この記事の要点
- リップルが北朝鮮工作員の脅威データを業界横断で提供
- 採用・取引先の審査段階から脅威の事前把握が可能に
Ripple、北朝鮮ハッカー情報を業界共有
米Ripple(リップル)は2026年5月4日、仮想通貨業界の情報共有・分析組織「Crypto ISAC(クリプト・アイサック)」を通じて、北朝鮮(DPRK)関連の脅威インテリジェンスを業界各社と共有すると発表しました。
北朝鮮系ハッカーによる攻撃は、脆弱性の悪用だけでなく、採用や取引先を経由して組織内部へ侵入する事例も確認されており、従来型の防御では検知が難しい「内部起点の脅威」として警戒が強まっています。
今回共有されるデータには、詐欺目的のドメインや不正ウォレットに加え、ハッキングキャンペーンに関連する侵害指標(IOC)が含まれ、仮想通貨企業は採用候補者やベンダーの審査段階からリスクを見極めることが可能になります。
リップルはAIを活用した検知ワークフローで生成したこれらの情報を、Crypto ISACの新APIを通じて加盟各社へ配信するとしており、こうした脅威データが加盟企業間で外部共有されるのは今回が初めてとされています。
The strongest security posture in crypto is a shared one.
A threat actor who fails a background check at one company will apply to three more that same week. Without shared intelligence, every company starts from zero.
Ripple is now contributing exclusive DPRK threat… https://t.co/ZiXD25iOBx
— Ripple (@Ripple) May 4, 2026
仮想通貨業界における最も強固なセキュリティ体制は、業界全体で連携して築くものです。
ある企業で身元調査に落ちた攻撃者は、その週のうちに別の3社へ応募することもあります。脅威情報の共有がなければ、各社がゼロから対応を始めなければなりません。
Rippleは現在、業界が脅威にリアルタイムで対応できるよう、北朝鮮関連の独自脅威インテリジェンスをCrypto ISACに提供しています。
「荒唐無稽な中傷」北朝鮮が声明
北朝鮮工作員の侵入手口と対応の実態
Driftハック事件が示す「内部の脅威」
分散型取引所「Drift Protocol(ドリフトプロトコル)」へのハッキング事件が、今回のデータ共有を進める契機になったとCrypto ISACは説明しています。
この事件はスマートコントラクトの脆弱性やゼロデイ攻撃によるものではなく、工作員がDrift関係者と数カ月かけて信頼関係を築いたうえで、不正ソフトウェア経由でデバイスを侵害したことで発生したとされています。
工作員はこの手法を通じてマルチシグウォレット(複数の署名が必要な管理形式)へのアクセス権を取得し、最終的に資金流出へつながったとされています。Crypto ISACによると、従来のIOCベースの防御策では検知が難しいソーシャルエンジニアリング(人を騙す侵入手法)だったといいます。
同様の手口は仮想通貨ネイティブ企業だけでなく従来型の金融機関でも確認されており、北朝鮮系脅威アクターによる組織内部への侵入は業界全体で共通課題として認識されています。
新APIで工作員データを即時横断共有
こうした脅威に対抗するため、Crypto ISACは今回のデータ共有を支える新APIも公開したと発表しました。リップルやCoinbase(コインベース)など創設メンバー各社が先行採用しており、業界横断で脅威情報を共有する基盤として運用が開始されています。
発表によれば、このAPIはWeb2とWeb3双方の脅威指標を標準化したうえで、企業間の脅威情報共有をリアルタイムで行えるよう設計されており、加盟企業のセキュリティ運用へ直接組み込める形式で配信されています。
このうちリップルが提供するDPRK IT工作員(北朝鮮政府が関与するIT要員)のプロファイルには、氏名やLinkedInアカウント、メールアドレス、所在地、連絡先番号に加え、その人物を複数の攻撃キャンペーンと結びつける相関シグナルも含まれています。
こうしたプロファイルの設計について、同社のブランドセキュリティ・インテリジェンス担当ディレクター、エリン・プランテ氏は「新APIによって質の高い、より実用的なインテリジェンスをセキュリティ運用へ直接統合できている」とコメントしています。
また、コインベースのCISO(最高情報セキュリティ責任者)、ジェフ・ラングルホーファー氏も「生のシグナルと実際の運用判断のギャップを埋めることが最大の課題だ」と指摘しました。
また同氏は「指標だけでなくコンテキストと信頼性を保持したデータモデルを形成できた」とも述べており、先行採用した各社ではすでにインテリジェンスをリアルタイムで活用できる体制が整いつつあるとしています。
横断共有がなければ「毎回ゼロから審査」
北朝鮮系工作員が1社の採用選考で排除された直後に、別の複数企業へ応募していた事例も報告されています。情報共有が行われていない環境では、各社が同じ人物に対する審査を個別に繰り返す状況が生じています。
Crypto ISACによると、加盟企業はAPIを通じてプロファイルデータをリアルタイムで受信できる仕組みを導入しており、ある企業が脅威アクターを検知した場合、その情報は求職者・サードパーティ契約者を問わず他の加盟企業にも即時共有されるとしています。
一方、この情報共有基盤は加盟企業による継続的なデータ提供を前提に運用されており、参加企業数の増加に伴って脅威検知や情報照合の対象範囲も広がっています。
リップルとコインベースという仮想通貨市場の主要企業が先行採用に踏み切ったことで、Crypto ISACへの参加拡大や加盟企業間のデータ連携強化にも関心が広がっています。
Web3企業に潜む北朝鮮工作員
官民連携型の防衛網、整備が本格化
こうした先行採用を皮切りに、仮想通貨(暗号資産)業界をめぐるサイバー脅威への対応は個社単位の防衛から業界横断の情報共有へと移りつつあります。
日本でも金融庁が2026年4月にサイバー対策指針を公表し、コールドウォレットによる管理だけでは利用者資産を守れない時代に入ったとして、規制当局と民間が連携した対応体制の整備を進めています。
北朝鮮系脅威アクターによる採用・調達経路を利用した侵入事例が確認されるなか、Crypto ISACの情報共有基盤がどこまで拡大するかに加え、加盟企業数の増加や継続的なデータ提供体制にも関心が集まっています。
北朝鮮ハッキング関連の注目記事はこちら
Source:Ripple発表 / Crypto ISAC公式発表
サムネイル:AIによる生成画像
