お知らせ

暗号資産の調査を妨げる3つのよくある誤り

ブロックチェーン固有の透明性によって、法執行機関による暗号資産への捜査は、多くの点で法定通貨における捜査よりも容易となっています。ブロックチェーンは、ほぼすべての暗号資産取引における永久的な公開台帳として機能し、法定通貨では不可能なアドレス間の資金移動の追跡を可能にします。

しかし暗号資産のアドレスには匿名性があり、ブロックチェーンの取引履歴から捜査に役立つ洞察を得るためには、それらのアドレスが属するサービスや組織を特定できる信頼性の高いデータが必要となります。アドレスの識別情報や暗号資産事業者の資金処理の仕組みを把握できていない場合、捜査において誤った結論を出してしまう可能性があるため、最高品質のブロックチェーン分析ツールを使用し正確な分析を行うことが重要です。以下では、不正確・不完全なブロックチェーンデータが原因で捜査官が陥りがちな3つのよくある誤りを取り上げます。

ミキサーの識別不足

ミキサーとは、複数のユーザーの暗号資産をプールし、各ユーザーへ最初の入金額からわずかなサービス料を差し引いた金額をプールから還元することで、資金の流れを不明瞭にするサービスです。ユーザーが投入した資金は「ミックス」されるため、各取引のインプットとアウトプットを結びつけることが難しくなります。犯罪に関連する資金移動において、暗号資産の不正な出所を隠すためにミキサーが使用される場合があります。

ミキサーはブロックチェーン分析において必ずしも行き止まりではなく、資金がこうした難解なサービスを経由したとしても、追跡を続けることができる場合もあります。しかし、そのためには取引がミキサーを経由しているということ、そして捜査の対象となるアドレスがミキサーに属するものとして識別される必要がありますが、そうした紐付けは専門のブロックチェーン分析ツールを使用しない限り不可能です。ミキサーが適切に識別されないとどう問題になるのか、実際の例を見てみましょう。

上のChainalysis Reactorのグラフは、2021年5月にあったColonial Pipelineへの攻撃に関するランサムウェアの一種であるDarkSideが行った最近の取引を示しています。攻撃の直後Darkside管理者は、資金をChainalysisが「DarkSide Dormant Funds」と名付けた仲介ウォレットに移し、2021年10月21日までそこに置いていました。その日、資金は2番目の仲介ウォレット(DarkSide Consolidation)に移され、さらに約1時間後にはミキサーに移されました。(ミキサーの具体名は法執行機関による捜査が継続中であるため非開示情報となっています)

こうした活動をReactor上で見ることができるのは、Chainalysisが既に上図での最終取引で使われた受取アドレスを、ミキサーに属するものとして特定していたからです。しかし、無料公開されているブロックエクスプローラーや、このアドレスをミキサーの一部として認識できていないブロックチェーン分析ツールを使ってこの取引を分析しようとしても、何が起こっているのかを正確に理解することはできないでしょう。むしろ、資金が複数の異なるアドレスに次々と移動するピールチェーンのようなパターンに見えることでしょう。

別調査でのピールチェーン例

ピールチェーンとは、ブロックチェーンの分析でよく見られる取引パターンで、資金が複数の中間アドレスを経由しているように見えるものです。しかし実際には、これらの中間アドレスは1つのウォレットの一部であり、取引で生じたおつりを受け取るために自動的に作成されています。一方、識別がまだされていないミキサーの場合、中間アドレスはウォレットではなくミキサーの一部であり、新しいアドレスはミキサーが管理する新しいアドレスに資金を分配し、そこからミキサーのユーザーに資金をさらに分配するために作られています。未識別なミキサーの使用に起因するピールチェーンのようなパターンにより、ピールチェーン自体が、暗号資産をロンダリングしようとする犯罪者にとって有用な技術であると考えられるようになりました。しかし実際のところ、ピールチェーンは暗号資産ウォレットが各取引からおつりを収集するために生じる、自然発生的なパターンです。

DarkSideの資金移動をピールチェーンの一部に過ぎないとする最近の報道は、捜査で使用されたブロックチェーン分析ツールはDarkSide管理者が使用したミキサーのアドレス群を識別できていなかった可能性を示唆しています。そしてDarkSideの資金は1つまたは複数のセルフホスト型ウォレットに集められたという誤った結論に達した可能性がありますが、実際にはミキサーにかけられ、DarkSide管理者が持つ新たなアドレスに送られています。また資金がミキサーから取引所などのサービスに流れ、DarkSideの管理下ではなくなったあともその資金を追い続けてしまっていたようです。その結果、誤った召喚令状が発行され、捜査官と取引所の双方の時間とリソースを無駄にした可能性があります。

