史上最大15億ドル窃盗から12分間の456億円強奪まで——北朝鮮は今、世界最強のサイバー犯罪国家である。
【前編】北朝鮮 世界最強サイバー犯罪国家の全貌
国家ぐるみの「デジタル強盗団」——標的・手口・被害ランキングを徹底解剖
2026年4月30日
発行元: 一般財団法人 日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
エグゼクティブサマリー
· 北朝鮮のハッカー集団ラザルスグループは2025年だけで約20億ドル(約3,000億円)の暗号資産を窃取し、累計被害額は67億5,000万ドルを超えた
· 2026年4月には約12分間でDrift Protocolから2億8,500万ドル、同月KelpDAOから2億9,000万ドルを奪取するなど、攻撃ペースはさらに加速している
· 標的国の被害額ランキングでは、UAE(Bybit $15億)が1位、米国が2位、日本が3位(Coincheck $5.3億)に位置する
· 攻撃手法は「技術的脆弱性の悪用」から「人間を標的にしたソーシャルエンジニアリング」へと軸足を移しており、防御の難度が飛躍的に高まっている
· 北朝鮮は新たなmacOS専用マルウェア「Mach-O Man」を展開し、暗号資産・フィンテック企業の幹部を標的とした個人攻撃を本格化させている
· 日本は「頻度では4位」だが「被害額では世界3位」という深刻な標的国であり、CoincheckおよびGincoがDMM Bitcoin事件の『踏み台』となった事実が示す通り、間接的な被害連鎖リスクも高い
はじめに――「デジタル強盗団」の正体
2026年4月18日土曜日の午後、分散型金融プラットフォームKelpDAOのシステムから、約2億9,000万ドル相当の暗号資産が流出した。数日後、ブロックチェーン分析企業が犯行グループを特定した。平壌を拠点とする北朝鮮国家公認のハッカー集団、通称「ラザルスグループ」である。
これは孤立した事件ではない。同月には別の分散型取引所Drift Protocolからも2億8,500万ドルが奪われており、わずか1ヶ月で北朝鮮は約5億7,500万ドルを窃取した計算になる。Chainalysisの分析によれば、北朝鮮のサイバー部隊による暗号資産の累計窃取額はすでに67億5,000万ドルを突破し、2026年に入ってからも前年を上回るペースで被害が拡大している。
北朝鮮のサイバー攻撃は今や単なる「犯罪行為」ではない。国際制裁を回避し、ミサイルや核開発に必要な外貨を調達する「国家の生存戦略」であり、世界の金融インフラを標的にした組織的な経済戦争である。本稿では、この脅威の実態を最新事件から被害ランキング、手口の進化まで体系的に解説する。
第1章 最新5大事件(2025〜2026年)
事件① KelpDAO ハッキング(2026年4月)―― 約2億9,000万ドル
2026年4月18日、DeFiプラットフォームKelpDAOが攻撃を受け、イーサリアム連動トークンが大量流出した。LayerZeroのブロックチェーンサーバーが侵害され、単一検証者の設定の盲点を突く巧妙な攻撃だった。ブロックチェーン分析企業TRM Labsは北朝鮮のTraderTraitorサブユニットによる犯行と特定している。事件後72時間でArbitrumが約7,100万ドル相当を凍結したが、残余の1億7,500万ドル相当のETHはすでに移動が完了していた。
事件② Drift Protocol ソーシャルエンジニアリング攻撃(2026年4月)―― 約2億8,500万ドル
Solanaブロックチェーン上の最大級分散型先物取引所Driftが、6ヶ月間にわたる潜伏侵入を経て攻撃を受けた。実行時間はわずか12分間。攻撃者は2025年12月から偽のエコシステム事業者として内部に溶け込み、100万ドルの自己資金を投入して信頼を築いた後、ガバナンスの盲点を突いて資金を奪取した。高度な忍耐力と計画性を示す事例として業界に衝撃を与えた。
事件③ 「Mach-O Man」マルウェアキャンペーン(2026年4月〜継続中)
ラザルスグループはmacOSを標的とした新キャンペーン「Mach-O Man」を展開中である。「ClickFix」と呼ばれるソーシャルエンジニアリング手法で偽のオンライン会議へ誘い込み、被害者自身にMacターミナルへの悪意あるコマンドを入力させ、企業の金融システムへのアクセスを奪う。このマルウェアは実行後に自己消去する機能を持ち、被害の検出・追跡が極めて困難である。フィンテック・暗号資産企業の幹部が主な標的となっている。
事件④ Bybit 史上最大の暗号資産窃盗(2025年2月)―― 約15億ドル
ドバイを拠点とする仮想通貨取引所Bybitから、約40万ETH(当時約15億ドル相当)が盗まれた。攻撃者はサードパーティのウォレットツール「Safe{Wallet}」開発者のMacBookをマルウェアに感染させ、そこを起点にBybitの署名者を騙して偽トランザクションを承認させた。暗号資産史上最大の単一ハッキング事件として記録されており、FBIはTraderTraitorの犯行と公式認定した。
事件⑤ Stonefly による Medusa ランサムウェア攻撃(2025年後半〜2026年)
ラザルスのサブグループ「Stonefly(別名Andariel)」は2025年後半から、医療・非営利機関を標的にMedusaランサムウェアを展開している。米国のメンタルヘルス系非営利団体や自閉症児教育施設が被害を受け、平均身代金要求額は約26万ドル。純粋な資金調達目的だけでなく、医療・社会インフラを標的にした新たな戦略転換を示す事例として注目される。
