米国・カナダが暗号資産詐欺対策で連携、数億円規模を押収

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 英国の法執行機関の職員が、Silk Road 2.0の捜査で押収された資産から約50 BTCを盗み出しました。犯人はBitcoin Fogというミキシングサービスを利用していたものの、Chainalysisの業界トップクラスのデータと専門的な調査サービスにより、トランザクションの痕跡を追跡することができました。約5年間の休眠期間を経て、当局は最終的に盗まれた130万ドル相当のbitcoinを回収しています。 このケースは、ブロックチェーン上の不変性を持つ記録と高度なブロックチェーン分析技術を組み合わせることで、巧妙な金融犯罪であっても明らかにできるという点を示しています。 2019年、英国当局はダークネットマーケット「Silk Road 2.0」の管理者であるThomas Whiteを逮捕し、大きな成果をあげました。捜査の過程で、当局はWhiteが所有していたデバイスを押収しました。しかし、一見すると通常の捜査に見えたこの事案は、後に衝撃的な展開を見せました。国家犯罪捜査庁（NCA）の捜査官が押収デバイスから秘密鍵を発見し、それを利用してWhiteのウォレットから約50 BTCを不正に盗み出したのです。 2017年、捜査が本格化していた時期に、捜査官たちはWhiteのウォレットから約50 BTCが不正に送金されていることを突き止めました。このbitcoinの移動は当初見過ごされていましたが、ブロックチェーン上には消えない記録が残っていました。盗まれた資金は一連のトランザクションを経て、有名なミキシングサービス「Bitcoin Fog」を用いて検出を回避するために細分化され、体系的に引き出されていたことも判明しています。これらの手口は資金追跡を難しくすることを意図したものでした。   調査手法と証拠に基づく押収ビットコイン不正の解明 2022年、Merseyside Police（マージーサイド警察)は、Whiteに属していた50 BTCに関する捜査を開始しました。長年、暗号資産のアンダーグラウンドで高度な資金の難読化サービスとして知られていたBitcoin Fogを利用したにもかかわらず、専門のサイバー犯罪捜査官は資金の追跡に成功しました。 捜査の進展により、証拠はWhiteではなく、2017年の初回捜査に関わった国家犯罪対策庁（NCA）の捜査官の一人であるChowlesに向けられました。捜査当局はChainalysisのソフトウェアとサービスを駆使し、一部の資金が暗号資産交換所などのサービスで現金化されていたことを特定しました。この結果、マージーサイド警察の捜査官は本人確認書類などの証拠を入手し、初期捜査チームのNCA捜査官であったChowles氏が、一連のトランザクションの背後にいたことが明らかになりました。 Screenshot from Chainalysis’s blockchain visualization tool, Reactor, showing the flow of funds through five key stages 暗号資産の検出から回収までの流れ 不正な資金の洗浄プロセスを経て、Chowlesは約30 BTCを捜査官が「デフォルトウォレット」と呼ぶウォレットに集約しました。このウォレットは約5年間休眠状態となっていましたが、警察がChowlesの自宅を捜索した際、その秘密鍵が保存されたデバイスが発見されました。 Chowlesの逮捕後、Chainalysis Global Servicesは専門知識に基づき、資金の流れを完全に文書化した決定的な証拠を提出しました。これにより、元英国国家犯罪庁（NCA）職員からの有罪答弁の確保に貢献しました。ブロックチェーンの不変の記録とChainalysisのデータおよび専門家による分析を組み合わせることで、トランザクションと押収資産を結びつける重要な証拠が明らかになりました。結果として、当時130万ドル以上の価値があった押収資産は、マージーサイド警察によって回収されました。 本事件からは、現代の金融捜査における三つの主要な原則が浮き彫りになりました。