2.8億ドル盗難、半年かけた“信頼構築型”サイバー攻撃の全手口――中小企業が知るべき教訓
⚡忙しい人向けの30秒まとめ
- ✓ 攻撃者は6カ月かけてカンファレンスで対面交流し100万ドルを正規入金して「信頼できる取引先」を演出。VSCode/Cursorでコードリポジトリを開いた瞬間にマルウェアが実行される手口で、クリックも許可ダイアログも不要だった。
- ✓ 北朝鮮系ハッカーUNC4736は2025年だけで20億ドル超を窃取。手法は技術的ハッキングから「人間関係を悪用するソーシャルエンジニアリング」に完全移行済み。
- ✓ 今すぐできる無コスト対策は「VSCode自動更新・Workspace Trustオン」「MFA全アカウント導入」「不審なリポジトリの開封前に社内確認」。セキュリティ費用はIT導入補助金(上限150万円、5月12日締切)で補助可能。
2026年4月1日、暗号資産(仮想通貨)の分散型金融サービス「Drift Protocol」が約2億8,500万ドル(約430億円)のハッキング被害を受けました。攻撃者は半年以上をかけて関係者と対面で信頼関係を築き、開発ツールの脆弱性を利用してシステムに侵入。北朝鮮の国家支援ハッカーグループとの関連が指摘されています。本記事では、この攻撃手法を専門用語の解説を交えて詳しく紹介し、中小企業が自社を守るために何をすべきかを解説します。
事件の概要――DeFi史上最大級の被害
Drift Protocolは、Solanaブロックチェーン上で最大の分散型デリバティブ取引所です。2026年4月1日、攻撃者はわずか数分間で約2億8,500万ドル相当の暗号資産(USDC、SOL、WBTCなど)を流出させました。これは2026年最大のDeFiハッキング事件であり、Solanaエコシステムでは2022年のWormholeブリッジ事件(3億2,600万ドル)に次ぐ規模です。
| 項目 | 内容 |
|---|---|
| 発生日 | 2026年4月1日 |
| 被害額 | 約2億8,500万ドル(約430億円) |
| 攻撃対象 | Drift Protocol(Solana上の分散型取引所) |
| 攻撃準備期間 | 約6ヶ月(2025年秋〜2026年4月) |
| 推定攻撃者 | UNC4736(北朝鮮国家支援グループ) |
| 影響 | TVL(預かり資産)が5.5億ドルから3億ドル未満に急減、DRIFTトークン40%以上下落 |
出典: CCN、Elliptic、TRM Labs、CoinDeskの各報道を基に編集部まとめ
攻撃の全貌――6ヶ月間の「信頼構築」フェーズ
この攻撃が通常のハッキングと決定的に異なるのは、半年以上をかけて「人間関係」を構築した点です。攻撃者は技術的な脆弱性を突く前に、まずターゲット組織の「信頼」を獲得しました。
ステップ1: 接触(2025年秋)
攻撃者グループは、大手暗号資産カンファレンスでDriftの開発者に「クオンツ(定量分析型)取引会社」として接触しました。彼らは技術に精通し、検証可能な経歴を持ち、Driftの運用を熟知していました。最初の対面でTelegramグループが作成され、取引戦略やVault(資金プール)の統合について実質的な会話が始まりました。
ステップ2: 実績構築(2025年12月〜2026年1月)
攻撃者は正規の手続きに従ってDrift上にEcosystem Vault(エコシステム資金プール)を開設し、100万ドル以上の自己資金を入金しました。複数の開発者とワーキングセッションを重ね、詳細な製品に関する質問を行いました。このことで、攻撃者は「正当な取引パートナー」としての実績を積み上げました。
ステップ3: 深化(2026年2月〜3月)
統合の技術的な議論を継続しながら、複数の国際カンファレンスで再び対面。この時点で関係は約半年に及び、Driftの開発者にとって彼らは「一緒に仕事をしてきた知り合い」でした。この間、攻撃者は自社開発中のプロジェクトやツールのリンクを共有していました。
ステップ4: 攻撃実行(2026年4月1日)
攻撃が実行された直後、攻撃者はTelegramのチャット履歴とマルウェアを完全に消去。資金はUSDCとSOLに集約され、一部はEthereumへブリッジされました。攻撃者のウォレットは取引所やブリッジ事業者によってフラグ(凍結対象に指定)されています。
3つの攻撃経路を技術解説
Driftの調査により、3つの攻撃経路が特定されています。いずれも「信頼関係があるからこそ成立した」手法です。
経路1: 悪意あるコードリポジトリのクローン