第2章 標的ランキング
■ 被害額順:標的国 TOP 5
| 順位 | 国 | 被害額概算 | 代表事件 |
| 1位 | 🇦🇪 UAE | 約$15億+ | Bybit(2025年) |
| 2位 | 🇺🇸 アメリカ | 約$8億+ | Ronin $6.25億、Atomic Wallet $1億 他 |
| 3位 | 🇯🇵 日本 | 約$5.9億 | Coincheck $5.3億(2018年)、Ginco(2024年) |
| 4位 | 🇮🇳 インド | 約$2.35億 | WazirX(2024年) |
| 5位 | 🇰🇷 韓国 | 約$1.5億+ | Upbit $3,000万(2025年)、Bithumb 他 |
※頻度順では米国1位、韓国2位、UAE3位、日本4位となる
※DMM Bitcoin約$3.08億(2024年、TraderTraitor公式認定)は本表に未反映。これを含む場合、日本の合計被害額および順位は変動する。またCoincheckの北朝鮮帰属は公式認定未確認。
■ 被害額順:標的企業 TOP 5
| 順位 | 企業 | 被害額 | 年 | 所在国 |
| 1位 | Bybit | $15億 | 2025 | 🇦🇪 UAE |
| 2位 | Ronin Network(Axie Infinity) | $6.25億 | 2022 | 🇺🇸 米国 |
| 3位 | Coincheck | $5.3億 | 2018 | 🇯🇵 日本 |
| 4位 | KelpDAO | $2.9億 | 2026 | 🇺🇸 米国 |
| 5位 | Drift Protocol | $2.85億 | 2026 | 🇺🇸 米国 |
■ 標的個人・職種 TOP 5(被害額・影響度順)
| 順位 | 標的属性 | 主な手口 |
| 1位 | DeFi・CEX幹部 | 偽会議招待、ClickFix、Mach-O Manマルウェア |
| 2位 | Web3エンジニア(内部潜入型) | 偽採用試験・LinkedIn経由マルウェア送付(Ginco事例) |
| 3位 | セキュリティ研究者 | LinkedIn/GitHub/Twitterで偽研究者に扮して接触 |
| 4位 | 一般仮想通貨ユーザー | Atomic Wallet利用者から$1億(2023年)、個人ウォレット狙い増加 |
| 5位 | 製薬・ワクチン研究者 | AstraZeneca等への機密情報目的スピアフィッシング |
第3章 手口の進化——「外から破る」から「中から崩す」へ
ラザルスグループの攻撃手法は過去10年で劇的に進化した。初期(2009〜2016年)はDDoS攻撃やマルウェアによる技術的侵入が中心だったが、現在は「人間」を最大の脆弱点として標的にするアプローチへシフトしている。
フェーズ1(〜2016年):金融SWIFTシステムの悪用
バングラデシュ中央銀行事件(2016年)では、SWIFT国際銀行間送金システムを悪用して8,100万ドルを奪取。技術的精巧さで世界に衝撃を与えた。
フェーズ2(2017〜2022年):暗号資産取引所・DeFiへの移行
WannaCryランサムウェア(2017年)、Coincheck(2018年)、Ronin Network(2022年)など大規模ハッキングが続発。暗号資産の匿名性と不可逆性が制裁回避手段として最適だと気づいた。
フェーズ3(2023〜現在):人間への浸透・ソーシャルエンジニアリングの高度化
最新の攻撃で最も特徴的なのは、数ヶ月から半年かけて標的との関係を構築した後、信頼関係を武器に内部から破壊する手法である。Drift Protocol攻撃では偽の事業パートナーとして6ヶ月間潜伏し、100万ドルの自己資金まで投入して信頼を勝ち取った。Ginco事件ではLinkedInで偽のリクルーターが従業員に採用前試験を装ったPythonスクリプトを送付し、ウォレット管理システムへのアクセス権を奪取した。
このフェーズ3における最大の特徴は、技術的防御では対処できない「人間の信頼」を悪用する点にある。いかに優れたファイアウォールも、内部の信頼できる社員を装った攻撃には無力である。
第4章 日本への特記事項
日本は北朝鮮のハッキングにおいて、頻度こそ米国・韓国に劣るが、「1件あたりの被害額の深刻さ」と「踏み台リスク」という2つの点で特別な注意を要する標的国である。
Coincheck事件(2018年)
約5億3,000万ドルの流出は今なお世界的大型事件に位置づけられ、被害額ランキングで日本を世界3位の標的国に押し上げている。
Ginco事件(2024年)
警察庁・金融庁が2024年12月に公表した調査によれば、北朝鮮のTraderTraitorがLinkedInで偽のリクルーターとして日本のウォレット会社「Ginco」従業員に接触。採用前試験を装った悪意あるPythonスクリプトを実行させることで内部システムへのアクセス権を奪取した。この侵害が、その後のDMM Bitcoin事件の足がかりとなったことが判明している。日本企業が『踏み台』となって大規模な暗号資産窃盗が実現した構造になっている。
政府の対応
2022年10月、警察庁・金融庁が連名でラザルスを名指しした注意喚起を発出。2025年5月にはサイバー防衛法制を改正、2025年7月にはNISCを再編して「国家サイバー統括室(NCO)」を創設するなど、対応の強化を急いでいる。ただし2027年の完全施行まで空白期間が残る。