第一に、ブロックチェーン記録の永続性によって、時間が経過しても証拠にアクセスできる点です。第二に、複雑な資金隠蔽の試みがあっても、高度な分析能力により真実を明らかにできる点です。第三に、あらゆるトランザクションがデジタル上に消えない足跡を残すため、内部不正までも可視化できる暗号資産の固有の透明性です。 加えて、熟練した捜査官の存在が極めて重要であることも明らかとなりました。マージーサイド警察の訓練を受けたサイバー犯罪担当捜査官の専門性がなければ、こうしたトランザクションはブロックチェーンの膨大な台帳のなかに埋もれたままであった可能性があります。 ブロックチェーンはすべてを記憶する ブロックチェーン上の記録は永続的で高い透明性を持ち、その価値は捜査官の解釈能力によって左右されます。不変のトランザクション記録、Chainalysisの高度な分析機能、そして熟練した法執行機関との連携により、暗号資産は「不透明なツール」という認識から、新たな捜査の機会へと変貌を遂げています。 たとえ最初の盗難から数年が経過した場合でも、ブロックチェーンの特性によって真実が明らかになることがあります。これは、経験豊富な捜査官とChainalysisのツールおよびサービスが連携したことで実現しました。この事例は、暗号資産の世界ではあらゆる行動が永続的な痕跡として残り、それを発見する専門知識を持つ者によって、いつか真相が解明されることを証明しています。 Chainalysis Crypto Asset Seizure Certification…

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 — 2025年9月2日、Venus Protocolのユーザーが標的となり、約1,300万ドル相当の資金が危険にさらされました。ソーシャルエンジニアリングを利用し、悪意のあるアクターが改ざんされたZoomクライアントを利用してシステムへのアクセスを取得しました。被害者の端末に侵入後、攻撃者はユーザーにブロックチェーン取引の実行を誘導し、アカウントの代理操作権限を取得。これにより、攻撃者は被害者の代理としてアセットの借入・償還を直接行い、資金を流出させました。 分散型金融（DeFi）はその革新性で注目を集めている一方、今回の事件は最新のセキュリティ対策が高度な攻撃者に対して機能することを示す事例です。ここでは、Chainalysis Hexagateと調査の専門家コミュニティがハッキングを阻止し、迅速に資金を回収した流れについてご紹介します。 早期検知：Hexagateの役割 攻撃の1か月前、Venus ProtocolはHexagateの新規顧客としてサービスを導入しました。これが大きな違いを生みました。Hexagateのプラットフォームは、資金が取り返しのつかない損失になる前に、プロトコルレベルでの不審な活動を早期に検知し、Venusチームの迅速な対応を可能にしたのです。具体的な流れは以下の通りです。 Hexagateプラットフォームは、実際のインシデント発生18時間前にVenusに関連する不審な動きを検知し、アラートを発信しました。 攻撃が始まるとすぐに、Hexagateが再度アラートを発信し、HexagateチームがVenusに連絡して全マーケットの即時停止を助言しました。 悪意あるトランザクションから20分以内にVenusはプロトコルを停止しました。 この迅速な対応により、ユーザーの資産が守られ、攻撃者による資金移動が阻止され、マーケット全体へのリスクも最小限に抑えられました。 Hexagateによる重要アラート：インシデント18時間前に不審なコントラクトがデプロイされたことを示す Hexagateは、実際の脅威と通常のマーケット動向を明確に区別し、チームが重要なイベントに集中できるようにしています。 迅速な回復：連携した対応と資産保護 プロトコル停止後、Venusは多段階の回復プランを実施しました。 セキュリティチェックによりコアdAppおよびフロントエンドの安全性が確認されました。 攻撃から5時間以内に、安全な範囲で一部機能を復旧しました。 7時間以内に攻撃者のウォレットを強制清算し、損失をさらに低減しました。 