攻撃者は「Vaultのフロントエンド(ユーザー画面)を構築するため」という名目で、コードリポジトリ(ソースコードの保管場所)のURLを開発者に共有しました。開発者がそのリポジトリをダウンロード(クローン)して開発環境で開いた際に、悪意あるコードが実行された可能性があります。
経路2: VSCode / Cursorの脆弱性を悪用
上記のリポジトリ経路では、VSCodeやCursorといったコードエディタ(開発者がプログラムを書くためのソフトウェア)の既知の脆弱性が悪用された可能性があります。この脆弱性は、ファイルやフォルダを「開くだけ」で、ユーザーに何の通知もなく任意のプログラムが実行されるという深刻なものです。クリックも許可ダイアログも不要で、2025年12月〜2026年2月にかけてセキュリティコミュニティが警告を発していました。
具体的には、VSCodeの「Workspace Trust」機能が無効な状態で、.vscode/tasks.jsonに仕込まれたタスクがフォルダを開いた瞬間に自動実行される仕組みです。また、Cursorでは大文字・小文字の区別ミス(CVE-2025-59944)を突いて設定ファイルを書き換え、遠隔からコードを実行できる脆弱性も存在しました。
経路3: 偽のTestFlightアプリ
別の開発者は、攻撃者が「自社のウォレット製品」として紹介したTestFlightアプリをダウンロードするよう誘導されました。TestFlightとは、Apple社が提供するiOSアプリのベータテスト配布サービスです。正規の配布経路を使うことで、被害者に「まともなアプリだ」と思わせる巧妙な手口です。
専門用語で理解する攻撃の仕組み
この事件を正しく理解するために、登場する専門用語を整理します。
| 用語 | 意味 |
|---|---|
| ソーシャルエンジニアリング | 技術的な手段ではなく、人間の心理や信頼関係を悪用して情報やアクセス権を盗み出す手法。今回は「半年間の対面交流」がこれにあたる |
| APT(高度持続的脅威) | Advanced Persistent Threatの略。国家の支援を受け、長期間にわたり特定の標的を狙い続ける攻撃グループやその手法のこと |
| マルチシグ | Multi-Signature(複数署名)の略。資金の移動に複数人の承認が必要な仕組み。Driftは5人中2人の署名で取引可能だった |
| DeFi(分散型金融) | Decentralized Financeの略。ブロックチェーン上で銀行などの仲介者なしに金融サービスを提供する仕組み |
| Durable Nonce | Solanaの機能で、トランザクション(取引)を事前に署名しておき、後から実行できる仕組み。今回は攻撃者がこれを悪用し、数週間前に署名した取引を一気に実行した |
| TestFlight | Apple社が提供するiOSアプリのベータテスト配布プラットフォーム。正式リリース前のアプリを招待制で配布でき、App Storeの審査を経ないため悪用されやすい |
| VSCode / Cursor | プログラマーが使うコードエディタ。VSCodeはMicrosoft製で世界シェア1位。CursorはAI機能を搭載した派生エディタ。いずれも脆弱性が指摘されていた |
| UNC4736 / AppleJeus / Citrine Sleet | 同一の北朝鮮系ハッカーグループに対する、セキュリティ企業ごとの呼称。Mandiant社が「UNC4736」、Microsoft社が「Citrine Sleet」と呼ぶ |
犯人は誰か――北朝鮮の国家支援ハッカー
セキュリティ調査チーム「SEAL 911」の分析により、この攻撃はUNC4736(北朝鮮の偵察総局傘下のハッカーグループ)による犯行と「中〜高確信度」で評価されています。
根拠は2つあります。第一に、オンチェーン(ブロックチェーン上の資金の流れ)の分析で、今回の攻撃に使われた資金が、2024年10月のRadiant Capitalハッキング(5,000万ドル被害、Mandiant社がUNC4736と帰属)の攻撃者ウォレットに遡れること。第二に、運用面での類似性として、使われた偽の身元や活動パターンが過去のDPRK(北朝鮮)関連の作戦と重複していることです。
注目すべき点は、カンファレンスで対面した人物は北朝鮮国籍ではなかったことです。北朝鮮のハッカーグループは、第三者の仲介者を使って対面での信頼構築を行うことが知られています。
Ellipticの報告によれば、北朝鮮関連のハッカーは2025年だけで20億ドル超(約3,000億円)の暗号資産を窃取しており、その手法は「技術的な脆弱性の悪用」から「人間関係を利用するソーシャルエンジニアリング」へとシフトしています。Driftの事件はその最新事例です。