おわりに――そして脅威は続く
北朝鮮のサイバー攻撃は「事件」ではなく「継続的な戦争状態」である。2026年4月だけで2件・計約5億7,500万ドルが奪われ、同時に新型マルウェアが展開されている現状は、攻撃の多正面化・高速化を如実に示している。
防御側に求められるのは、技術的なセキュリティ強化だけでなく、「人間」を守るための組織文化と採用プロセスの見直しである。偽の採用担当者、偽の事業パートナー、偽のセキュリティ研究者——次の攻撃はすでに始まっている可能性が高い。
【後編予告】
2026年4月、わずか12分で約290億円を奪ったKelpDAO事件、そして同月のDrift Protocol攻撃——北朝鮮は盗んだ外貨をどこに使い、ロシア・中国・イランとどうサイバー同盟を結んでいるのか。「暗号資産犯罪」を超えた地政学的脅威の全貌を後編で解説する。
日本への示唆
1. 【暗号資産業界への直接リスク】
日本は被害額ベースで世界3位の標的国。Coincheckの前例があるにもかかわらず、業界全体のセキュリティ水準は依然として脆弱な部分が残る。
2. 【「踏み台」リスクへの認識不足】
Ginco事件が示すように、直接の攻撃対象でなくても「踏み台」として世界規模の犯罪に加担させられるリスクがある。日本企業のサプライチェーンセキュリティの見直しが急務である。
3. 【採用プロセスの脆弱性】
LinkedInを通じた偽採用担当者による接触は日本でも確認されている。特に暗号資産・Web3・防衛関連企業における採用審査の強化が必要である。
4. 【政府対応の加速】
2025年のサイバー防衛法改正とNCO創設は前進だが、2027年の完全施行まで空白期間が存在する。民間との情報共有体制の早期整備が求められる。
5. 【地政学的リスクとしての認識転換】
北朝鮮のサイバー攻撃を「犯罪」ではなく「国家安全保障上の脅威」として位置づける政策的転換が、後編で詳述するロシア・中国との連携構造を踏まえると一層重要性を増す。
参考資料
· Chainalysis, 2025 Crypto Crime Mid-Year Update, 2025年7月
· Chainalysis, 2026 Crypto Crime Report(抄録), 2025年12月
· FBI / CISA / NSA, Cybersecurity Advisory AA24-207A: North Korea Cyber Group Conducts Global Espionage Campaign, 2024年7月25日
· 警察庁・金融庁, 北朝鮮TraderTraitorによるサイバー攻撃に関する注意喚起, 2024年12月24日
· South China Morning Post, North Korea’s Lazarus suspected of stealing US$290 million in KelpDAO cyberattack, 2026年4月22日
· CoinDesk, Lazarus Group Has Become “Especially Dangerous” With New Mach-O Man Attack, 2026年4月22日
· TRM Labs, North Korea and the Industrialization of Cryptocurrency Theft, 2025年
· Hacken, Inside Lazarus Group: Analyzing North Korea’s Most Infamous Crypto Hacks, 2025年7月
· CSIS, Hidden Enablers: Third Countries in North Korea’s Cyber Playbook, 2025年7月
· U.S. Department of Treasury, Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups, 2019年9月13日
· NCSC (UK), NCSC and partners issue warning over North Korean state-sponsored cyber campaign, 2024年7月
用語集
【ラザルスグループ(Lazarus Group)】
北朝鮮の軍事情報機関「偵察総局(RGB)」傘下の国家支援型ハッカー集団の総称。APT38、Hidden Cobra、Diamond Sleetなど複数のサブグループを含む。2009年から活動し、金融機関・暗号資産取引所を主な標的とする。
【TraderTraitor】
ラザルスグループのサブユニット。偽の採用面接や求人を通じてWeb3・暗号資産企業の内部に侵入することに特化しており、FBIが2025年2月のBybit事件の実行主体として公式認定した。
【Andariel(別名:Stonefly、Onyx Sleet)】
RGBの第3局傘下のサブグループ。当初は韓国政府・軍への諜報活動が主体だったが、近年はランサムウェアを使った医療・非営利機関への恐喝活動も行っている。
【DeFi(分散型金融)】
ブロックチェーン技術を基盤に、銀行などの仲介機関を介さずに金融サービスを提供する仕組み。スマートコントラクトの脆弱性やブリッジが攻撃対象となることが多い。
