犯罪
Web3における安全性とコンプライアンスの重要性を喚起する、DeFiハッキング・マネロン・NFT市場操作
※本ブログ記事は、「State of Web3 Report」のプレビューです。 世界に大きな利益をもたらす、どのような新しいテクノロジーであっても、悪意ある人物が自らの利益のために悪用する可能性があります。そのようなテクノロジーに関与する業界のオペレーターは、新たなユーザーがテクノロジーを安心して採用し業界が成長し続けられるよう、時には公共機関の助けを借りながら、悪用を根絶するための取り組みを行う必要があります。こうした努力によって時間の経過と共に、新たなテクノロジーを悪用するケースは減っていくと期待されます。このような前向きな進展が、まさに暗号資産において見られました。 注記:2019年の違法行為の割合が突出しているのは、PlusTokenポンジ・スキームが主な要因と考えられる 暗号資産ベースの犯罪は依然として解決すべき重要な問題です。特に全体的な取引量の増加は、違法な取引の額も上昇していることを意味します。しかしながら違法な活動が暗号資産エコシステムの中で占める割合はここ3年でだいぶ低くなってきています。 しかし、過去に暗号資産全体が違法行為の拡大に苦しんだように、この2年間では、DeFiが違法行為の拡大に苦しめられるようになっています。 違法なDeFi取引は、時価総額、総取引額に占める割合について、どちらも過去3年間にわたり拡大し続けています。このような状況は、ハッキングによる資産の盗難と、DeFiプロトコルの不正利用によるマネーロンダリングという2つの領域で顕著に見られます。それでは、この2つについて詳しく見ていきましょう。 DeFiプロトコルがハッキングにおける格好のターゲットに DeFiプロトコルにおける盗難金額は、2021年の初めから上昇傾向が見られ、Ronin BridgeやWormhole Networkに対するハッキングがこれに拍車をかけ、2022年の第1四半期には過去最高の水準に達しました。 事実、2021年には、DeFiプロトコルが暗号資産を窃取しようとするハッカーの格好の標的となりました。 2020年当初以降、暗号資産プラットフォームでの盗難資産に占めるDeFiプロトコルの割合は急速に拡大し、2021年には窃取された資産の大部分を占めるようになっています。5月1日時点で、2022年に入ってから盗まれた16億8,000万ドル相当の暗号資産の97%は、DeFiプロトコルで占められています。 さらに悪いことに、DeFiプロトコルから窃取された暗号資産は、特に2022年に、北朝鮮政府に関連するハッキンググループへと流れていました。 北朝鮮のハッカーは、DeFiプロトコルのハッキングだけで、2022年に入って既に過去最高となる8億4,000万ドルを超える暗号資産を窃取しています。(北朝鮮のハッカーは、DeFiプロトコルに限らず、中央集権的なサービスなどに対するハッキングを行っている可能性もあり、全てがDeFiプロトコルを対象としているとは断定できません。)DeFiプロトコルでのハッカーに対する防御策強化を検討する場合、DeFiの継続的な成長に向けては、ユーザーとの信頼関係を構築するだけでは済まないことは、データから明らかです。北朝鮮関連のハッキンググループによって盗まれた暗号資産が、大量破壊兵器の開発支援に使用されていることを考えれば、これは国際安全保障上の問題でもあります。 DeFiを悪用したマネーロンダリングも増加傾向 マネーロンダリングもまた、深刻な問題です。過去2年間、違法なアドレスからサービスに送金される資産に占めるDeFiプロトコルの割合が、拡大し続けているからです。 2021年、DeFiプロトコルは、犯罪活動に関わるアドレスから送金された全資金の19%を受け取っていました。2022年に入ると、それが69%にまで増加し、不正資金の最大の受け手になっています。この理由の1つは、DeFiプロトコルを使用すると、ユーザー同士が異なる暗号資産間で取引することが可能になり、資金の移動の追跡がより困難になるからです。また中央集権型のサービスとは異なり、多くのDeFiプロトコルが、ユーザーから本人確認(KYC)情報を取得せずにその機能を提供しているため、犯罪者を惹きつける要因になっています。Chainalysisは先頃、「Chainalysis…
ハッカー達がDeFiプラットフォームからこれまで以上の暗号資産を窃盗
