|

15分で暗号資産3,500万ドル相当が流出:取引所ハッキングの進化と予防策

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。

年初、韓国の大手暗号資産取引所のホットウォレットの一つで異常な出金活動が検知されました。約15分間に数百件のトランザクションが実行され、約₩44.5B KRW(3,300万〜3,500万ドル相当)が抜き取られ、同取引所は全ての出金を停止しました。盗まれたアセットには、USDC、BONK、SOL、ORCA、RAY、PYTH、JUPなどの主要トークンが含まれていました。一方で、同取引所は盗難資金の半分超(₩23B KRW相当のLAYERトークン)を凍結することに成功しましたが、残余は既に回復不能でした。出金のパターンとタイミングを分析すると、本件はスマートコントラクトの不具合や利用者レベルの誤操作ではなく、ホットウォレットの署名フローが侵害されたことに起因すると示唆されます。

本記事では、最近発生した取引所ハッキングの動向を解説し、本件の手口を深掘りするとともに、HexagateのWallet Compromise Detection Kitと GateSigner がどのように早期検知し、被害額の最小化に寄与し得たかを示します。

CEXとカストディアンに対する侵害は増加傾向

今回の大手取引所での事案は明確な業界トレンドを反映しています。すなわち、中央集権型取引所(CEX)とカストディアンに対する侵害が増えています。背景には、複雑なクラウド環境で高速かつマルチチェーンの出金システムを運用する難度の上昇があります。取引所やカストディアンは市場でもっとも複雑なオンチェーンの資金フローを担うようになった一方で、堅牢なオンチェーンセキュリティの必要性を過小評価し、後に不十分と判明する対策に依存してしまうケースが少なくありません。
私たちはほぼ10年にわたり顧客環境をトラッキングし、Lazarusのような脅威グループの動向を追ってきましたが、明らかなシフトがあります。攻撃者は、より高い利得と大きく複雑な運用スタックを狙って、カストディアンやCEXを標的にする傾向を強めています。直近のBybit、BTCTurk、SwissBorg、Phemex、そして今回の韓国の取引所に対する攻撃はいずれも同じパターンに当てはまります。すなわち、単一点の侵害で、数百万ドル規模の損失が発生するというものです。

各事案の根本原因は異なります。アカウント乗っ取りにつながるソーシャルエンジニアリング、テックスタック内のサイバーセキュリティ上の不具合、マルウェア、内部不正など多岐にわたります。高度な攻撃者は唯一の弱点を突きます。現実的な前提は「完全防御」ではなく「いずれ何かが破られる」ということです。そして破られたとき、全ては検知と対応の速さにかかっています。強力なリアルタイムの検知と対応はリスクをゼロにはしませんが、運用上の侵害が壊滅的損失に発展することを防ぎます。

何が起きていたのか

本件発生前、事件に関与した取引所連結のSolanaウォレットのうちの一つ(数百あるうちの一つ)は数週間にわたり正常に振る舞っていました。残高は増減を繰り返していたものの、ゼロになったことは一度もありません。しかし攻撃発生時、そのウォレットは数分で完全に空にされました。これは正当な運用では極めて稀で、侵害を強く示唆するパターンです。特に以下のシグナルが際立っていました。

  • 残高ゼロ化のパターン:関与した全ウォレットに共通して、極めて短時間で残高がゼロに崩落するシグネチャが見られました。通常の取引所運用では起こり得ない挙動です。
  • 高額出金のスパイク:攻撃の7日前までの期間、同取引所のSolanaウォレットから約$100,000規模の出金は1件しかありませんでしたが、攻撃時には同規模の出金がおよそ15分で約80件発生しました。
  • 多数アセットでの高頻度実行:攻撃者は数十種類のトークンを、数百件のトランザクションで一気に移動しました。このバースト型の挙動は、平常時のベースラインから大きく逸脱します。