12時間以内に盗難資金を全額回収し、サービスを全面再開しました。 これが可能だったのは、Hexagateによるリアルタイムのセキュリティ監視と対応により、事前に不審な動きが検知されたためです。Venus Protocolのチームは、これらのインサイトを活用し、コミュニケーション・連携・ガバナンスアクションを迅速に遂行しました。 ガバナンスを活用したセキュリティ：攻撃者への反撃 資金回収後、最も注目すべき動きがありました。 Venusはガバナンス提案を可決し、攻撃者が管理していた300万ドル分のアセットを凍結しました。攻撃者は利益を得られなかっただけでなく、コミュニティの決断により300万ドルの損失を被りました。 DeFiプラットフォームとユーザーへの意味 Venus Protocolの事例は単なる成功ではなく、今後のDeFiセキュリティの証明となるものです。Hexagateは事件を通して「早期警告」「実践的なインテリジェンス」「継続的な監視」を提供しました。モニタリングとアラートはVenusのインシデント対応を「事後対応」から「事前対応」へと変革し、大切な顧客の資産を守ることができました。このようなセキュリティ対策は、DeFiプラットフォームが重要な局面でユーザーを守れることへの信頼を高めます。攻撃を阻止するだけでなく、エコシステム全体の信頼を守ることがセキュリティの本質です。 Hexagateは、フィッシング、不審なオンチェーン活動、コントラクトの操作など、さまざまな脅威を積極的にスキャンします。リアルタイムモニターにより、ハッキングが発生する前に98percentの確率で危険な行動を検知します。また、リアルタイムのアラートと通知により、サービスの一時停止や資金のロックといった迅速な対応が可能となり、セキュリティチームが数分以内にインシデントを封じ込めることができます。 Hexagateダッシュボード：リアルタイムのネットワーク活動を全体把握 Hexagateによる迅速な通知と自動オンチェーン対応 この事例は、リアルタイムの統合監視、オンチェーン分析、共同対応による検知・対応体制の変革力を示しています。その他のDeFiプロトコルにとっても、攻撃の予防だけでなく、迅速な対応、透明性のある調査、そして決断力のあるガバナンスが不可欠であることを示す指針です。 当社ChainalysisのHexagateセキュリティソリューションが、貴組織への潜在的な攻撃を未然に防ぐ方法については、こちらからデモをご予約ください。   This web site accommodates hyperlinks to third-party websites that aren’t underneath the management of Chainalysis, Inc. or its associates (collectively…

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 北朝鮮のハッカーが2025年に暗号資産を20.2億ドル盗み、前年比51percent増加、累計被害総額は67.5億ドルに到達。攻撃件数は減少傾向。 北朝鮮は、IT労働者を暗号資産サービス内部に配置したり、経営層を標的とした高度ななりすまし手法を用いるなど、少ない件数で巨額の盗難を実現している。 北朝鮮は、中国語系のマネーロンダリングサービスやブリッジサービス、ミキシングプロトコルを好んで利用し、大規模な窃盗後は約45日間で資金洗浄を完了させる傾向がある。 2025年、個人ウォレットの侵害は15万8,000件に急増し、被害者は8万人に達したが、被害総額（7億1,300万ドル）は2024年から減少した。 分散型金融（DeFi）における預かり資産（TVL）は増加したが、2024～2025年のハッキング被害額は抑制されており、セキュリティ対策の強化が効果を発揮している可能性が示唆される。 The Chainalysis 2026 Crypto Crime Report Reserve your copy 暗号資産エコシステムは2025年も厳しい1年となり、盗難被害額は増加傾向が続きました。