本ブログは、「2022年暗号資産関連犯罪レポート」 の調査結果に基づいて記述されたものです。 こちらからサインアップしてレポートをダウンロード頂けます。 2021年は、デジタル犯罪者にとって大きな成果が達成された年となり、32億ドル相当の暗号資産が盗み出されました。しかし2022年は、さらなる規模の盗難が進行しつつあります。 ハッカー達は、今年最初の3ヶ月間だけで、取引所、プラットフォーム、民間企業から13億ドルを盗み出しています。そして、その被害の対象はDeFiに大きく偏っています。 2022年最初の3ヶ月に盗まれた全暗号資産の97%が、DeFiプロトコルからのもので、これは2021年の72%、2020年の30%から、さらに拡大しています。 攻撃手段として脆弱性攻撃が増える一方、セキュリティ侵害も依然として発生 過去、暗号資産のハッキングの多くは、ハッカーが被害者の秘密鍵にアクセスするというセキュリティ侵害によって生じたものでした。これは、暗号資産におけるピッキングと言ってもよいでしょう。Ronin Networkから6億1,500万ドル相当の暗号資産が盗み出された、2022年3月に発生した侵害行為は、この手口が依然として有効であることを証明しています。 Chainalysisのデータもこの事実を示しています。2020年から2022年の第1四半期の間に、セキュリティ侵害によって、総暗号資産価値の35%が盗難にあっているのです。 備考:「不明」のラベルは、ハッキングのタイプに関する情報が未公開であることを意味します。「その他」のラベルは、ハッキングのタイプは分かっているが、Chainalysisが定義するカテゴリーに該当しないものを指します。 しかし、特にDeFiプロトコルの場合には、通常、盗難の最大の原因はコードの誤りによるものです。Roninに対する攻撃を別にすれば、盗難にあった資産価値の大半が、暗号資産の価格操作を行う脆弱性攻撃やフラッシュローン攻撃によるものとなります。 脆弱性攻撃が発生する理由は様々です。その1つとして、分散化と透明性というDeFiの理念において、オープンソースによる開発がDeFiアプリケーションを支える重要な要素となっている点を挙げることができます。これは、ある意味で極めて重要です。DeFiプロトコルは人間の介在なしに資金を移動させるため、プロトコルが信頼を得るためには、ユーザーがコードを監査できるようになっている必要があるのです。しかし、それは同時に、スクリプトを事前に十分解析して脆弱性を発見し、悪用することができるサイバー犯罪者にとってもメリットとなるのです。 例えば、昨年発生したBadgerDAOに対するハッキングのケースでは、ハッカーが攻撃の数ヶ月前にコードの脆弱性や、ロンダリングの手順をテストしていました。 一方、フラッシュローン攻撃は、DeFiプラットフォームが不安定な価格オラクルに依存していることが原因で発生しているケースが見られます。 オラクルはプラットフォーム上の全ての暗号資産の正確な価格データを維持する役割を担っていますが、これは決して容易ではありません。オラクルが安全であっても、処理が遅ければアービトラージ(裁定取引)に対して脆弱となり、逆に高速でも安全でなければ、価格操作に対して脆弱となります。後者の場合はフラッシュローン攻撃につながり、実際に2021年にはDeFiプラットフォームで3億6,400万ドルという膨大な金額が引き出されました。例えばCream Financeに対するハッキングでは、CreamがyUSDの「pricePerShare」変数を計算する際の脆弱性を突くフラッシュローンによって、攻撃者がyUSDの価格を正価の2倍に膨らませて株を売ることで、わずか一晩で1億3,000万ドルを稼ぎ出すことに成功しています。 このような不正確な価格オラクルと悪用可能なコードという2つのリスクは、いずれについてもセキュリティ対策が必要であることを強く示唆しています。しかし幸いなことに、これらに対しては解決策があります。Chainlinkのような分散型価格オラクルの場合には、プラットフォームを価格操作攻撃から保護し、価格設定の正確性を確保することができます。スマートコントラクトのセキュリティを確保するためには、よくあるハッキングの対象となりやすい再入可能性や未処理の例外、そして取引順序の依存関係などがあるコードを監査してプログラムの強化を図ります。 しかし、コード監査は万能ではありません。30%近くの脆弱性攻撃は、前年に監査を実施したプラットフォームで発生しており、驚くべきことにその73%がフラッシュローン攻撃でした。これは、コード監査に潜在する2つの欠点を浮き彫りにしています。 スマートコントラクトの脆弱性にパッチを適用するケースもありますが、全てではありません。 プラットフォームの価格オラクルが改ざんされない保証はどこにもありません。…
法執行機関によるダークネットマーケットの閉鎖に続き、OFACがHydraおよびロシアの取引所Garantexにも制裁措置