これらはまさに、Chainalysis Hexagateのような高度な自動行動分析システムがリアルタイムで検知するために設計されているシグナルです。最終的に、同取引所は出金停止という適切な判断を下し、利用者とプラットフォームを保護しました。この種のインシデントは、完全自動の検知・対応機構の有効性を浮き彫りにします。適切なリアルタイムのパイプラインが整備されていれば、異常は初期のわずかなトランザクション段階でフラグ化され、重大な移動が発生する前に抑止できます。

盗難直後の動き

この段階で、攻撃実行者は自動マーケットメイカー(AMM)を用いて盗難アセットを交換し、発行体による凍結が困難なトークンへと転換することに注力していたと考えられます。これは大規模なホットウォレット侵害後の初期行動として典型的です。以下のChainalysis 調査ツール Reactor のグラフでは、現時点での動きの大半が拡散ではなく、資金の集約とアセット種別の入れ替えであることが分かります。

Reactorのグラフにおける初期移動の概観

Chainalysis Hexagateはどのようにウォレットからの流出を検知・阻止するか

1. Wallet Compromise Detection Kit

ホットウォレット侵害の最も早期の兆候を検知するリアルタイム監視群で、Chainalysisのインテリジェンスを付加しています。主な内容は以下のとおりです。

  • 残高流出パターン検知:ウォレット残高が突如ゼロ方向へ落ち込む挙動を検知します。

  • バースト検知:短時間に高額出金が急増する事象にフラグを立てます。

  • 未知の送付先検知:内部の信頼できるエコシステム外のアドレスに資金が移動した場合にアラートを出します。

  • 機械学習による侵害検知:過去のCEX侵害事例と広範なエコシステム挙動を学習したモデルにより検知します。

これらのシグナルは、悪意あるトランザクションの最初の数件、場合によってはそれ以前の微妙な行動変化の段階で発火します。こうした早期検知を用いることで、CEXは出金停止、コールドストレージへの退避、フローの隔離といった防御措置を自動化でき、より迅速かつ一貫性をもって、運用ミスを減らしながら対応できます。

ホットウォレット侵害の最速兆候を監視するWallet Compromise Detection Kitのリアルタイムモニター

2. GateSigner (事前署名プロテクション)

GateSignerは署名フローに接続され、各トランザクションを事前にシミュレーションしてリスクの高い挙動を検査し、承認前の重要な審査機能を提供します。

  • まず、出金をシミュレーションします。

  • 結果を侵害検知モニター群に照合します。

  • 異常が認められれば、そのトランザクションはチェーンに流れる前にブロックまたはエスカレーションされます。これにより、攻撃者が通そうとしている危険なトランザクションに、インフラが誤って署名してしまう事態を防ぎます。

GateSignerによるトランザクションシミュレーション後の結果

いくつかの考察

ホットウォレットの侵害は、今日、カストディアンや取引所が直面する最も高額で頻度の高いリスクの一つになりつつあります。最も備えが行き届いている組織は、早期検知と署名パイプラインの強固な統制に投資しています。HexagateのWallet Compromise Detection KitとGateSignerは、CEXが異常を即座に捉え、実行前に危険な出金を遮断し、適切なタイミングで適切な対応を自動化する力を提供します。避けがたい侵害を限定的な事案にとどめ、利用者、運用、そしてビジネス全体を守る最も効果的な方法です。

Wallet Compromise Detection KitとGateSignerが、次の大規模窃盗の被害者になることを未然に防ぐ方法の詳細や、デモのご依頼についてはお問い合わせください。

This web site comprises hyperlinks to third-party websites that aren’t below the management of Chainalysis, Inc. or its associates (collectively “Chainalysis”). Access to such data doesn’t indicate affiliation with, endorsement of, approval of, or suggestion by Chainalysis of the positioning or its operators, and Chainalysis is just not accountable for the merchandise, providers, or different content material hosted therein. 

This materials is for informational functions solely, and isn’t supposed to offer authorized, tax, monetary, or funding recommendation. Recipients ought to seek the advice of their very own advisors earlier than making these kinds of selections. Chainalysis has no accountability or legal responsibility for any determination made or every other acts or omissions in reference to Recipient’s use of this materials.

