ブロックチェーン調査員のZachXBT氏は7日、北朝鮮に関連する大規模な資金獲得ネットワークを暴露した。
偽装身分で仮想通貨プロジェクトに潜入
ZachXBT氏の調査によると、このネットワークは暗号資産(仮想通貨)から法定通貨への不正な送金などを通じて、月に約100万ドルの収益を上げていた。
北朝鮮のIT組織が使用する内部決済サーバーから流出したデータを分析した結果、390以上のアカウントやチャット履歴が発見された。
労働者たちは「luckyguys.site」と呼ばれる内部の連絡ツールを使用し、管理者に対して入金報告を行っていた。
このネットワークは2025年11月下旬以降、追跡可能なウォレットを通じて350万ドル以上を処理している。労働者たちは偽造された身分証明書やVPNなどのツールを駆使し、仮想通貨プロジェクトの遠隔業務を請け負っていた。
本人確認手続きをすり抜け、得た報酬を法定通貨に換金していた実態が明らかになっている。
このような手口は、巧妙化する仮想通貨詐欺の一種として警戒されている。
北朝鮮は数千人規模の海外IT労働者に依存しており、彼らは偽の身元を使ってフリーランス契約を結んでいる。高度なハッキング技術を持たない労働者であっても、世界的なリモートワークの普及と仮想通貨の脆弱性を悪用して資金を集めている。
ずさんなセキュリティから実態が発覚
今回の暴露は、組織内のずさんなセキュリティ管理が発端となった。
複数のアカウントで「123456」といった初期パスワードが変更されずに使用されていた。匿名の情報源が北朝鮮のIT労働者の端末にマルウェアを感染させ、データを抜き出すことに成功した。
流出したデータからは、米国の制裁対象となっている北朝鮮のフロント企業との関連も確認されている。資金は兵器開発を支援するための制裁回避に利用されていたとみられる。
仮想通貨から法定通貨に変換された資金は、決済プラットフォームを経由して中国の銀行口座に送金されていた。
なお、あるトロン(TRX)の決済アドレスは2025年12月にテザー社によって凍結されている。
資金洗浄には、本人確認なし仮想通貨取引所が悪用されるケースも少なくない。
ZachXBT氏は2025年12月から2026年2月までのデータをもとに組織図を作成し、北朝鮮のIT構造と一致する特徴を指摘した。
この事件は、仮想通貨業界における採用リスクと規制の抜け穴を浮き彫りにしている。一部のプロジェクトは、この暴露を受けて自社チームの内部調査を開始した。