本日は、暗号資産犯罪との戦いにおける非常に重要な日となりました。米国の複数の法執行機関とドイツの連邦警察の協力によって、ロシアを拠点とした、収益で世界最大のダークネットマーケットと言われる「Hydra Market」が閉鎖に追い込まれました。 さらに同日、米国司法省はHydraの主要なオペレータの1人を告訴し、また米国財務省外国資産管理局 (OFAC) はHydraを制裁対象として、100を超える暗号資産のアドレスをSDNリストに追加しました。同時にOFACは、以前Chainalysisがマネーロンダリングにおける役割を調査した、ロシアの暗号資産取引所であるGarantexについても制裁対象としました。 OFACが指定した全てのアドレスは、Chainalysis製品にて織別が付けられ、KYTをご利用のお客様には、設定に応じて「制裁対象」のアラート (sanctions alert) が表示されるようになります。 以下で、HydraおよびGarantexの違法行為を分析し、またOFACがリストに掲載した制裁対象アドレスを共有します。 Hydraとは? Hydraはロシア語圏だけを対象としているにも関わらず、ここ数年にわたり、突出して規模の大きいダークネットマーケットとなっています。 2021年、Hydraは全世界のダークネットマーケットの収益の75%に相当する、17億ドル相当の暗号資産を受け取っています。 Hydraはまた、その洗練された運営方法でも有名です。例えば、Uberに似た仕組みによって匿名の運び屋を手配して麻薬取引行ったり、買い手が人里離れた森に現金を埋め、売り手が後からそれを掘り出すといった、非接触型の手法で麻薬取引を行っています。Hydraは、ダークネットマーケットにおける取引の機密性やセキュリティを熟知しています。 Hydraやそのベンダーは、厳密なコントロールと管理が行われているインフラストラクチャーに備えられた複数の事前承認済みサービスを使って、ベンダーやサイバー犯罪者が暗号資産をロシアルーブルに換金できる、マネーロンダリングサービスを提供しています。 Hydraでマネーロンダリングサービスを提供するベンダーの例 実際に2020年、Hydraは他のダークネットマーケットや、盗難資金を保持したウォレット、ランサムウェアのオペレータ、詐欺などから、6億4,500万ドルに相当する暗号資産を受け取っています。 暗号資産を使った制裁回避に関する最近の懸念を考えれば、Hydraの閉鎖と制裁措置は正に最適なタイミングでの対応と言えます。このプラットフォームが提供するマネーロンダリングサービスが、制裁対象となっているロシアの企業や個人に便宜を供与している可能性があるからです。これらの対応に加え、米国の司法省は、ロシア在住のDmitry Olegovich Pavlovを、麻薬の流通とマネーロンダリングを目的にHydraの運営に関わった容疑で告訴しました。2015年以来、Pavlovは自身の会社であるPromservices…
北朝鮮のハッカー集団が保有する ロンダリング未済資産の総額が過去最高を記録
※本レポートは、今後発表予定の「The Chainalysis 2022 Crypto Crime Report」の一部要約の和訳です。 北朝鮮のサイバー犯罪者にとって、2021年は過去最高の成果を記録した年となりました。暗号資産プラットフォームに対して少なくとも7回の攻撃が行われ、約4億ドル相当のデジタル資産が引き出されました。これらの攻撃では、投資会社や中央集権型取引所(CEX:Centralized Exchange)が主な標的となり、フィッシングや脆弱性攻撃、マルウェア、高度なソーシャルエンジニアリングを使って、インターネットに接続されたホットウォレットの資金を北朝鮮の管理下にあるアドレスに流出させました。一旦、北朝鮮が資金を保管できるようになると、隠蔽や換金に向け慎重にロンダリング操作が開始されます。 多くのセキュリティ・リサーチャーは、このような複雑な戦術やテクニックが使われている状況を踏まえ、北朝鮮のサイバー攻撃者を持続的標的型攻撃(APT:Advanced Persistent Threat)の使い手と見なしています。これは、米国および国連が朝鮮人民軍総参謀部偵察局(Reconnaissance General Bureau)と認知する北朝鮮の最上位の諜報機関が率いる、APT38または「Lazarus Group」として知られる組織で、顕著に見られる攻撃手法となります。本レポートでは、これらの攻撃者を北朝鮮に関係したハッカーと言及していますが、実際にはこうした攻撃の多くがLazarus Groupの手によるものと考えられます。 当初、Lazarus Groupは、ソニー・ピクチャーズへの攻撃やランサムウェア「WannaCry」で悪名を馳せましたが、その後は非常に収益性の高い戦略として暗号資産犯罪に特化するようになっています。2018年以降、Lazarusは毎年のように2億ドルを超える多額の暗号資産を窃取し、ロンダリングを行ってきました。こうしたハッキングの成功例としては、KuCoinやその他の暗号資産取引所に対するものがあり、それぞれの被害金額は2億5,000万ドル以上に上っています。