Chainalysis doesn’t assure or warrant the accuracy, completeness, timeliness, suitability or validity of the knowledge on this report and won’t be accountable for any declare attributable to errors, omissions, or different inaccuracies of any a part of such materials.

The submit 15分で暗号資産3,500万ドル相当が流出:取引所ハッキングの進化と予防策 appeared first on Chainalysis.

Similar Posts

  • 2025年暗号資産規制の総括と今後の論点

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 暗号資産に関する規制の動きを追っていると、2024年12月の状況が、すでにかなり前のことのように感じられます。たった12か月前と比べても、現在の世界全体の政策環境は大きく変化しました。変化のスピードは非常に速く、その勢いが弱まる兆しはほとんどありません。 そこで2026年に入る前に、2025年に起きた主な規制の変更点を振り返ります。グローバル全体の流れ、地域ごとの動き、そして2026年に特に注目されるトピックについて整理します。より詳しい背景や分析は、チェイナリシス Road to Crypto Regulation シリーズと2025 Geography of Cryptocurrency Reportをご覧ください。 世界の視点から見る、デジタル資産政策「5つの大きな流れ」 1. 規制導入の進捗と、運用段階での摩擦・課題 ここ数年、各国・地域で、デジタル資産を対象とする包括的な規制枠組みの整備が進んできました。進み具合に差はあったものの、全体としては大きな前進が見られました。ただし、その進展は国や地域により不均一でした。 2025年になり、「法律を作る段階」から「実際に運用・実装する段階」に移行すると、その実装プロセス自体が、立法(法律を作ること)と同じくらい、政治的にも実務的にも複雑であることが明らかになりました。 EU ではMiCA(Markets in Crypto‑Assets)は、2025年初めに全面適用となりました。これにより、これまでAML (マネー・ロンダリング対策)中心」の個別ルールに頼っていた体制から、世界で初めての包括的な暗号資産の共通ルールへと移行を図っています。ただし、この移行の進み方は、加盟各国で一様ではありません。 ESMA(欧州証券市場監督局)やEBA(欧州銀行監督機構)は、技術的な基準や監督体制をそろえるための取り組みを進めていますが、それでも各国ごとに、条文の解釈や実装方法に違いが残っています。特にステーブルコイン制度については、次のような論点が、実務上まだ整理の途中にあります。 複数の事業者が共同で発行・運用する「マルチ発行モデル」をどう扱うか e-money token(電子マネー型トークン)の位置づけをどう整理するか 既存のPayment Services Regulation(決済サービス規制)やMiFID金融商品市場指令)との整合性をどう取るか こうした「新しい暗号資産のルール」と「もともとある決済・投資サービスのルール」との関係整理が、実務上の大きな課題になっています。 同じような「実装段階での課題」は、他の地域でも見られます。例えばシンガポールでは、Financial Services and Markets Act に基づく Digital Token Service Provider 規制の迅速な展開により、事業者が法的影響の評価を急ぐ事態となりました。世界全体では、トラベルルールの実装も、事業者側・規制当局側の両方にとって課題となっています。具体的には、次のような点が問題になりやすくなっています。 「サンライズ問題」(国ごとに施行時期がずれることで生じるすき間)の発生 アンホステッドウォレット(取引所などを介さない個人ウォレット)の扱いをどうするか 規制当局側・事業者側ともに、技術やリスクに関する専門知識をどこまで確保できるか 各社・各国が使うツール同士の相互運用性(互換性)をどう確保するか このように、「ルール作り」が終わっても、実際の運用段階で進み具合に差が出たり、初期段階ならではのトラブルや課題が発生したりするのは、むしろ自然なことと言えます。こうした規制が成熟していくのに伴い、2026年も引き続き、摩擦の解消や、コンプライアンス(法令順守)・監督の能力を高める取り組みが続くと見込まれます。 2. ステーブルコインの台頭と、ルール再編 米国では、ステーブルコインに関する包括的な法律であるGENIUS 法が成立しました。 これにより、米国内のステーブルコイン発行者に対する連邦レベルでの共通枠組みが整っただけでなく、他国の政策にも影響を与える国際的なベンチマーク(標準的な参考モデル)ができました。その結果、世界各国でステーブルコイン政策を進めようとする動きが加速しました。 現時点で、ステーブルコインに関する法律がすでに施行されているのは、日本、EU、香港など一部の国・地域に限られています。しかし、韓国や英国などでも、発行体をどう規制するかについての制度設計が進んでいます。議論の対象は、単に「価格を安定させる方法」や「準備資産が十分かどうか」「監査・アテステーション(第三者確認)」といった技術的な点にとどまりません。金融の安定性、資本移動管理、AML/CFTへの影響など、金融システム全体への波及も含めて検討されています。 規制が整備されるにつれ、世界全体でのステーブルコインの使われ方も、徐々に組み替えられつつあります。例えばEUでは、暗号資産サービス提供者(CASP:Crypto‑Asset Service Provider)が、MiCAに適合しないステーブルコインを提供できない、もしくは大きく制限されるケースが増えました。その結果、MiCAに適合したステーブルコインに資金が戻る動きが見られます。…

