ブロックチェーン分析において、暗号資産のウォレット(アドレスのグループ)のリスクを測る一番の方法は、取引相手のアドレスを調べることです。あるアドレスの取引相手の多くが違法な活動に紐づいていたら、そのアドレスには一層のリスクがあると判断できます。Chainalysisでは、あるアドレスと他のサービスとの取引上のつながりを、”Exposure”と呼んでいます。Chainlysis Reactorでは、アドレスやウォレット、サービスごとに、Exposure Wheelというパイチャートで対象のExposure情報が集約・表示されます。
以下のGIF動画は、ある取引所のExposure Wheelを例示しています。左側が着金(receiving)方向のExposureで、どのような相手から資金を受け取っているのかを示し、右側が送金(sending)方向のExposureで、どのような相手に対し資金を送っているのかを示します。ReactorのExposureのカテゴリには、取引所(exchange)や決済サービス(merchant service)などのサービスや、ダークネットマーケットやハッキングで流出した資金のウォレットなど、犯罪に紐づくエンティティのカテゴリもあります。
上の動画でも分かる通り、ReactorのExposure Wheelでは、外円部でDirect Exposure、内円部でIndirect Exposureと、2種類のExposureが表示されます。Direct Exposureは単純で、直接の取引相手であるエンティティを指します。一方で、Indirect Exposureは若干複雑です。以下、Indirect Exposureとは何なのか、それがブロックチェーン分析においてなぜ重要なのかを詳説します。
Indirect Exposureについて
Indirect Exposureは、サービス以外のアドレス(個人ウォレットなど)を介してつながるサービスやエンティティを見つけるものです。ある調査対象のアドレスが、Chainlaysisによって識別されていないアドレスに対して送金していた場合を例にすると、Reactorはその相手のアドレスの先の取引所のつながりをサービスにヒットするまで自動的に追跡します。そのように中間アドレスを介してサービスやエンティティに間接的につながっていることを、Indirect Exposureと呼びます。Indirece Exposureの算出においてサービスで追跡を止めるのは、ブロックチェーン分析ではサービスをまたいだ追跡は意味がないという理由からです。取引所などのサービスのアドレスに一度資金が入ると、その後はサービスのウォレットの内部的な動きになってしまうので、資金の所有者に紐付けた追跡はブロックチェーン分析ではもはやできなくなるのです。
取引所(Exchange)はダークネットマーケットとのDirect Exposureがある
取引所(Exchange)はダークネットマーケットとのIndirect Exposureがある
Indirect Exposureは、分散台帳の仕組みをとる暗号資産特有の性質を考慮すると重要な概念ではあるものの、従来の法定通貨のことしか知らない調査官やコンプライアンス担当者には必ずしもよく知られていません。例えば、大手銀行のWells Fargoの口座がCitibankからお金を受け取った場合を考えると、Wells FargoはCitibank側のコンプライアンスチームがその資金の出所が犯罪に結びついていないかをスクリーニングしていることを期待します。
ところが、暗号資産の世界では、ユーザは取引所などのサービスに対して、個人ウォレットから送金できます。個人ウォレットは、ユーザ自身が管理するものであり、取引所が従うようなコンプライアンス要件からは外れています。また、ユーザはそのようなウォレットを無制限に用意し、他のウォレットや取引所のアドレス、はたまた違法なサービスに対して送金するときのバッファとして使うことも可能です。これは、追跡を困難するためにサイバー空間での犯罪者がよく行う手法です。このことこそが、あるアドレスが最終的につながるサービスへのつながりを、その間に介在するアドレスの数(ホップ数)に関わらず、Indirect ExposureとしてReactorが算出する理由です。
ホップ数に関わらず追跡が必要な理由は、ピールチェーン(peel chain)というパターンを例にとって説明できます。ピールチェーンとは、あるクラスタ間で多数の中間アドレスが介在するという、ブロックチェーン分析ではよく見られる取引のパターンです。ピールチェーンにおける多数の中間アドレスは、どれもユーザのウォレットによっておつりを受け取る時に自動的に作られるものであり、実際にはどれも同一ウォレットで管理されるものです。Indirect Exposureは、このような一見長い取引上のパスに見えるピールチェーンを見分けるためにも重要です。
以下にReactorグラフの例を示します。
図の右端にある“17YRUST”のアドレスを調査対象とすると、そのアドレスからダークネットマーケットHydra Marketまでには、6つの中間アドレスがあることが分かります。一見すると、ダークネットマーケットまでに多数のアドレスがあるのだから調査対象のリスクはないと判断できるようにも見えます。しかし、よく分析してみれば、これはピールチェーンのパターンであり、ダークネットマーケットと調査対象アドレスの間には、実際には1つのウォレットしかないということが分かります。グラフ上で、中間アドレスを一まとめにすれば、これらは全て1つのウォレットで管理されているという実態が明示できます。
つまり、“17YRUST”のアドレスから見てHydraへのIndirect Exposureが測れなければ、このような実のある分析は不可能です。
ブロックチェーン分析においてIndirect Exposureの理解は不可欠
直接の取引相手を調べることは、暗号資産アドレスのリスク評価の一番の方法ですが、それだけでは全容をつかむことはできません。暗号資産特有の性質を考慮すると、取引相手のExposureも分析する必要があります。Indirect Exposureは、調査対象のアドレスが違法な活動に紐づいている可能性を調べる重要な要素です。Indirect Exposure上の取引のつながりのコンテキストを読み解けば、調査官やコンプライアンスチームは、調査対象と違法な活動との関連をおさえることができます。なお、Indirect Exposureを読み解いてリスクを判断する具体的な手法は、Chainalysis Reactor Certificationトレーニングで詳しくお伝えしており、多くのユーザに受講いただいております。