【ソーシャルエンジニアリング】
技術的手段ではなく、人間の心理や信頼関係を悪用して機密情報やシステムアクセスを引き出す攻撃手法。偽の採用担当者、偽のビジネスパートナー、偽のセキュリティ研究者に扮するなどの手口がある。
【ClickFix】
正規のウェブサービスに見せかけたページを通じ、被害者自身にターミナルへ悪意あるコマンドを貼り付けさせる最新のソーシャルエンジニアリング手法。
【スピアフィッシング(Spear Phishing)】
特定の個人・組織を精密に調査した上で行う標的型詐欺メール攻撃。
【コールドウォレット(Cold Wallet)】
インターネットに常時接続していない暗号資産の保管方式。オンラインウォレットより安全とされるが、署名プロセスの人的脆弱性を突かれると突破される。
【Safe{Wallet}】
イーサリアム系の主要マルチシグウォレット管理ツール。Bybit事件では同ツールの開発者端末が侵害され、15億ドル窃盗の起点となった。
【マルチシグ(Multi-Signature)】
1つのトランザクションを承認するために複数の秘密鍵による署名を必要とする仕組み。ラザルスはソーシャルエンジニアリングでこの防御を突破した。
─── 前編 完 ───
舩山 美保 理事・主任研究員
国際政治経済学・心理学を基盤にサイバーセキュリティインテリジェンスを専門とする。ISO/IEC JTC1 SC28副国際幹事を歴任し、国際規格の策定プロセスを主導した経験を持つ。現在はAIリスク・情報戦・危機管理政策を横断的に研究している。
Part 1: North Korea: The Complete Picture of the World’s Most Powerful Cyber Crime State
From the Largest Heist in History at $1.5 Billion to a $285 Million Theft in 12 Minutes — A Comprehensive Analysis of the State-Sponsored “Digital Robbery Gang”: Targets, Methods, and Damage Rankings
Published: April 30, 2026
Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)
Author: Miho Funayama
Executive Summary
- The Lazarus Group, North Korea’s hacker collective, stole approximately $2 billion (approximately ¥300 billion) in cryptocurrency in 2025 alone, with cumulative damage exceeding $6.75 billion
- In April 2026, the pace of attacks accelerated further: $285 million was stolen from Drift Protocol in approximately 12 minutes, and $290 million from KelpDAO in the same month
- In the country damage ranking by amount, UAE (Bybit, $1.5 billion) ranks 1st, the United States 2nd, and Japan 3rd (Coincheck, $530 million)
- Attack methods have shifted from “exploiting technical vulnerabilities” to “social engineering targeting humans,” dramatically raising the difficulty of defense
- North Korea has deployed a new macOS-specific malware called “Mach-O Man,” escalating targeted personal attacks against executives at cryptocurrency and fintech companies
- Japan is a serious target nation — ranked “4th in frequency” but “3rd in the world by damage amount” — and the high risk of indirect damage cascades is demonstrated by the fact that Coincheck and Ginco served as ‘stepping stones’ in the DMM Bitcoin incident
Introduction — The True Nature of the “Digital Robbery Gang”