  • Chainalysis のソリューションが Amazon Web Services(AWS)Marketplace で提供開始

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 このたび、Chainalysis のソリューションが AWS Marketplace にて提供開始となりましたので、お知らせいたします。AWS Marketplace は、Amazon Web Services(AWS)上で稼働するパートナー企業各社が提供するソフトウェア製品が多数掲載されたデジタルカタログで、ソフトウェアの検索・評価・購入・導入をスムーズに行うことができます。 また、Chainalysis は AWS ISV Accelerate Program にも参加しています。同プログラムは、AWS 上で稼働または AWS と統合するソフトウェアソリューションを提供する AWS パートナー向けの共同販売プログラムです。 今回の提供開始により、AWS を利用するお客様に向けて、当社のソリューションを以下のとおり提供できるようになりました。 Crypto Compliance, リスクに対して予防的に取り組む総合ソリューションです。組織が詐欺の未然防止、Web3 の悪用対策、不正のモニタリング、疑わしい取引の効果的な調査・報告を実現できるよう支援します。 Crypto Investigations, 高度な分析に基づくインテリジェンス主導の調査、アナリティクス、高度な知見により、複雑性を明確化へと転換し、手掛かりの発見、分析の効率化、迅速な対応を支援する先進ソリューションです。 Data Solutions, Chainalysis のデータへ直接アクセスできる、完全にカスタマイズ可能な脅威インテリジェンス、アラート、オートメーションのプラットフォームです。 Chainalysis の各種ソリューションは、不正な資金移動や違法取引を早い段階で特定・遮断することで、暗号資産エコシステム全体の安全性を高め、暗号資産を悪用した犯罪はもはや通用しない行為であることを明確にします。AWS Marketplace に参加することで、AWS 上で未来を築く金融機関、政府機関、暗号資産関連事業者に、当社の不可欠なツールをより使いやすい形で提供できるようになります。 AWS をご利用の多くのお客様にとって、本連携により Chainalysis のブロックチェーン分析基盤をこれまで以上に利用しやすくなりました。既存の AWS Marketplace アカウントから、Chainalysis の各種ソリューションの契約や管理を一元的に行うことができます。これにより、煩雑な手続きに時間を取られることなく、リスク管理や不正対策、安全なイノベーションの推進といった本来注力すべき業務に集中していただけます。 「私たちの使命は、ブロックチェーンへの信頼を確立することです。AWS Marketplace で当社ソリューションをご提供できるようになったことは、その実現に向けた重要な一歩だと考えています」と、Chainalysis の CEO 兼共同創業者である Jonathan…