国連安保理は、これらのハッキングによって得られた収益が、北朝鮮の大量破壊兵器や弾道ミサイルの開発に使用されているとしています。 北朝鮮のハッキング活動は、2021年に再び活性化しました。2020年から2021年にかけて、北朝鮮に関連するハッキング数は4件から7件に跳ね上がり、それに伴う流出価値も40%上昇しました。 興味深いのは、北朝鮮によって窃取された暗号資産内でビットコインの占める割合が、ドルベースで言えば1/4未満に過ぎなかった点です。2021年に窃取された資金の内、ビットコインはわずか20%で、22%がERC-20トークンまたはアルトコインのいずれかでした。そしてEtherが初めて大半を占め、窃取された資金の58%となりました。 窃取対象の暗号資産が多様化することで、北朝鮮の暗号資産ロンダリング操作も必然的に複雑化しています。現在、北朝鮮の典型的なロンダリング操作は次のような手順になっています。…
Poly Network事件: 史上最大のDeFi資金流出
2021年8月10日、正体不明の攻撃者がクロスチェーンのDeFiプロトコルであるPoly Networkから6億1200万ドル相当の暗号資産を盗み、DeFiプロトコルからの資金流出額としては過去最大となりました。しかし、信じがたいことに、攻撃者は1日後にPoly Networkに資金を返し始めているようです。 この攻撃者は、Poly Networkがクロスチェーン取引を行うために使用しているスマートコントラクトの脆弱性を利用して資金を窃取しました。イーサリアムのプログラマーであるKelvin Fichter氏は、この脆弱性がどのように機能したのか、詳細をツイートしています。盗まれた暗号資産の種類は以下です。 ETH WETH WBTC UNI RenBTC USDT USDC DAI SHIB FEI BNB 様々なBEP-20トークン Poly Networkが公表した以下3つのアドレスは、攻撃者が管理していることを我々も確認しています。…
イスラエル政府によるハマスの暗号資産アドレス押収
イスラエルの対テロ機関であるNational Bureau for Counter Terror Financing (NBCTF)は、イスラム原理主義組織ハマスによって行われた寄付金集めキャンペーンに関連するウォレットの暗号資産を差し押さえたと公表しました。押収対象には、ハマスの軍事部門であるAl Qassam Brigades (AQB)が含まれています。 この対応は、イスラエル軍との戦闘激化の後、5月にハマスへの暗号資産での寄付が増加したことに起因しています。これは、テロ資金供与関連のあらゆる種類の暗号資産の押収としては初の事案です。NBCTFは、ソーシャルメディアの投稿やブロックチェーンデータを含むOSINTの分析を多大に駆使した調査により、ビットコインだけでなくETHやXRP、Tetherなどの暗号資産を押収しました。 以下に、ブロックチェーン分析がどのように調査に役立ったかを解説します。 ブロックチェーン分析による寄付金の動きの把握 以下のChainalysis Reactorのグラフは、NBCTFが公表した多くのビットコインアドレスに関わる資金移動を表しています。これらのアドレスの多くは寄付キャンペーンに関わった特定の個人のものであると判明しています。 (画像を新規タブで開けば拡大できます) グラフ上のオレンジ色の六角形は、NBCTFが公表した特定の個人が管理していた、大手暗号資産取引所の入金アドレスを指しています。また、このグラフからは、ハマスの寄付受付用アドレスから中間ウォレットを介し、高リスクな取引所や非銀行等金融機関(Money Services Businesses: MSBs)に資金移動があることがわかります。興味深いことに、公表されたアドレスのうちの2つはシリアのイドリブにある取引所BitcoinTransferのものでした。なお、この取引所は昨年の事案でも取り上げられています。さらに、他のアドレスの一つには、過去にテロ資金供与に関与していた組織Ibn…
Indirect Exposure(間接的なつながり): 暗号資産アドレスのリスクを測るために直接の取引相手の先まで追うべき理由