当社の分析からは、暗号資産盗難のパターンが変化していることが明らかになり、主な変化は以下の4点です。北朝鮮（DPRK）が依然として最大の脅威であること、中央集権型サービスへの個別攻撃が深刻化していること、個人ウォレットの被害が急増していること、そして分散型金融（DeFi）ハッキングのトレンドが従来と異なる動きを見せていることです。 これらの傾向はデータから明確に読み取れ、さまざまなプラットフォームや被害者層で暗号資産盗難の様相が大きく変化していることが分かります。デジタルアセットの普及が進み、資産価値が新たな高みに到達する中で、進化するセキュリティ脅威を理解することがますます重要となっています。 全体像：2025年に34億ドル以上が盗難被害 2025年1月から12月初旬までの間に、暗号資産業界では34億ドル超の盗難被害が発生しました。そのうち、2月のBybitへの攻撃だけで15億ドルを占めています。 この総額の背後では、盗難の構成にも重要な変化が見られます。個人ウォレットの侵害による被害割合は大きく増加し、2022年の全体の7.3％から2024年には44％に拡大。2025年はBybit事件の影響が大きくなければ37％になっていたと考えられます。 一方、中央集権型サービスでは秘密鍵のハッキングによる巨額損失が発生しています。こうしたプラットフォームは豊富なリソースと専門のセキュリティチームを有していますが、根本的なセキュリティ課題により依然として脆弱です。発生頻度は低いものの（以下のグラフ参照）、一度発生すると規模が非常に大きく、2025年第1四半期の損失の88％を占めました。 盗難被害額が高止まりしていることは、一部の分野で暗号資産セキュリティが向上した一方で、攻撃者が複数の手段で成功を収め続けていることを示しています。 上位3件のハッキングが全体損失の69％を占め、被害格差が1,000倍超に拡大 盗難資金の動きは昔から例外的な大型事件が主導していますが、2025年はその傾向がさらに拡大。最大規模のハッキングと全体の中央値の比率が初めて1,000倍を超えました。最大級の事件では、通常規模の事件の1,000倍もの資金が盗まれており、2021年の強気相場のピークさえ上回っています（被害発生時点のUSD換算額）。 こうした格差の拡大により、損失の集中度が劇的に高まっています。2025年の上位3件のハッキングがサービス全体の損失の69％を占め、個別事件が年間合計に極端な影響を及ぼす状況となっています。件数は変動しやすく、資産価格の上昇で損失の中央値も増加しますが、壊滅的な被害が発生するリスクはさらに加速しています。 北朝鮮、件数減少も依然として最大の暗号資産脅威 朝鮮民主主義人民共和国（北朝鮮）は、暗号資産セキュリティに対する国家レベルの最大の脅威であり続けており、攻撃頻度が大幅に減少したと分析される中でも記録的な盗難額を達成しました。2025年、北朝鮮のハッカーは少なくとも20.2億ドルの暗号資産を盗み、前年比51％増（2024年比で6億8,100万ドル増）。金額ベースでは過去最悪の年となり、北朝鮮による攻撃はサービス侵害全体の76％という記録的な割合を占めました。これにより、北朝鮮による暗号資産窃盗の累計下限推計は67.5億ドルとなります。 北朝鮮の攻撃者は、主に暗号資産サービス内部にIT労働者を配置して特権アクセスを獲得し、大規模な攻撃を実現しています。2025年の記録的な被害額は、取引所やカストディアン、Web3企業などでIT労働者を通じた初期アクセスや横展開を強化した結果と考えられます。 さらに最近では、このIT労働者モデルが進化し、単なる従業員としての潜入ではなく、著名なWeb3やAI企業のリクルーターを装い、偽の採用プロセスを通じて被害者の資格情報やソースコード、VPN/SSOアクセスを取得する手法が増加。経営陣を標的とした場合には、戦略的投資家や買収企業を装った偽のアプローチで、ピッチや疑似デューデリジェンスを通じてシステム情報やインフラへのアクセス経路を探るなど、IT労働者詐欺から派生した社会工学的手法が拡大しています。 例年通り、北朝鮮は他の攻撃者に比べて格段に高額な盗難を実行しています。下記グラフの通り、2022～2025年の北朝鮮関連のハッキングは最大規模帯に集中し、非北朝鮮系の攻撃はより均等な分布となっています。