  • Venus Protocolハッキング阻止・資金回復におけるHexagateの活用事例

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 — 2025年9月2日、Venus Protocolのユーザーが標的となり、約1,300万ドル相当の資金が危険にさらされました。ソーシャルエンジニアリングを利用し、悪意のあるアクターが改ざんされたZoomクライアントを利用してシステムへのアクセスを取得しました。被害者の端末に侵入後、攻撃者はユーザーにブロックチェーン取引の実行を誘導し、アカウントの代理操作権限を取得。これにより、攻撃者は被害者の代理としてアセットの借入・償還を直接行い、資金を流出させました。 分散型金融(DeFi)はその革新性で注目を集めている一方、今回の事件は最新のセキュリティ対策が高度な攻撃者に対して機能することを示す事例です。ここでは、Chainalysis Hexagateと調査の専門家コミュニティがハッキングを阻止し、迅速に資金を回収した流れについてご紹介します。 早期検知:Hexagateの役割 攻撃の1か月前、Venus ProtocolはHexagateの新規顧客としてサービスを導入しました。これが大きな違いを生みました。Hexagateのプラットフォームは、資金が取り返しのつかない損失になる前に、プロトコルレベルでの不審な活動を早期に検知し、Venusチームの迅速な対応を可能にしたのです。具体的な流れは以下の通りです。 Hexagateプラットフォームは、実際のインシデント発生18時間前にVenusに関連する不審な動きを検知し、アラートを発信しました。 攻撃が始まるとすぐに、Hexagateが再度アラートを発信し、HexagateチームがVenusに連絡して全マーケットの即時停止を助言しました。 悪意あるトランザクションから20分以内にVenusはプロトコルを停止しました。 この迅速な対応により、ユーザーの資産が守られ、攻撃者による資金移動が阻止され、マーケット全体へのリスクも最小限に抑えられました。 Hexagateによる重要アラート:インシデント18時間前に不審なコントラクトがデプロイされたことを示す Hexagateは、実際の脅威と通常のマーケット動向を明確に区別し、チームが重要なイベントに集中できるようにしています。 迅速な回復:連携した対応と資産保護 プロトコル停止後、Venusは多段階の回復プランを実施しました。 セキュリティチェックによりコアdAppおよびフロントエンドの安全性が確認されました。 攻撃から5時間以内に、安全な範囲で一部機能を復旧しました。 7時間以内に攻撃者のウォレットを強制清算し、損失をさらに低減しました。 12時間以内に盗難資金を全額回収し、サービスを全面再開しました。 これが可能だったのは、Hexagateによるリアルタイムのセキュリティ監視と対応により、事前に不審な動きが検知されたためです。Venus Protocolのチームは、これらのインサイトを活用し、コミュニケーション・連携・ガバナンスアクションを迅速に遂行しました。 ガバナンスを活用したセキュリティ:攻撃者への反撃 資金回収後、最も注目すべき動きがありました。 Venusはガバナンス提案を可決し、攻撃者が管理していた300万ドル分のアセットを凍結しました。攻撃者は利益を得られなかっただけでなく、コミュニティの決断により300万ドルの損失を被りました。 DeFiプラットフォームとユーザーへの意味 Venus Protocolの事例は単なる成功ではなく、今後のDeFiセキュリティの証明となるものです。Hexagateは事件を通して「早期警告」「実践的なインテリジェンス」「継続的な監視」を提供しました。モニタリングとアラートはVenusのインシデント対応を「事後対応」から「事前対応」へと変革し、大切な顧客の資産を守ることができました。このようなセキュリティ対策は、DeFiプラットフォームが重要な局面でユーザーを守れることへの信頼を高めます。攻撃を阻止するだけでなく、エコシステム全体の信頼を守ることがセキュリティの本質です。 Hexagateは、フィッシング、不審なオンチェーン活動、コントラクトの操作など、さまざまな脅威を積極的にスキャンします。リアルタイムモニターにより、ハッキングが発生する前に98percentの確率で危険な行動を検知します。また、リアルタイムのアラートと通知により、サービスの一時停止や資金のロックといった迅速な対応が可能となり、セキュリティチームが数分以内にインシデントを封じ込めることができます。 Hexagateダッシュボード:リアルタイムのネットワーク活動を全体把握 Hexagateによる迅速な通知と自動オンチェーン対応 この事例は、リアルタイムの統合監視、オンチェーン分析、共同対応による検知・対応体制の変革力を示しています。その他のDeFiプロトコルにとっても、攻撃の予防だけでなく、迅速な対応、透明性のある調査、そして決断力のあるガバナンスが不可欠であることを示す指針です。 当社ChainalysisのHexagateセキュリティソリューションが、貴組織への潜在的な攻撃を未然に防ぐ方法については、こちらからデモをご予約ください。   This web site accommodates hyperlinks to third-party websites that aren’t underneath the management of Chainalysis, Inc. or its associates (collectively…