ブロックチェーン分析において、暗号資産のウォレット(アドレスのグループ)のリスクを測る一番の方法は、取引相手のアドレスを調べることです。あるアドレスの取引相手の多くが違法な活動に紐づいていたら、そのアドレスには一層のリスクがあると判断できます。Chainalysisでは、あるアドレスと他のサービスとの取引上のつながりを、”Exposure”と呼んでいます。Chainlysis Reactorでは、アドレスやウォレット、サービスごとに、Exposure Wheelというパイチャートで対象のExposure情報が集約・表示されます。 以下のGIF動画は、ある取引所のExposure Wheelを例示しています。左側が着金(receiving)方向のExposureで、どのような相手から資金を受け取っているのかを示し、右側が送金(sending)方向のExposureで、どのような相手に対し資金を送っているのかを示します。ReactorのExposureのカテゴリには、取引所(exchange)や決済サービス(merchant service)などのサービスや、ダークネットマーケットやハッキングで流出した資金のウォレットなど、犯罪に紐づくエンティティのカテゴリもあります。 上の動画でも分かる通り、ReactorのExposure Wheelでは、外円部でDirect Exposure、内円部でIndirect Exposureと、2種類のExposureが表示されます。Direct Exposureは単純で、直接の取引相手であるエンティティを指します。一方で、Indirect Exposureは若干複雑です。以下、Indirect Exposureとは何なのか、それがブロックチェーン分析においてなぜ重要なのかを詳説します。 Indirect Exposureについて Indirect Exposureは、サービス以外のアドレス(個人ウォレットなど)を介してつながるサービスやエンティティを見つけるものです。ある調査対象のアドレスが、Chainlaysisによって識別されていないアドレスに対して送金していた場合を例にすると、Reactorはその相手のアドレスの先の取引所のつながりをサービスにヒットするまで自動的に追跡します。そのように中間アドレスを介してサービスやエンティティに間接的につながっていることを、Indirect Exposureと呼びます。Indirece Exposureの算出においてサービスで追跡を止めるのは、ブロックチェーン分析ではサービスをまたいだ追跡は意味がないという理由からです。取引所などのサービスのアドレスに一度資金が入ると、その後はサービスのウォレットの内部的な動きになってしまうので、資金の所有者に紐付けた追跡はブロックチェーン分析ではもはやできなくなるのです。 取引所(Exchange)はダークネットマーケットとのDirect…
Chainalysisの対応: ダークネットマーケットSilk Roadからの10億ドル相当の暗号資産差押え
2020年11月5日、米国司法省は、10億ドルを超える相当額の暗号資産の差押えの訴状を提出しました。これは、デジタル資産の差押えとしては過去最大の規模です。具体的に押収された資産は、約69,370.22491543ビットコイン(BTC)、69,370.10730857ビットコインゴールド(BTG)、69,370.10710518ビットコインSV(BSV)、69,370.12818037ビットコインキャッシュ(BCH)です。法執行機関はChainlysisのツールと捜査協力により、初期のダークネットマーケットとして著名だったSilk Roadにつながる最大の暗号資産ウォレットを突き止め、ブロックチェーン上の証跡からの手がかりを掴むことができました。このビットコインは、米国政府の管理するウォレットを経て、差押が成立した際には財務没収基金(Treasury Forfeiture Fund: TFF)に移されます。TFFは、違法な資金の特定・没収のためにブロックチェーン分析ツールやトレーニングなどの革新的な法執行プログラムに予算を投じています。今年にあった同様の事例として、法執行機関がテロ資金や北朝鮮によるハッキング事案に関わる暗号資産に対し資産差押えの訴状を出したことがありましたが、これらでもChainalysisが提供するツールや捜査支援が活用されました。 11月3日に、ツイッターbotの@Whale_alertが69,369BTCもの資金が動いたことを通知し、長らく眠っていたSilk Roadウォレットの資金がハッキングで盗まれたか、所有者が移動させたのではないかという憶測を呼びました。実際のところ、これは法執行機関による資産没収によるものであり、資金は政府管理のウォレットに移されたのでした。このウォレットは今では、”Silk Road Marketplace Seized Funds 2020-11-03”と、Chainalysis製品でラベル付けされています。 Silk Roadの背景 Silk Roadは、最初期のデジタル世界のダークネットマーケットであり、違法薬物などの違法物品やサービスの売買に利用されていたとして知られています。2013年に、法執行機関はSilk Roadを閉鎖させ、その管理・運営を行っていたRoss Ulbricht(別名“Dread Pirate Roberts”)を逮捕しました。…
