプライチェーン攻撃やソーシャルエンジニアリングのリスクに対して、より一層の警戒と対策を講じる必要があることを浮き彫りにしました。組織内の運用セキュリティの強化、従業員への継続的なセキュリティ教育、そして外部パートナーとの連携における厳格なデューデリジェンスが不可欠です。
こんな人におすすめ
今回のDriftプロトコルへの攻撃は、暗号資産プロジェクト運営者、投資家、そして一般的な仮想通貨ユーザーにとって、セキュリティ意識の重要性を再認識させるものです。特に、サプライチェーン攻撃やソーシャルエンジニアリングのリスクに関心がある方、北朝鮮のサイバー攻撃の手口について深く知りたい方には、本記事が貴重な情報源となるでしょう。自身の資産を守るための具体的な対策を考える上で、この事例から学ぶべき点は多岐にわたります。
まとめ:信頼とセキュリティの再構築に向けて
Driftプロトコルへの2億8500万ドル規模のハッキング事件は、暗号資産業界が直面する脅威の複雑さと深刻さを示すものです。これは単なる技術的脆弱性ではなく、人間心理を巧みに操り、組織のサプライチェーンに深く潜り込む、国家レベルの高度な情報作戦でした。この事件は、暗号資産プロジェクトが技術的な防御だけでなく、組織内の運用セキュリティ、従業員教育、そして外部パートナーとの連携における厳格なデューデリジェンスを強化する必要があることを強く示唆しています。
北朝鮮のような国家レベルのアクターによる暗号資産窃盗は今後も続くと予想され、業界全体での情報共有と協力体制の構築が不可欠です。私たちユーザーも、自身の資産を守るため、利用するプラットフォームのセキュリティ対策を常に確認し、不審な接触には細心の注意を払うべきでしょう。信頼とセキュリティの再構築は、暗号資産業界全体の喫緊の課題です。
情報元:Gizmodo