On Saturday afternoon, April 18, 2026, approximately $290 million worth of cryptocurrency drained from the systems of decentralized finance platform KelpDAO. Days later, a blockchain analytics firm identified the perpetrators: the Lazarus Group, a state-sanctioned hacker collective based in Pyongyang.
This was not an isolated incident. In the same month, another $285 million was stolen from Drift Protocol, a major decentralized derivatives exchange — meaning North Korea stole approximately $575 million in a single month. According to Chainalysis analysis, the cumulative amount of cryptocurrency stolen by North Korea’s cyber units has already surpassed $6.75 billion, and damage is expanding at a pace exceeding the previous year even into 2026.
North Korea’s cyberattacks are no longer simply “criminal acts.” They are a “national survival strategy” for evading international sanctions and procuring the foreign currency needed for missile and nuclear development — an organized economic war targeting the world’s financial infrastructure. This report systematically explains the reality of this threat, from the latest incidents to damage rankings and the evolution of attack methods.
Chapter 1: The Five Major Recent Incidents (2025–2026)
Incident ① KelpDAO Hack (April 2026) — Approximately $290 Million
On April 18, 2026, DeFi platform KelpDAO was attacked, with a large volume of Ethereum-linked tokens draining from the system. LayerZero’s blockchain server was compromised, in a sophisticated attack that exploited blind spots in single-validator configurations. Blockchain analytics firm TRM Labs identified the perpetrators as North Korea’s TraderTraitor subunit. Within 72 hours of the incident, Arbitrum froze approximately $71 million worth of assets, but the remaining approximately $175 million worth of ETH had already been moved.
Incident ② Drift Protocol Social Engineering Attack (April 2026) — Approximately $285 Million
Drift, one of the largest decentralized futures exchanges on the Solana blockchain, was attacked after a six-month covert infiltration. Execution time: just 12 minutes. The attackers blended into the organization from December 2025 as a fictitious ecosystem partner, investing $1 million of their own funds to build trust, before exploiting blind spots in governance to seize the funds. The incident sent shockwaves through the industry as a case demonstrating extraordinary patience and planning.