KuCoinのハッキング事件: DeFiがどのようにロンダリングに使われたか
2020年9月25日、KuCoinがハッキングを受け、2億7,500万ドルを超える額の暗号資産が流出しました。これはKuCoinで発生したこれまでの流出事件の中でも最大級の被害額です。流出したと判明している暗号資産は以下の通りです。 1,008 BTC ($10,758,404.86) 11,543 ETH ($4,030,957.90) 19,834,042 USDT-ETH ($19,834,042.14) 18,495,798 XRP ($4,254,547.54) 26,733 LTC ($1,238,539.89) 999,160 USDT ($999,160) 1億4,700万ドル相当の各種ERC-20トークン…
Chainalysisの対応: 米国司法省による北朝鮮の取引所ハッカー関連の暗号資産アドレス没収の申し立て
2020年8月27日、Lazarus Groupとして知られる北朝鮮系ハッカーによる約2.87億ドル相当の暗号資産窃取に関連する、280件の暗号資産アドレスの所有者に対し、米国司法省は民事没収の訴状を提出しました。この訴状では、その北朝鮮系グループが行った2つ目の取引所ハッキングに関する資金移動についても分析しています。 本件は、Lazarus Groupが暗号資産取引所から盗んだ資金をロンダリングする手法がますます洗練化していることを如実に表しています。しかし、そのようなロンダリングにも関わらず、FBIやHSI、IRS-CIといった捜査機関は資金を追跡し、その最終的な行方を突き止めることができました。さらに、場合によっては、取引所でもハッカーが盗んだ資金を入金したり取引したりするのを防げたこともあります。 国家ぐるみでますます洗練化する企てに直面する中、Chainalysisの政府機関のパートナーが国家の安全を揺るがす案件に対処できたことは非常に喜ばしいことです。また、弊社はそのような機関のお客様に調査ツールを提供し、サイバー犯罪者が高度な手法を使ってロンダリングしようとする資金を追跡する一助となっていることを誇りに思います。さらに、そのような資金の取引を防ぐのに必要なトランザクションモニタリングツールを取引所に対して提供していることについても同様です。 米国司法省の訴状の全文はこちらから確認できます。本記事では以下にケースの一部を取り上げ、Lazarus Groupがマネーロンダリングの手法をどのように高度化してきているか、政府機関や取引所がどのようにブロックチェーン分析で対策しているか、について詳説します。 ますます洗練化するLazarus Groupのマネーロンダリング手法 訴状に関連する2つの取引所のハッキングで盗まれた資金には、ビットコイン、イーサリアム、アルゴランドの3種類の暗号資産が含まれています。ただし、ハッカーは現金化のために利用するサービスへの資金移動を追いづらくするために、チェーンホッピングと呼ばれる手法を用いています。これは、資金を他種類の暗号資産に替えることで、ブロックチェーン上の追跡を困難にするというものです。この手法で、ハッカーは盗んだ資金をビットコインに替え、他のサービスで現金化を行いました。 この動きの例として、このグラフではハッカーが盗んだビットコインの一部を動かしている 様子を、以下のChainalysis Reactorのグラフで確認できます。 グラフの右下部を見ると、ハッカーがビットコインを2つの取引所(Exchange 4、Exchange 9)から移動させていることがわかります。このビットコインは前述のチェーンホッピングにより、ハッキングで盗んだ他種類の暗号資産から替えたものです。捜査官は、ブロックチェーン分析ツールによってビットコインに替えられるまでの暗号資産の動きを追跡し、替えられた後のビットコインが”Exchange 6”に移動したことを突き止めました。 Lazarus Groupのハッカーが新しいマネーロンダリングの手法を用いている一方、以前から変わっていないこともあります。それは、OTCブローカーを用いた暗号資産の現金化です。OTCブローカーは、公開市場を利用したくない(できない)個人の買い手や売り手の間で、取引を仲介する役割を担っています。通常OTCブローカーは、独自の場所というよりも取引所で活動してますが、このようなOTCブローカーは、多額の暗号資産を決められた価格で現金化したいトレーダーによく利用されています。 グラフの右上部を見ると、ハッカーが盗んだ資金の大部分を”Exchange…
Chainalysisの対応: ブロックチェーン分析による2つのテロ資金調達キャンペーンの断絶を米国司法省が発表
