チェイナリシス
ロシアと北朝鮮の共通サイバー攻撃インフラ:新たなハッキングデータが提起する安全保障上の懸念
歴史的なロシア・北朝鮮の首脳会談があったなか、オンチェーンデータが不穏な情報を示しました。北朝鮮系のハッキンググループが不正な暗号資産のロンダリングのために、ロシアの取引所をますます利用しているということです。 この動きは、サイバー戦争における北朝鮮の策略について警鐘を鳴らすものです。まもなく発表予定の国連レポートでは、北朝鮮は、国が支援する世界の暗号資産や金融機関を狙うハッキンググループによるますます巧妙なサイバー攻撃によって、核兵器開発の資金を得ていると指摘されています。 Chainalysisのデータでは、Harmony Protocolから窃取された2,190万ドル相当の暗号資産が、違法取引を行っていることで知られるロシアの取引所に最近移されたことが観測されました。さらに、北朝鮮のエンティティは取引所を含むロシア系サービスをマネーロンダリングの目的で2021年から利用していることもわかっています。このような動きは、サイバーの裏社会でのロシアと北朝鮮の連携がますます強まっていることを示しています。 以下のChainalysis Reactorのグラフでは、Harmonyから盗まれた資金の一部がロシアの取引所に移転したことを示します。 この情報は北朝鮮とロシアのサイバー犯罪者達の強い連携と共に、世界の当局が抱える困難も表しています。ロシアは国際的な法執行機関に対し非協力的な姿勢をとっているため、ロシア系取引所へ送られた盗難資金の差押えの見込みを立てるのは非常に困難といえます。これまでに北朝鮮が利用してきた主要な取引所は多くの場合協力的であるものの、ロシアの取引所や法執行機関がコンプライアンスに準拠していないことがデータでわかっており、このことが資産の差押えの可能性を著しく下げています。 2023年の北朝鮮による暗号資産ハッキングによる被害額 マネーロンダリングの手口の変化が新たな複雑性を生んでいる一方で、北朝鮮によるハッキングには、第三四半期の終わりに近づいている今、逆説的なトレンドがあります。Chainalysisのデータによれば、北朝鮮によるハッキングによる昨年の被害総額は16.5億ドルでしたが、現時点で今年の被害総額は3.4億ドル超程度です。 ただ、金額ベースでは、昨年よりも北朝鮮系ハッカー資金の窃取のペースが落ちていますが、2022年は極めて盗難資金の総額が大きかったこともあり、それを超えるのは非常に難しいともいえるでしょう。 これまでの盗難資金の累計額は35.4億ドル相当となり、北朝鮮はハッキング活動の巣窟であり、今だにサイバー犯罪の世界における最大の脅威であり続けています。 今年北朝鮮が関与したハッキングによる盗難資金の総額は、今年の全体の事案の被害額のうち29.7%程度であり、2022年ほどの高い割合ではありません。 2022年の教訓: 北朝鮮のサイバー脅威は未だ継続 ハッキングによる被害総額の減少は成功の兆しとも言いたくなるかもしれませんが、2022年の被害総額がただ極めて大きかったということは忘れてはなりません。昨年は、Lazarus Groupが関与していたものも含め、多くの大規模事案が顕著に発生しいました。最も特筆すべきなのは、Play-to-Earnゲームとして人気のAxie Intifityが作ったサイドチェーンであるRonin Networkを狙った攻撃です。この事案では約6億ドル相当もの暗号資産が盗まれるという甚大な被害をもたらしました。今年の被害総額が昨年に比べ小さいことは、セキュリティの向上やサイバー犯罪の活動が減った結果とは必ずしも言えないでしょう(とはいえ、コード監査によるセキュリティ対策には気を使うべきですが)。 実際のところ、あと大規模事案が今年さらに1件発生すれば、2023年の被害総額は10億ドルのボーダーを超えることになります。オンラインでは物事が速く動きます。大規模な攻撃も一夜にして実現されます。政府機関はますます複雑化し危険性の高まる暗号資産犯罪への対策について注力すべきでしょう。 ブロックチェーン上の犯罪との戦い…
ケーススタディ: オフチェーンでの犯罪由来の暗号資産マネロンをどのように追跡できるか
資金洗浄をもくろむサイバー犯罪者は、クロスボーダーの即時送金が可能なことや擬似匿名性に目をつけ、暗号資産を利用することが多々あります。2022年だけでも、Chainalysisは、サイバー犯罪者による違法資金が合計で238億ドルにのぼると見ています。ただし、この数字は、ランサムウェアや取引所ハッキング、暗号資産詐欺といった、暗号資産に元から密接に関わる犯罪に紐づくアドレス群から得られたものにすぎません。ほとんどの場合、この数字には、いわゆる「オフチェーン」で行われた犯罪(元々は暗号資産との関わりがない犯罪)からの資金洗浄に使われた暗号資産のケースは含まれません。 その手のオフチェーンのアクティビティを広範に捉えることは困難です。なぜなら、(明確な識別情報やコンテクストなしに)暗号資産アドレス間の資金移動を単に見るだけでは、それが違法ではない普通の取引と区別がつかないからです。しかしながら、そのようなオフチェーン犯罪に紐づく暗号資産の利用や、捜査官が当社ツールを使ってそのような犯罪資金を追跡しているという事実はあります。さらに言えば、当社の民間事業者のユーザが、そのような疑わしいアクティビティやそれに関連するアドレスやトランザクションを当社に情報共有し、それを当社や他のユーザの調査に活かせるよう、当社の識別情報に反映させることもあります。 Chainalysisを利用している日本最大手の暗号資産交換業者から情報提供頂いた事案の一例は、まさにこのことを物語ります。その暗号資産交換業者が警察からアカウントにて違法資金の日本円入金があったと照会を受けて調査したところ、その資金が暗号資産に換えられて出金されていたというものです。