Incident ③ “Mach-O Man” Malware Campaign (April 2026 — Ongoing)
The Lazarus Group is conducting a new campaign called “Mach-O Man” targeting macOS. Using a social engineering technique called “ClickFix,” victims are lured into fake online meetings and induced to enter malicious commands into the Mac terminal themselves, allowing attackers to seize access to corporate financial systems. This malware has a self-deletion function after execution, making detection and tracking of damage extremely difficult. Executives at fintech and cryptocurrency companies are the primary targets.
Incident ④ Bybit — The Largest Cryptocurrency Theft in History (February 2025) — Approximately $1.5 Billion
Approximately 400,000 ETH (worth approximately $1.5 billion at the time) was stolen from Bybit, a Dubai-based cryptocurrency exchange. The attackers infected the MacBook of a developer at third-party wallet tool “Safe{Wallet}” with malware, then used that as a base to trick Bybit’s signatories into approving a fraudulent transaction. Recorded as the single largest hack in cryptocurrency history, the FBI officially attributed it to TraderTraitor.
Incident ⑤ Stonefly’s Medusa Ransomware Attacks (Late 2025–2026)
The Lazarus subgroup “Stonefly” (also known as Andariel) has been deploying Medusa ransomware against medical and non-profit institutions since the second half of 2025. U.S. mental health non-profits and autism education facilities have been victimized, with an average ransom demand of approximately $260,000. The incidents attract attention as examples of a new strategic shift targeting medical and social infrastructure, not purely for financial purposes.
Chapter 2: Target Rankings
By Damage Amount: Top 5 Target Countries
| Rank | Country | Estimated Damage | Representative Incident |
|---|---|---|---|
| 1st | 🇦🇪 UAE | ~$1.5B+ | Bybit (2025) |
| 2nd | 🇺🇸 United States | ~$800M+ | Ronin $625M, Atomic Wallet $100M, others |
| 3rd | 🇯🇵 Japan | ~$590M | Coincheck $530M (2018), Ginco (2024) |
| 4th | 🇮🇳 India | ~$235M | WazirX (2024) |
| 5th | 🇰🇷 South Korea | ~$150M+ | Upbit $30M (2025), Bithumb, others |
By frequency: United States 1st, South Korea 2nd, UAE 3rd, Japan 4th
※ DMM Bitcoin (approx. $308 million, 2024, officially attributed to TraderTraitor) is not reflected in this table. If included, Japan’s total estimated damage and ranking may change. Note also that North Korea’s attribution for the Coincheck incident has not been officially confirmed.
By Damage Amount: Top 5 Target Companies
| Rank | Company | Damage | Year | Country |
|---|---|---|---|---|
| 1st | Bybit | $1.5B | 2025 | 🇦🇪 UAE |
| 2nd | Ronin Network (Axie Infinity) | $625M | 2022 | 🇺🇸 US |
| 3rd | Coincheck | $530M | 2018 | 🇯🇵 Japan |
| 4th | KelpDAO | $290M | 2026 | 🇺🇸 US |
| 5th | Drift Protocol | $285M | 2026 | 🇺🇸 US |
By Damage Amount and Impact: Top 5 Individual Target Categories
| Rank | Target Profile | Primary Attack Method |
|---|---|---|
| 1st | DeFi/CEX executives | Fake meeting invitations, ClickFix, Mach-O Man malware |
| 2nd | Web3 engineers (internal infiltration) | Fake recruitment tests, LinkedIn-delivered malware (Ginco case) |
| 3rd | Security researchers | Fake researchers approaching via LinkedIn/GitHub/Twitter |
| 4th | General cryptocurrency users | $100M from Atomic Wallet users (2023), increasing individual wallet targeting |
| 5th | Pharmaceutical/vaccine researchers | Spear phishing targeting AstraZeneca and others for confidential information |
Chapter 3: The Evolution of Attack Methods — From “Breaking in from Outside” to “Collapsing from Within”
The Lazarus Group’s attack methods have evolved dramatically over the past decade. In the early phase (2009–2016), technically sophisticated intrusions via DDoS attacks and malware were the core approach, but currently the strategy has shifted to targeting “humans” as the greatest vulnerability.