  • 東南アジアの大規模暗号資産詐欺ネットワークが米英の経済制裁・資金没収の対象に

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 OFACはPrince Group TCOおよび関連する146の対象者を、ロマンス詐欺(pig butchering)を含む大規模な詐欺事業の運営に関与しているとして制裁指定しました。その中にはChen Zhi個人も含まれます。 このネットワークの暗号資産関連オペレーションには、Warp Data Technologyを通じたビットコインのマイニングや、詐欺で得た資金のマネーロンダリングが含まれています。 主要な金融サービスプロバイダーであるHuione Groupは、40億ドル超の不正暗号資産収益の洗浄を行い、過去4年半で980億ドル以上の暗号資産流入を処理した後、米国の金融システムから遮断されました。 米国司法省(DOJ)は、米国保管下にある150億ドル相当のビットコインが関わる過去最大規模の没収事件を開始しました。   2025年10月14日、米国財務省外国資産管理局(OFAC)と金融犯罪取締ネットワーク(FinCEN)は、英国外務・英連邦・開発省(FCDO)と連携し、東南アジアで活動する暗号資産を利用した詐欺ネットワークに対し措置を講じました。この制裁指定には、Prince Group TCOおよびChen Zhiを含む大規模な関連企業・個人ネットワークが含まれ、暗号資産詐欺、マイニング事業、マネーロンダリング等に関与しています。また、英国の金融制裁執行局(OFSI)は、Jin Bei Group Co. LtdおよびPrince Groupと関係を持つ暗号資産取引所Byex Exchangeにも制裁を科しました。 この措置の一環として、2025年5月1日に立法案公告(NPRM)の対象となっていたHuione Groupは、USA PATRIOT Act第311条に基づく米財務省 金融犯罪取締ネットワーク(FinCEN)の特別措置により、主要なマネーロンダリング懸念先として指定され、正式に米国金融システムへのアクセスが遮断されました。 さらに米国司法省(DOJ)は、Prince Holding Group(Prince Group)の創設者兼会長であるChen Zhi(別名Vincent)に対する起訴状を開示しました。DOJはまた、不正スキームに関連した約127,000ビットコイン(時価約150億ドル)を対象とした史上最大規模の民事没収申立ても提起しました。 事業の中心にある暗号資産 Prince Groupに関連する高級ホテルやカジノ事業であるJin Bei Group Co. Ltd.は、カンボジア全土で恐喝、強制労働、大規模な詐欺、さらに2023年に発生した25歳中国人男性の殺害など、さまざまな犯罪活動と関連づけられています。2022年に米国で中国系マネーロンダリングネットワークが摘発された際、FBIはJin Beiコンパウンド内で活動する詐欺師により、259人のアメリカ人が合計1,800万ドルの被害を受けたことを特定しましたが、これはこのグループによる金銭的被害全体のごく一部に過ぎません。Prince Holding Groupは自身との関係断絶を試みてきたものの、公的記録や2025年6月のカンボジア政府プレスリリースにより、Jin Bei CasinoがPrince Holding Groupの所有であり、Chen ZhiがCEOであることが確認されています。 Chen Zhiとその側近ネットワークは、複数の企業や子会社を駆使して、マネーロンダリング、投資詐欺、強制労働、その他の重大犯罪を東南アジア全域で組織的に実行してきました。Chen Zhiの近くにいる不動産幹部や金融オペレーター、ペーパーカンパニーのオーナーらは、不正資金の移動、詐欺施設の監督、支配維持のための暴力行為の実行を担っていたとされています。 Prince Groupの影響範囲はカンボジアを大きく超え、パラオにも広がっています。パラオでは、組織犯罪と関係があるとされるRose Wangの協力のもと、Prince…

