事例紹介:Chainalysis Reactor 活用による Microsoft のRaccoonO365 民事訴訟支援
※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。
これまでのフィッシングは、偽メールの作りが粗く、誤字の目立つ偽ドメインも多く、被害が一部にとどまることが少なくありませんでした。
ところが、PhaaS(Phishing-as-a-Service:フィッシング アズ ア サービス)の登場で状況が一変しました。少額の利用料で既製のフィッシングキットを使い、本物そっくりの Microsoft 365 ログインページを用意し、短時間で認証情報の窃取に着手できます。高度な技術がなくても実行できる点が、拡大の要因になっています。
RaccoonO365 は、その典型例です。2024年7月以降、このキットにより少なくとも94か国で5,000件の Microsoft 資格情報が窃取されました。医療機関も標的となり、悪用されれば患者の安全や診療に悪影響が及ぶおそれがあります。運営は Telegram を通じて行われ、メンバーは800人超、受け取った暗号資産は少なくとも10万米ドルと報告されています。
先月、Microsoft はHealth-ISAC、Cloudflare、などのパートナーと連携し、RaccoonO365 に関係する338件のドメインを民事手続に基づき差し押さえるなど、法的・技術的な措置を講じました。これにより、攻撃者側の主要インフラに打撃を与えることができました。報道ではドメイン差押えとインフラの解体が強調されています。一方で、Chainalysis Reactorを用いた取引追跡が証拠の裏付けに資し、民事による差押えの実行を支えた側面もあります。
ブロックチェーン上の支払い記録
フィッシングキットを購入すると、ブロックチェーン上に取引記録が残ります。これらの記録は、運営者の活動拡大を評価する際の指標の一つとなり得ます。
Microsoft の Digital Crimes Unit(DCU)の捜査官は、フィッシングキットを試験的に購入し、実際の動きの確認を目的とした送信テストを段階的に実施しました。
「あるキットでは、代金支払い後に運営者からチップを求められました」と捜査官は振り返ります。違法な取引でありながら、日常の商取引に似たやり取りが行われている実情がうかがえます。
サービス運営者の一度の誤りが決定的な手がかりに
やり取りの途中、相手方は最初に Tron(USDT)のウォレットアドレスを示しましたが、誤りに気づき Ethereum のアドレスを送り直しました。この切り替えにより、両アドレスの関連が見え、特定に向けた重要な手がかりとなりました。
このトランザクションが、RaccoonO365と既知のインフラや特定の利用者との関連を示す突破口となりました。
資金の流れを可視化
本件は、Microsoft の DCU にとって節目となる事案でした。Reactor により、クロスチェーンの資金移動(トランザクション)を法廷提出を想定した時系列で整理し、複雑なスキームも関係者が追いやすい形で可視化できました。
「本件では、暗号資産のトレーシングが不正行為を特定の個人へ結びつける上で極めて重要な役割を果たしました。Chainalysis Reactor のようなツールを活用し、パターンを解明するとともに、攻撃者が犯罪収益を送った取引所を特定しました。」— Maurice Mason, Principal Cybercrime Investigator, Microsoft DCU
サービス化するサイバー犯罪(PhaaS)
RaccoonO365 は、PhaaS 型のサイバー犯罪の一例です。既製のフィッシングキットが広く流通し、国境を越えて拡大しやすく、専門知識がなくても扱えるよう提供されています。
今回の官民連携では、産業界・政府・技術パートナーが連携し、数千人に被害が及んだ脅威に対して、停止や拡大抑止を狙った対応が進められました。
Microsoft の DCU は次のように述べています。
「官民連携は不可欠です。力を合わせ、知見を共有することで、犯行に使われたツールの機能を抑え込み、より広い生態系への悪影響の拡大を防ぎやすくなります。」
補足情報は、Microsoft DCU 担当者のインタビュー記事および公開訴訟資料 (こちら)をご参照ください。
Reactor:ブロックチェーン捜査の業界標準を牽引する次世代モデルへ
Reactor は 10 年前の提供開始以来、暗号資産に関する初動捜査を可能にしてきました。現在は状況が大きく変わり、犯罪の手口は短時間で規模を拡大し、資金のやり取りは数秒で別のブロックチェーンへ移され、捜査員は限られた人員や時間のなかで増え続ける案件に向き合っています。
そこで、Reactor を大幅に更新し、捜査支援システムとして次世代水準へ引き上げました。新しい手口にも対応できるよう、機能と性能の改善を継続しています。
- 明確性 — 複雑なトランザクションが絡む事案でも、グラフで資金の流れと関係を一目で把握しやすくなります。
- 柔軟性 — 事案や読み手に合わせてグラフを調整できます。
- スピード — ブロックチェーンをまたぐ取引(クロスチェーン)についても、広範なデータに基づく迅速な追跡を支援します。
- 実効性 — 事件の早期解決を後押しし、犯行の先手を取ります。
Chainalysis の捜査ソリューションの中核として、Reactor は世界で1,500社以上に利用されています。今回の RaccoonO365 の事案で示されたように、世界の捜査現場での脅威アクターの特定と利用者保護を支えます。さらに、グローバルなパートナーシップを活かし、ブロックチェーン分析の知見を結集し、被害の最小化と適正な法執行に貢献します。
既存のお客様はログインのうえ、更新内容をご確認ください。導入をご検討の方は、こちらよりデモをご依頼ください。
This web site comprises hyperlinks to third-party websites that aren’t underneath the management of Chainalysis, Inc. or its associates (collectively “Chainalysis”). Access to such data doesn’t indicate affiliation with, endorsement of, approval of, or advice by Chainalysis of the location or its operators, and Chainalysis isn’t chargeable for the merchandise, providers, or different content material hosted therein.
This materials is for informational functions solely, and isn’t meant to offer authorized, tax, monetary, or funding recommendation. Recipients ought to seek the advice of their very own advisors earlier than making a majority of these choices. Chainalysis has no duty or legal responsibility for any determination made or another acts or omissions in reference to Recipient’s use of this materials.
Chainalysis doesn’t assure or warrant the accuracy, completeness, timeliness, suitability or validity of the knowledge on this report and won’t be chargeable for any declare attributable to errors, omissions, or different inaccuracies of any a part of such materials.
The submit 事例紹介:Chainalysis Reactor 活用による Microsoft のRaccoonO365 民事訴訟支援 appeared first on Chainalysis.