Phase 1 (~2016): Exploitation of Financial SWIFT Systems
In the Bangladesh Bank incident (2016), the SWIFT international bank transfer system was exploited to steal $81 million — stunning the world with its technical sophistication.
Phase 2 (2017–2022): Migration to Cryptocurrency Exchanges and DeFi
Large-scale hacks continued in succession: WannaCry ransomware (2017), Coincheck (2018), Ronin Network (2022). North Korea recognized that cryptocurrency’s anonymity and irreversibility made it the optimal means of evading sanctions.
Phase 3 (2023–Present): Human Infiltration and Advanced Social Engineering
The most distinctive feature of the latest attacks is a method of building a relationship with the target over months to half a year, then using that trust relationship as a weapon to destroy from within. In the Drift Protocol attack, the attackers lurked for six months as a fictitious business partner, even investing $1 million of their own funds to win trust. In the Ginco incident, a fake recruiter on LinkedIn sent an employee a Python script disguised as a pre-employment test, seizing access to the wallet management system.
The defining characteristic of Phase 3 is the exploitation of “human trust” that cannot be addressed through technical defenses. Even the most sophisticated firewall is powerless against an attack disguised as a trusted internal employee.
Chapter 4: Special Notes on Japan
Japan requires special attention as a target nation in two respects — “severity of damage per incident” and “stepping-stone risk” — even though it lags behind the United States and South Korea in frequency of attacks.
The Coincheck Incident (2018)
The outflow of approximately $530 million still ranks among the world’s major incidents, pushing Japan to 3rd place globally in the country damage ranking.
The Ginco Incident (2024)
According to an investigation announced jointly by the National Police Agency and Financial Services Agency in December 2024, North Korea’s TraderTraitor contacted an employee of Japanese wallet company “Ginco” on LinkedIn posing as a fake recruiter. By having the employee execute a malicious Python script disguised as a pre-employment test, they seized access to internal systems. It has since been established that this compromise served as a foothold for the subsequent DMM Bitcoin theft. The structure is one in which a Japanese company was used as a ‘stepping stone’ to realize a large-scale cryptocurrency theft..
Government Response
In October 2022, the National Police Agency and Financial Services Agency jointly issued a warning explicitly naming Lazarus. In May 2025, the cyber defense legal framework was revised; in July 2025, NISC was reorganized to establish the “National Cybersecurity Office (NCO),” with response strengthening being rapidly pursued. However, a gap period remains until full implementation in 2027.
Conclusion — And the Threat Continues
North Korea’s cyberattacks are not “incidents” — they are a “continuous state of war.” The current situation, in which two incidents totaling approximately $575 million were stolen in April 2026 alone while new malware is simultaneously being deployed, clearly demonstrates the multi-front acceleration of attacks.
What is required on the defensive side is not only technical security reinforcement, but a review of organizational culture and hiring processes to protect “humans.” Fake recruiters, fake business partners, fake security researchers — the next attack has likely already begun.
[Preview of Part 2]
In April 2026, the KelpDAO incident — in which approximately ¥29 billion was stolen in just 12 minutes — and the Drift Protocol attack in the same month: where does North Korea use the foreign currency it steals, and how is it forming a cyber alliance with Russia, China, and Iran? Part 2 will explain the full picture of a geopolitical threat that goes beyond “cryptocurrency crime.”
Implications for Japan
1. Direct Risk to the Cryptocurrency Industry Japan is the 3rd largest target nation by damage amount. Despite the precedent of Coincheck, vulnerabilities remain in the overall security level of the industry.
2. Insufficient Awareness of “Stepping-Stone” Risk As the Ginco incident demonstrates, even companies that are not direct attack targets can be made complicit in global-scale crime as “stepping stones.” Urgent review of Japanese companies’ supply chain security is needed.