  • 北朝鮮IT労働者・暗号資産の資金洗浄と兵器開発資金供与:OFACが新たに制裁指定

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2025年8月27日、米国財務省外国資産管理局(OFAC)は、北朝鮮(DPRK)に関連する不正なIT労働者ネットワークに対する制裁を発表しました。Vitaliy Sergeyevich Andreyev(ロシア国籍)は、Chinyong Info Expertise Cooperation Firm(Chinyong、別名Jinyong IT Cooperation Firm)への送金を仲介しており、そのための暗号資産アドレスも今回の制裁対象に含まれました。Chinyongは2023年5月、OFACおよび韓国外交部(MOFA)によって制裁を受けています。 今回の制裁には、Kim Ung Solar、Shenyang Geumpungri Community Expertise Co., Ltd.、Korea Sinjin Buying and selling Corporationも含まれています。これらの関係者は、北朝鮮IT労働者が得た収益を北朝鮮の大量破壊兵器および弾道ミサイル計画の資金に流用する手口に関与したとされています。 北朝鮮IT労働者ネットワーク:大量破壊兵器の資金源 今回の制裁は、これまでOFACが行ってきた北朝鮮IT労働者ネットワークへの対策を継承するものです。2023年5月、OFACはChinyong Info Expertise Cooperation Companyおよび同社の従業員であるSang Man Kimを制裁対象として指定し、その際に暗号資産アドレスも公表しています。 このネットワークでは、海外に派遣した北朝鮮のIT労働者が、偽名を用いて通常の企業に潜入し、機密情報の窃取やランサムウェア(身代金要求型ウイルス)による攻撃を行っています。そして、給与は暗号資産で受け取る仕組みとなっています。最終的に、そこで得られた資金は北朝鮮に送金され、大量破壊兵器開発のための資金として活用されています。 調査ツール Reactorを用いた分析では、ChinyongとKimが主流サービスや分散型金融(DeFi)、ミキサーなどを組み合わせて資金洗浄を行っていたことが明らかになっています。また、Chinyongや北朝鮮IT労働者のウォレットから、Kimが運用するサービスの入金アドレスへ直接資金が移動していたことも確認されています。 今回の制裁では、Chinyongへの送金を仲介したとして、Andreyevのbitcoinアドレスが対象に含まれています。Andreyevは、ロシア駐在の北朝鮮経済・通商領事官 Kim Ung Sunと協力し、暗号資産を現金化することで、合計60万ドル超の資金移動を実施しました。 Reactorグラフで図示すると、Andreyevのアドレスは、一般的な取引所(中央集権型取引所:CEX)の入金アドレスであり、北朝鮮IT労働者による資金洗浄に繰り返し利用されてきました。このアドレスを活用した複数回の資金洗浄活動は取引所、ブリッジ(bridge)、分散型金融(DeFi)プロトコルなどの利用履歴から裏付けられており、OFACの資料によればAndreyevのアドレスには60万ドル以上の入金が確認されています。 国家主導の暗号資産不正への戦略的対抗策 AndreyevやKim Ung Solar、および関連するフロント企業への制裁により、OFACは北朝鮮の不正な収益源の遮断を目指しています。今回の制裁措置は、海外に拡大している北朝鮮IT労働者ネットワークの実態や、米国企業を標的にした詐欺行為、兵器プログラムへの資金供与の状況をさらに明確にしています。 今回の制裁指定は、最近実施された北朝鮮IT労働者ネットワークを対象としたその他の措置と併せて、暗号資産を活用し体制を支援するインフラや資金仲介者が、今後も規制当局による主要な取り締まり対象であり続けることを示しています。 This web site incorporates hyperlinks to third-party websites that aren’t…