本記事では、オンチェーンでのマネーロンダリング手法を解説したうえで、そのような事案に対しどのように暗号資産交換業者が手を打つべきなのかを論じます。 日本で発生しているオンチェーンでのマネロンの動き ここで取り上げる疑わしいアクティビティは、当社ユーザである暗号資産交換業者(取引所)からの情報提供により判明したものです。元々その取引所は、アカウントが詐欺による資金の受け口になっていると法執行機関から照会を受けていました。その詐欺の詳細については正確にはわからないものの、近年日本国内で問題となっている特殊詐欺に関連するものと推定できます。例として、区職員を騙った詐欺や保険を騙った詐欺、そして闇バイトの問題などは、これまでニュースで取り上げられてきています。 この事案に関わった犯罪グループは、違法に得た日本円を暗号資産に換えたあと、複数のプライベートウォレットに送り、最終的には現金化が可能な他の取引所に移しています。この動きは、以下のChainalysisのグラフで見てとれます。 このグラフの左上部分に着目すると、この事案を報告した取引所から一連のプライベートウォレットへの資金移動が見られ、一般的なマネーロンダリング手法である「プレイスメント」や「レイヤリング」のような動きと捉えられます。これらはその取引所が当社に情報提供したアドレスのトランザクションであり、不正アカウントに紐づくものです。当社はこれまでにこのような特殊詐欺の資金の第一ホップとなるプライベートウォレットを識別していますが、こうすることによって、他の国内取引所も識別済不正アドレスへの送金ユーザを検知しやすくなります。 起点である取引所から出金される際、その資金は複数の中間ウォレットに拡散され(グラフのStep 1、2から見てとれるレイヤリングの動き)、その後たった一つのプライベートウォレットに集約されています(Step 3)。このように、多数のウォレットに一度拡散した資金が、その後一点に集約されるのは、当社が観測している過去の事例からみても、典型的なマネーロンダリングのパターンといえます。そこから、資金はさらに多数のウォレットに送られますが(Step 4)、おそらく現金化のために最終的には主要取引所のたった一つの入金アドレスに集約されています(Step 5では、マネーロンダリングの「インテグレーション」として知られる手法が見てとれる)。 マネーロンダリングの目的で取引所アカウントを用意するのは真新しいことではありません。日本では、あるネット銀行が、新規口座開設から1ヶ月間は暗号資産交換業者への日本円送金を制限するという措置をとっています。また、日本サイバー犯罪対策センター(JC3)は、このような犯罪についての注意喚起及び手法の解説を最近発表しました。 警察・金融機関・暗号資産交換業者間の連携 今回のケースは、警察や銀行、暗号資産交換業者、そしてChainlysisの間での強い連携を示した事例です。今後も、犯罪の発生場所がオンチェーンであるかどうかに関わらず、暗号資産に関連する犯罪に対抗するための組織間連携はますます重要となるでしょう。当社としても、関連情報を関係組織に適切に提供し、製品やデータの質を継続的に向上させていきます。 This website contains links to…
3000万ドル相当の資金差押え:北朝鮮ハッカーの盗難資金に対する暗号資産コミュニティの取り組み
暗号資産関連の犯罪で今最も問題の一つとなっているのは、DeFiプロトコルや特にクロスチェーンブリッジからの資金流出であり、近年被害が急激に増加しています。被害額ベースで、DeFiプロトコルから窃取された資金の多くは北朝鮮系のアクターによるもので、特にハッキングの精鋭部隊であるLazarus Groupが関与しているとみられます。Chainalysisでは、2022年の現時点までに、北朝鮮系グループがDeFiプロトコルから摂取した暗号資産の総額は約10億ドル相当になると推定しています。 しかし、本日2022年9月8日、私はAxie Infinity主催のイベントAxieCoinに参加し、良いニュースをお伝えする機会がありました。法執行機関と暗号資産業界の諸団体の協力により、北朝鮮系ハッカーによって盗まれた3000万ドル相当の暗号資産を差し押さえることに成功しました。これは北朝鮮グループによる盗難資金を差し押さえた初めてのケースですが、今後もこのような成功事例が出てくることでしょう。 これは、2022年3月に発生した、Ronin Network (play-to-earnゲームAxie Infinityのサイドチェーン)からの6億ドル相当の暗号資産の盗難事件における、我々の調査の成果です。Chainalysis Crypto Incident Response Teamが、高度な追跡技術によって盗まれた資金の流出先を突き止め、法執行機関や業界のプレイヤーとの連携により、この資産差押えに寄与することができました。 今回の差押えは、(流出時点と差押時点の価格差も考慮すると)Axie Infinityからの盗難資金の約10%ですが、犯罪者が不法に得た暗号資産を現金化するのが一層困難になっていることを示した一例と言えるでしょう。適切なブロックチェーン分析ツールの活用により、一流の調査員やコンプライアンス専門家達が最も洗練されたハッカーやマネロン関与者を食い止められることが証明できました。まだまだやるべきことはあるにせよ、これは暗号資産のエコシステムをより安全にするための我々の努力の一つのマイルストーンとなりました。 さて、この資金差押えはどのようにして行われたのでしょうか。以下にお伝えできることを示します。 Ronin Bridge事件の発生経緯と盗難資金の動き Lazarus Groupによる攻撃の発端は、Ronin Networkのクロスチェーンブリッジのトランザクションバリデータが管理する9つの秘密鍵のうち5つへのアクセスを得たことです。バリデータの過半数の秘密鍵を利用することで、2件の送金トランザクションが成立し、173,600…