中小企業が「対岸の火事」にできない理由
「暗号資産やDeFiとは無関係だから自社には関係ない」と思うかもしれません。しかし、この攻撃で使われた手法は暗号資産に限った話ではありません。
1. 「信頼できる取引先」が攻撃者になりうる
今回の攻撃者は、半年間にわたって正当なビジネスパートナーとして振る舞いました。名刺交換、対面ミーティング、実際の取引――すべてが「本物」に見えました。中小企業でも、新規取引先からの「便利なツール」「共同開発用のソフト」をインストールする場面は珍しくありません。
2. 開発ツールの脆弱性は全業種に影響
VSCodeは世界で最も使われているコードエディタです。ファイルを開くだけでマルウェアに感染する脆弱性は、Webサイトを自社開発・運用している中小企業にも直接影響します。社内のエンジニアやIT担当者が使用するツールのアップデートは、経営上のリスク管理そのものです。
3. 国家支援ハッカーの標的は大企業だけではない
北朝鮮のハッカーグループは「金銭目的」で活動しており、規模の大小を問わず狙います。特にサプライチェーン攻撃(取引先経由の侵入)では、セキュリティ体制が手薄な中小企業が「踏み台」として狙われるケースが増えています。IPA(情報処理推進機構)も「サプライチェーンの弱点を悪用した攻撃」を情報セキュリティ10大脅威の第2位に位置づけています(2023年以降4年連続)。
セキュリティ対策に使える補助金・助成金
サイバーセキュリティ対策には費用がかかりますが、中小企業向けの補助金・助成金を活用できます。
| 制度名 | 上限額 | 対象 |
|---|---|---|
| デジタル化・AI導入補助金2026(セキュリティ対策推進枠) | 150万円 | 全国の中小企業。セキュリティ対策ツール導入費用を補助 |
| 東京都サイバーセキュリティ対策促進助成金 | 1,500万円 | 都内で1年以上営業する中小企業。SECURITY ACTION二つ星宣言が必須 |
| 小規模事業者持続化補助金(一般型) | 50万円 | 全国の小規模事業者。IT環境整備費用として活用可能 |
特に「デジタル化・AI導入補助金2026」のセキュリティ対策推進枠は、ウイルス対策ソフト、ファイアウォール、端末管理ツールなど幅広いセキュリティ製品が対象です。申請にはIPAの「SECURITY ACTION」宣言が必要ですので、まだの方はまず宣言から始めましょう。
経営者が今日から始めるべきアクション
- ✓ 開発ツールを最新版に更新――VSCode、Cursor等のエディタは常に最新バージョンを使用。自動更新を有効に
- ✓ 「Workspace Trust」機能を有効化――VSCodeの設定で信頼されていないフォルダからの自動実行を防止
- ✓ 不審なリポジトリ・アプリを安易に開かない――取引先から共有されたコードやアプリでも、社内のセキュリティ担当に確認してから実行
- ✓ アクセス権限の棚卸し――誰がどのシステムにアクセスできるかを定期的に見直し。退職者のアカウント削除を徹底
- ✓ 多要素認証(MFA)の全社導入――パスワードだけでなく、スマートフォンの認証アプリ等を組み合わせた認証を必須に
- ✓ SECURITY ACTION宣言を行い、補助金を申請――セキュリティ対策の費用は補助金で軽減。まずIPAのSECURITY ACTION制度に登録
- ✓ 社員へのセキュリティ教育――「信頼できる相手からの依頼でも、ソフトウェアのインストールは慎重に」という意識を全社で共有
関連コンテンツ
インボイス対応で使える補助金は?IT導入補助金・持続化補助金を比較【2026年版】
インボイス制度対応で活用できる補助金3制度(IT導入補助金・持続化補助金・簡易課税)を比較解説。事業者タイプ別の最適制度診断や補助対象になりやすい費用も紹介します。
詳しく見る →CO2削減・再エネ導入で使える補助金
カーボンニュートラル・脱炭素補助金|CO2削減・再生可能エネルギー導入ガイドについて詳しく解説します。
詳しく見る →IT導入 × ものづくり補助金の併用で補助額を最大化
IT導入補助金とものづくり補助金の併用戦略|ダブル採択で最大補助額を引き出すコツについて詳しく解説します。
詳しく見る →持続化補助金とは?対象・補助額と申請の流れ
小規模事業者持続化補助金とは|対象・補助額・申請方法を徹底解説について詳しく解説します。
詳しく見る →この記事を書いた人
あなたに合った補助金を探してみましょう
補助金を検索する無料会員登録でAI検索が使えます
無料会員登録この記事をシェア