この記事の要点
- Drift Protocol、447億円流出は6ヶ月の組織的工作と発表(4月5日)
- 北朝鮮系グループ関与の疑い、Radiant事件と同一グループか
- コード無傷のまま侵害、スマートコントラクト監査では防御不能
- DeFi全体に人的セキュリティ管理の見直しを迫る事案に
Drift不正流出、北朝鮮系グループが関与か
2026年4月5日、ソラナ系分散型取引所のDrift Protocol(ドリフトプロトコル)は、同月1日に発生した約2億8,000万ドル(約447億円)規模の不正流出が、コードの脆弱性ではなく6ヶ月にわたる人的な信頼関係の悪用によるものだったと明らかにしました。
同社X(Twitter)の投稿で「組織的な支援・十分なリソース・数ヶ月にわたる計画的な準備を要した情報作戦だった」と述べています。
ドリフトは、2024年10月に発生したRadiant Capital(ラディアントキャピタル)への5,800万ドル(約92.7億円)規模のハッキングと、同一の北朝鮮系攻撃グループが関与したとみています。
攻撃者は定量取引企業を装い、仮想通貨カンファレンスを起点に半年間かけて貢献者との信頼関係を構築しました。その後、デバイスを侵害したうえで攻撃を実行したとされています。
今回の手口は、スマートコントラクト監査では検出できないものであり、DeFiプロトコルのセキュリティ対策に根本的な見直しを迫る事案となっています。
「2年で4,400億円相当」を窃取
カンファレンスから始まった、6ヶ月の侵入工作
接触から侵害まで、攻撃者が歩んだ6ヶ月
ドリフトによると、2025年秋ごろ、定量取引企業を名乗る人物グループが、ある「大規模な仮想通貨カンファレンス」でドリフトの貢献者に接触し、プロトコルとの統合に関心があるとして接近しました。
その後グループは、複数の国で開催された業界イベントで継続的に貢献者と対面接触を重ねました。ドリフトは「このグループの人物たちが、特定の貢献者を意図的に探し出してエンゲージし続けていたことが、標的型のアプローチであったことを示している」と説明しています。
攻撃者たちは「技術的な知識が豊富で、検証可能な職業的バックグラウンドを持ち、ドリフトの運営方法にも精通していた」とされており、表面上は正規の業界関係者として認識されていました。
100万ドル入金で信頼獲得、その後デバイスを侵害
2025年12月から2026年1月にかけては、ドリフトのエコシステムボールト(資産運用プログラム)に正式に参加し、100万ドル超の自己資金を入金した上で複数のワーキングセッションをこなし、信頼を積み上げました。
信頼関係の構築に成功した後、攻撃者は共有リンクやツールを通じて貢献者のデバイスを侵害しました。
侵害経路は少なくとも3つあったとみられており、コードリポジトリのクローン、TestFlightアプリのダウンロード、そして2025年12月から2026年2月にかけて報告されていたVSCode・Cursorエディタの脆弱性が利用された可能性があるとしています。
4月1日の攻撃実行後、グループはTelegramのチャット履歴と悪意あるソフトウェアを即座に消去しました。こうした手口が過去の大規模攻撃と共通する構造を持つことが、その後の調査で明らかになっています。
北朝鮮系UNC4736、Radiantとの関連が浮上
ドリフトが同一グループの関与を指摘するRadiant Capitalへの攻撃は、2024年10月に発生し、5,800万ドル(約92億8,000万円)が流出しました。
Radiant Capitalは2024年12月、この攻撃が元請負業者を装った北朝鮮系ハッカーからTelegramで送られたZIPファイルを通じたマルウェアによるものと発表しています。ZIPファイルが他の開発者とフィードバック共有される過程でマルウェアが展開され、侵害を引き起こしたとされています。
今回の帰属判断の根拠として、ドリフトは、オンチェーン上の資金フロー(ドリフト攻撃の事前準備に使われたウォレットがRadiant攻撃のそれと一致)と、キャンペーンで使用されたペルソナが既知のDPRK(北朝鮮)関連活動と重複している点を挙げています。
Radiant事案ではMandiantがUNC4736(AppleJeus / Citrine Sleetとも追跡)の関与を帰属しており、ドリフトはこの同一グループによるものとみています。ただし、ドリフト事案の正式な帰属はフォレンジック完了後となる見通しです。
ドリフトは、今回対面に現れた人物たちは「北朝鮮国籍ではなかった」としながらも、「このレベルで活動する北朝鮮の攻撃グループが、対面での関係構築にサードパーティの仲介者を活用することは知られている」と指摘しています。
現在同社は、法執行機関・フォレンジックパートナーのMandiant・業界関係者と連携し、4月1日の攻撃の全容解明を進めています。
監査では防げない、人的工作が生む新たな死角
今回の事案は、技術的な脆弱性ではなく人的信頼関係を悪用するソーシャルエンジニアリングが、大規模流出の主因となりうることを示しました。
攻撃者が検証可能な職歴や技術知識を持つ人物を前面に立て、自己資金の入金まで行いながら段階的に信頼を獲得した手法は、従来のスマートコントラクト監査やコードレビューでは検出が難しく、人的なセキュリティ管理の見直しが求められる局面となっています。
そのため、権限管理やデバイス管理に加え、外部関係者との接触方法そのものを再点検する必要性が示された形です。
ドリフトは今回の調査結果を通じ、仮想通貨業界のすべての参加者に対して、マルチシグへのアクセス権限の監査と、関係するすべてのデバイスを潜在的な標的として扱うよう呼びかけています。
市場を揺るがしたBybit流出事件
北朝鮮系の標的型攻撃、DeFi業界全体の問題に
北朝鮮系とされるグループによるDeFiプロトコルへの組織的なハッキングは、Radiant Capital事件以降も繰り返し確認されており、今回の事案はその延長線上にあります。
詐欺や不正アクセスへの対策は業界横断的な課題となっており、各プロトコルに人的セキュリティ管理の見直しを迫る動きが広がっています。
ドリフトが法執行機関と連携して調査を進めるなか、今回の詳細な手口の開示が業界全体のセキュリティ意識向上につながるか、また類似手法を用いた攻撃への対策が各プロトコルで実効的に講じられるかが、今後の注目点となっています。
※価格は執筆時点でのレート換算(1ドル=159.78 円)
詐欺・ハッキング関連の注目記事はこちら
Source:Drift Protocol公式X投稿
サムネイル:Shutterstockのライセンス許諾により使用