  • 事例紹介:Chainalysis Reactor 活用による Microsoft のRaccoonO365 民事訴訟支援

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 これまでのフィッシングは、偽メールの作りが粗く、誤字の目立つ偽ドメインも多く、被害が一部にとどまることが少なくありませんでした。 ところが、PhaaS(Phishing-as-a-Service:フィッシング アズ ア サービス)の登場で状況が一変しました。少額の利用料で既製のフィッシングキットを使い、本物そっくりの Microsoft 365 ログインページを用意し、短時間で認証情報の窃取に着手できます。高度な技術がなくても実行できる点が、拡大の要因になっています。 RaccoonO365 は、その典型例です。2024年7月以降、このキットにより少なくとも94か国で5,000件の Microsoft 資格情報が窃取されました。医療機関も標的となり、悪用されれば患者の安全や診療に悪影響が及ぶおそれがあります。運営は Telegram を通じて行われ、メンバーは800人超、受け取った暗号資産は少なくとも10万米ドルと報告されています。 先月、Microsoft はHealth-ISAC、Cloudflare、などのパートナーと連携し、RaccoonO365 に関係する338件のドメインを民事手続に基づき差し押さえるなど、法的・技術的な措置を講じました。これにより、攻撃者側の主要インフラに打撃を与えることができました。報道ではドメイン差押えとインフラの解体が強調されています。一方で、Chainalysis Reactorを用いた取引追跡が証拠の裏付けに資し、民事による差押えの実行を支えた側面もあります。 ブロックチェーン上の支払い記録 フィッシングキットを購入すると、ブロックチェーン上に取引記録が残ります。これらの記録は、運営者の活動拡大を評価する際の指標の一つとなり得ます。 Microsoft の Digital Crimes Unit(DCU)の捜査官は、フィッシングキットを試験的に購入し、実際の動きの確認を目的とした送信テストを段階的に実施しました。 「あるキットでは、代金支払い後に運営者からチップを求められました」と捜査官は振り返ります。違法な取引でありながら、日常の商取引に似たやり取りが行われている実情がうかがえます。 サービス運営者の一度の誤りが決定的な手がかりに やり取りの途中、相手方は最初に Tron(USDT)のウォレットアドレスを示しましたが、誤りに気づき Ethereum のアドレスを送り直しました。この切り替えにより、両アドレスの関連が見え、特定に向けた重要な手がかりとなりました。 このトランザクションが、RaccoonO365と既知のインフラや特定の利用者との関連を示す突破口となりました。 資金の流れを可視化 本件は、Microsoft の DCU にとって節目となる事案でした。Reactor により、クロスチェーンの資金移動(トランザクション)を法廷提出を想定した時系列で整理し、複雑なスキームも関係者が追いやすい形で可視化できました。 「本件では、暗号資産のトレーシングが不正行為を特定の個人へ結びつける上で極めて重要な役割を果たしました。Chainalysis Reactor のようなツールを活用し、パターンを解明するとともに、攻撃者が犯罪収益を送った取引所を特定しました。」— Maurice Mason, Principal Cybercrime Investigator, Microsoft DCU サービス化するサイバー犯罪(PhaaS) RaccoonO365 は、PhaaS 型のサイバー犯罪の一例です。既製のフィッシングキットが広く流通し、国境を越えて拡大しやすく、専門知識がなくても扱えるよう提供されています。 今回の官民連携では、産業界・政府・技術パートナーが連携し、数千人に被害が及んだ脅威に対して、停止や拡大抑止を狙った対応が進められました。 Microsoft…