サービスに入った資金の追跡

上記の例で見たように、犯罪者は捜査の網から逃れるために中間ウォレットを介して暗号資産を移動させることがよくありますが、アドレスが新たに資金を受け取ったかはブロックチェーン上で簡単に分析できるため、このような取引はほとんどのブロックチェーン分析ツールで比較的容易に追跡できます。しかし、資金が取引所のようなサービスに流れ込んだ場合、調査は困難になります。なぜなら、サービスが管理する入金アドレスに資金が到着した後に資金がどこに送られたかを追跡することは不可能だからです。Chainalysisが提供しているような識別情報無くしては、ブロックチェーンは真に信頼できる情報ソースとは言えません。

サービスを介した資金追跡ができない理由は、サービスがユーザーの暗号資産を管理する方法に関係しています。誰かがサービスの入金アドレスに暗号資産を送っても、その資金は入金アドレス上にそのまま置かれているわけではありません。サービスは必要に応じて暗号資産を内部で移動させ、また他のユーザーの資金とプールしたり混ぜ合わせたりします。例えば、多くの取引所では、セキュリティ上の理由から、入金された資金の一部をインターネットから切り離されたコールドウォレットに保管しています。これは、ATMに20ドル札を預け、1週間後に20ドルを引き出したとしても、元々持っていた札と全く同じものを受け取ることはできないという、現金通貨の世界の考え方と同じです。

もちろんブロックチェーン上では、サービス内部の資金移動も通常の取引と区別されることなく同様に記録されます。しかし前述の仕組みを踏まえると、一度サービスに預けられた資金を追い続けることには意味がなく、預け先のアドレスの所有者が後にそのアドレスから資金を動かすことは通常ありません。どの入出金が特定の顧客に関連しているかを知っているのは取引所だけであり、その情報は取引所によって保管されています。これらはブロックチェーン上やChainalysisのデータプラットフォームから見ることができません。

ちなみに、サービスに入金された資金を誤って追跡することを防ぐために、Chainalysis Reactorではサービスの入金アドレスの送金履歴は表示しません。

厳密にはこの取引所の入金アドレスからの送金履歴もブロックチェーン上記録されていますが、Chainalysis Reactorでは誤解を防ぐため情報を表示していません。

このような機能のない無料公開されているブロックエクスプローラーやブロックチェーン分析ツールを使用した場合、取引所の内部アドレスの情報について誤って照会を求めててしまう可能性があり、時間やリソースの無駄につながってしまいます。

ネステッドサービスと決済サービスの識別不足

ネステッドサービスとは、大規模暗号資産取引所が持つ流動性や取引ペアを利用するため、その取引所が管理するアドレスを使って運営されるサービスのことです。OTC(相対取引)ブローカーはその典型的な例ですが、その多くは独立したサービスとして運営されています。決済サービスの顧客も同様の方法で運営されています。決済サービスは、企業が製品やサービスの支払い方法として暗号資産を法定通貨のように受け入れることを可能にしています。決済サービスを利用する事業者は、別の事業者がホストするアドレスを使用して暗号資産を受け取るという点で、上述のネステッドサービスと類似しています。つまり、暗号資産の調査において、ネステッドサービスや決済サービスのものであると紐付けされていないアドレス宛の資金を追跡しても、誤った結論を出す可能性があるということです。

私たちは2021年6月にこの例を目にしました。ランサムウェアの一種であるEver101に関連するアドレスから、暗号資産での支払いを受け付けるアダルトサイトRubRatingsに紐づくアドレスへ資金が送られたと一部の報道機関が報じましたが、誤りでした。Ever101は実際には決済サービスが管理する入金アドレスに資金を送っていましたが、RubRatingsはその決済サービスの顧客でした。

捜査において使用されたブロックチェーン解析ツールは、決済サービスのウォレットにあるすべてのアドレスをRubRatingsのものと誤認し、RubRatingsがその決済サービスが管理するアドレスで資金を受け取っていた顧客の1つであることに気づかなかったため誤った結論に至ってしまいました。そのために誤った報道がなされ、アドレスを使用しているアカウントに関する詳細情報を提供できるサービスではなく、RubRatings自体に召喚状が送られてしまう可能性もありました。

正確なラベルの必要性

ブロックチェーンは、暗号資産の移動先を示す地図だと考えてください。便利ではありますが、デフォルトでは、どの国にもラベル付けがされていない地図であり、取れる行動は限られています。ブロックチェーンのデータプラットフォームであるChainalysisは、特定のアドレスに資金が移動した際に、そのアドレスは誰が管理しているかを把握できるようにラベル付けをしています。もしラベルが不正確であれば、捜査官は不正確な情報を追いかけて時間とリソースを無駄にすることになります。上述した誤りは、ほとんどがラベル付けの不正確さや欠如に起因しており、捜査においてブロックチェーン分析プロバイダーが暗号資産のアドレスを正しいサービスに帰属させた実績、つまり地図を正確にラベル付けする能力を評価することが非常に重要である理由を示しています。ブロックチェーン分析ツールは、その基礎となるデータがあって初めて成り立つものです。

拡張を続けるChainalysisのブロックチェーンデータセットと、それらのデータセットの信頼性、および金融犯罪捜査における有用性について詳細をお知りになりたい方は、こちらまでご連絡ください。