本日、米国司法省(DOJ)は、FBIやHSI、IRS-CIの複数機関による調査の結果、暗号資産による寄付を利用した2つのテロ資金調達キャンペーン(及び暗号資産を利用しなかった3つ目のキャンペーン)が断絶されたことを発表しました。この調査により、テロ資金調達に関連する暗号資産の押収は史上最大規模となり、100万ドル以上の暗号資産がテロ資金調達キャンペーンや無免許のマネーサービスビジネス(MSB)を運営する金融ファシリテーターから回収されました。 Chainalysisのツールが、暗号資産の寄付に頼った2つのキャンペーンの調査に役立ったことは弊社の誇りです。これら2つのキャンペーンのうちの1つはアルカイダとその関連テログループによって実施されましたが、もう一方はハマスの軍事部門であり、欧米諸国のほとんどでテロ組織と認定されているアルカッサム旅団によって実施されました。アルカイダは特に、シリアのイドリブに拠点を置く暗号資産取引所BitcoinTransferに依存しており、この取引所はアルカイダの他の資金調達キャンペーンも促進していました。BitcoinTransferの運営と取引履歴の詳説は、こちらの最新の情報概要でお読みいただけます。 これらの事案は、テロリストグループが伝統的に資金移動に利用してきた無免許のMSBやハワラネットワークなどの金融ファシリテーターやインフラが、暗号資産を採用し始めていることを示しています。ブロックチェーン分析により、テロリストグループがソーシャルメディア上で行っている寄付キャンペーンや、テロリストグループの活動を支える金融ネットワークをさらに調査することが可能になります。Chainalysis Reactorを利用すれば、誰が資金を送ったのか、誰が資金洗浄を手伝ったのか、資金で購入した商品やサービスなどを明らかにする手がかりがつかめます。 以下に、アルカイダやアルカッサム旅団の暗号資産によるテロ資金調達キャンペーンの詳細、ブロックチェーン分析で捜査官がそれらを阻止した方法を紹介します。 アルカイダのテロ資金供与とマネーロンダリングインフラ アルカイダや、シリアで主に活動している複数の関連テロリストグループは、寄付金によるテロ資金調達やマネーロンダリングのための暗号資産ベースのインフラを立ち上げました。刑事告訴状によると、当該組織は多層トランザクションを使用して、これらの寄付金のアドレスの中央ハブへの移動を難読化し、そこから資金を個々のグループに再分配しています。ブロックチェーン分析を通じて、Chainalysisはシリアのイドリブに所在するBitcoinTransfer Officeを特定しました。これは刑事告訴状に(当該グループの)中心ハブとして指されているサービスです。BitcoinTransferは、暗号資産取引所であることを主張していますが、いくつかのテロ資金調達スキームに関与しており、完全にテロリストグループの制御下にあるとみられます。このサービスが2018年12月下旬にアクティブになって以来、28万ドル以上相当のビットコインがBitcoinTransferを通っており、その多くはテロ資金に関連しています。 複数のテロリストグループは独自に寄付を募っていましたが、そのほぼすべてのグループが同様の戦略を採っていました。シリアで活動する慈善団体と名乗り、主にTelegramやFacebookなどのソーシャルメディアやメッセージングプラットフォーム上でビットコインの寄付を募るのです。しかし、表面的には慈善団体を装っているにもかかわらず、これらのグループは、以下のスクリーンショットにあるように、寄付金が過激派グループの武器購入に使われることを示す投稿を度々掲載していました。 2019年5月、そのようなグループの1つであるTawheed & Jihad MediaのTelegramページを監視していた捜査官は、そのページ管理者がビットコインアドレスと共に「ムジャヒディーンのための弾丸とロケット」のための資金調達キャンペーンを推進しているのに気づきました。そのアドレスは、司法省の訴状には”Defendant Property AQ1”(被告財産AQ1)と記載されており、以下のChainalysis Reactorのグラフにも記載されています。 新しいタブで画像を開くと拡大します 捜査官は、寄付が入ってきたときにそのアドレスを監視し、グループの管理者が最終的に(”Defendant…
Chainalysisの対応: Twitter事件の資金追跡・犯人特定のために法執行機関がいかにブロックチェーン分析を行ったか