3. Vulnerability in Hiring Processes Contact by fake recruiters via LinkedIn has been confirmed in Japan as well. Particularly in cryptocurrency, Web3, and defense-related companies, strengthening hiring screening is necessary.
4. Acceleration of Government Response The 2025 cyber defense legal reform and NCO establishment are progress, but a gap period exists until full implementation in 2027. Early development of information-sharing frameworks with the private sector is required.
5. Policy Shift in Perception to Geopolitical Risk Repositioning North Korea’s cyberattacks from “crime” to “national security threat” becomes even more important in light of the cooperative structure with Russia and China detailed in Part 2.
References
- Chainalysis, 2025 Crypto Crime Mid-Year Update, July 2025
- Chainalysis, 2026 Crypto Crime Report (excerpt), December 2025
- FBI / CISA / NSA, Cybersecurity Advisory AA24-207A: North Korea Cyber Group Conducts Global Espionage Campaign, July 25, 2024
- National Police Agency / Financial Services Agency, Warning on Cyberattacks by North Korea’s TraderTraitor, December 24, 2024
- South China Morning Post, North Korea’s Lazarus suspected of stealing US$290 million in KelpDAO cyberattack, April 22, 2026
- CoinDesk, Lazarus Group Has Become “Especially Dangerous” With New Mach-O Man Attack, April 22, 2026
- TRM Labs, North Korea and the Industrialization of Cryptocurrency Theft, 2025
- Hacken, Inside Lazarus Group: Analyzing North Korea’s Most Infamous Crypto Hacks, July 2025
- CSIS, Hidden Enablers: Third Countries in North Korea’s Cyber Playbook, July 2025
- U.S. Department of Treasury, Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups, September 13, 2019
- NCSC (UK), NCSC and partners issue warning over North Korean state-sponsored cyber campaign, July 2024
Glossary
Lazarus Group The collective name for state-sponsored hacker groups under North Korea’s military intelligence agency, the Reconnaissance General Bureau (RGB). Includes multiple subgroups such as APT38, Hidden Cobra, and Diamond Sleet. Active since 2009, primarily targeting financial institutions and cryptocurrency exchanges.
TraderTraitor A Lazarus Group subunit specializing in infiltrating Web3 and cryptocurrency companies through fake job interviews and recruitment. Officially attributed by the FBI as the perpetrator of the February 2025 Bybit incident.
Andariel (also known as: Stonefly, Onyx Sleet) A subgroup under the 3rd Bureau of the RGB. Initially focused primarily on espionage targeting the South Korean government and military, in recent years it has also conducted ransomware-based extortion against medical and non-profit institutions.
DeFi (Decentralized Finance) A system for providing financial services based on blockchain technology without intermediaries such as banks. Smart contract vulnerabilities and bridges are frequently targeted.
Social Engineering Attack methods that exploit human psychology and trust relationships — rather than technical means — to extract confidential information or system access. Tactics include posing as fake recruiters, fake business partners, and fake security researchers.
ClickFix A cutting-edge social engineering technique in which victims are induced to paste malicious commands into a terminal themselves, through pages disguised as legitimate web services.
Spear Phishing Targeted fraudulent email attacks conducted after precise investigation of specific individuals or organizations.
Cold Wallet A cryptocurrency storage method not constantly connected to the internet. Considered more secure than online wallets, but can be breached when human vulnerabilities in the signing process are exploited.
Safe{Wallet} A major multi-signature wallet management tool for the Ethereum ecosystem. In the Bybit incident, a developer’s terminal for this tool was compromised, serving as the starting point for the $1.5 billion theft.
Multi-Signature (Multisig) A mechanism requiring signatures from multiple private keys to approve a single transaction. Lazarus bypassed this defense through social engineering.
— End of Part 1 —
Author: Miho Funayama, Director and Senior Researcher Specializing in cyber security intelligence, grounded in international political economy and psychology. Has served as Vice International Secretary of ISO/IEC JTC1 SC28, leading international standards development processes. Currently engaged in cross-disciplinary research spanning AI risk, information warfare, and crisis management policy.