2020年7月31日、アメリカ司法省は、7月15日に発生したTwitterハッキング事件に関与したとみられる3名を逮捕したと発表しました。そのうちの以下2名は、カリフォルニア州北部地区連邦地裁で複数の容疑がかけられています。 Mason Sheppard (別名: Chaewon) − イギリスボグナーレジス在住、19歳 Nima Fazali (別名: Rolex) − アメリカフロリダ州オーランド在住、22歳 “Kirk”という偽名で知られ事件の主犯格であった3人目の被告は未成年であり、在住地のフロリダ州タンパで第13巡回区のAndrew Warren検事によって、30件もの重罪で訴追されました。 本記事では、法執行機関が事件捜査のためにブロックチェーン分析をどのように用いたか、ビットコインの透明性がいかにそれを可能としたかを解説します。 Twitterハッキング事件の背景 事件捜査によれば、Kirkと名乗るハッカーが、少数のTwitter従業員に対して電話を介したスピアフィッシング攻撃を仕掛け、Twitterの管理パネルのアクセスを奪取したことが分かっています。Kirkは、@Bや@joeといった”OG Twitterハンドル”と呼ばれる短い名前のアカウントを転売するために、このアクセス権を利用しました。このOGアカウントは、オンラインコミュニティで一種のステータスシンボルとなっており、数千ドルで売り渡されることもあります。 New…
Twitterハッキング事件: 1週間が経過して分かったこと
2020年7月15日水曜日、ジョー・バイデン、バラク・オバマ、イーロン・マスクなど多くの有名人のTwitterアカウントが、Twitter内部ツールへのアクセスを奪取したハッカーによって乗っ取られました。その日の午後、ハッカーは有名人を騙り、「指定のアドレスにビットコインを送れば2倍にして返す」として、以下のスクリーンショットのようなメッセージを投稿しました。 結果として、この日の午後に仕掛けられた詐欺によって12万USドル相当の13.14BTCが詐取されました。ただし、後述するように、その入金額の一部はハッカー自身が関与したものとみられます。 この事件がソーシャルメディアで明らかになってから、Chainalysisは直ちに詐欺に関与するアドレスをラベル付けし、当社製品に反映させました。▼法執行機関が資金の流れを追跡しやすくしたり、▼暗号資産取引所の顧客が詐欺に資金を送ってしまうことや、犯人が取引所で盗んだ資金を現金化することを防げるようにしたりするためです。ブロックチェーン分析はこのような件では極めて重要です。ひいては、本件は、ビットコインのような暗号資産(仮想通貨)がもたらす資金移動を可視化することで、暗号資産を現金や他の従来の価値移転の方法よりも一層安全で透明性のあるものにできると言える、良い例となるでしょう。以下に、Twitter事件で起きたことと盗まれた資金の現況を解説します。 暗号資産詐欺やトラスト・トレーディングに関する基本情報 残念ながら、暗号資産に関わる詐欺は真新しいものではありません。弊社の2020 Crypto Crime Reportでも触れた通り、詐欺は暗号資産関連の犯罪の中で最も大きい割合を占めるカテゴリであり、2019年には全ての違法な取引の74%を占めていました。 暗号資産詐欺は2020年になっても引き続き大きな問題となっています。 今年の前期を振り返ると、詐欺で既に3.81億USドル相当が被害にあっています。2020年の詐欺による被害額は、PlusTokenといったポンジスキームが流行った2019年と比べ、ペースは落ちています。しかし、詐欺が暗号資産関連の犯罪の大きな割合を占めることには変わりありません。まだ報告されていない詐欺の解明や、詐欺に紐づくアドレスの識別、そうした活動のデータへの反映が進むにつれて、2020年前半期で分かっている詐欺による被害額は大きくなる可能性もあります。 また、今回のTwitterへのハッキングによって発生した詐欺も新しい手口ではありません。ソーシャルメディア上で有名人や会社を騙りユーザに倍返しにするといって送金させる、いわゆるトラスト・トレーディング(信用に基づく取引)詐欺は、ここ何年も続いています。 詐欺やそれに紐づく暗号資産アドレスを報告できるオープンソースデータベースであるCryptoScamDBによれば、トラスト・トレーディングは最も報告の多い詐欺であり、大きな利潤が得られる手口であるとのことです。ただ、今回のTwitter事件では、単に偽のアカウントを作るのでは無く、実際の有名人のアカウントを乗っ取ってそこから発信したという点が、他のトラスト・トレーディング詐欺との大きな違いです。 7月15日の発生事案と盗まれた資金の行方に関する分析 今回の詐欺は午後2時16分に、ハッカーが、暗号資産のトレーダーでありインフルエンサーとしても知られるAngeloBTCのアカウントを乗っ取り、取引のコツを伝えるためのTelegramグループに参加するために、Twitterのダイレクトメッセージ経由で送金をそそのかしたことから始まりました。その後4時間の間に、ハッカーは他の有名人やインフルエンサーのアカウント — 最初は暗号資産業界での有名人が標的だったが、後に一般にも知られる有名人が狙われた — を乗っ取り、指定のビットコインアドレスへの送金をそそのかすよう公にツイートをしました。…