北朝鮮の攻撃は大規模サービスを狙い、最大限のインパクトを追求していることがわかります。 2025年の記録的な被害は、確認された件数自体は大幅に減少した中で発生しており、2月のBybit事件の影響が大きいと考えられます。 北朝鮮による独自のマネーロンダリングパターン 2025年初頭の大規模な資金流入により、北朝鮮関連の攻撃者が大規模に暗号資産を洗浄する手法がかつてないほど明らかになりました。他のサイバー犯罪者とは異なる特徴的な手法を持ち、運用上の嗜好や弱点も見えてきます。 北朝鮮のマネーロンダリングは、約60％超の資金が50万ドル未満の送金に集中する独自のブランケットパターンが特徴です。対照的に、他の犯罪者は100万～1,000万ドル超の大口を中心に送金しています。北朝鮮は大きな金額を盗みながらも、オンチェーンの送金は小口に分割して実施しており、高度な資金洗浄の巧妙さが伺えます。 他の犯罪者と比較して、北朝鮮は以下のような資金洗浄手段を強く好みます： 中国語系の資金移動・担保サービス（+355～+1,000％以上）：最も特徴的で、多数の洗浄業者から成る中国語圏のマネーロンダリングネットワークを重用。コンプライアンス管理が弱い場合も多い。 ブリッジサービス（+97％差）：ブロックチェーン間の資産移動を活用し、追跡を複雑化。 ミキシングサービス（+100％差）：資金の流れを隠すための利用が多い。 Huioneなどの専門サービス（+356％）：洗浄を促進する特定サービスの戦略的利用。 他の犯罪者は以下を重視： レンディングプロトコル（-80％差）：北朝鮮はこれら分散型金融サービスをほとんど利用しない。 KYC不要の取引所（-75％差）：意外にも、KYC不要の取引所は北朝鮮よりも他の犯罪者がよく利用。 P2P取引所（-64％差）：北朝鮮はP2Pプラットフォームへの関心が低い。 中央集権型取引所（-25％差）：他の犯罪者の方が従来型取引所とのやりとりが多い。 分散型取引所（DEX）（-42％差）：他の犯罪者はDEXの流動性や匿名性を重視。 このようなパターンは、北朝鮮が一般的なサイバー犯罪者とは異なる制約や目的で動いていることを示唆します。中国語系マネーロンダリングサービスやOTCトレーダーの活用は、北朝鮮の攻撃者がアジア太平洋地域の違法ネットワークと密接に連携していることや、中国拠点のネットワークを国際金融システムへのアクセス手段として歴史的に使ってきた流れとも一致します。 北朝鮮ハッキング後の資金洗浄タイムライン 北朝鮮関連のハッキング後におけるオンチェーンの動きを分析すると、盗難資金が約45日で展開される複数波の資金洗浄経路が一貫して見られます： 第1波：即時レイヤリング（0～5日目） ハッキング直後は、資金源からの距離を取るための急激な動きが発生します： 分散型金融（DeFi）プロトコルへの流入が最も顕著（+370％増）。 ミキシングサービスも大幅増加（+135～150％）、初回のオブスクレーション層を形成。 このフェーズは「初動」による資金分離が目的。 第2波：初期統合（6～10日目）…

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2025年8月27日、米国財務省外国資産管理局（OFAC）は、北朝鮮（DPRK）に関連する不正なIT労働者ネットワークに対する制裁を発表しました。Vitaliy Sergeyevich Andreyev（ロシア国籍）は、Chinyong Info Expertise Cooperation Firm（Chinyong、別名Jinyong IT Cooperation Firm）への送金を仲介しており、そのための暗号資産アドレスも今回の制裁対象に含まれました。Chinyongは2023年5月、OFACおよび韓国外交部（MOFA）によって制裁を受けています。 今回の制裁には、Kim Ung Solar、Shenyang Geumpungri Community Expertise Co., Ltd.、Korea Sinjin Buying and selling Corporationも含まれています。これらの関係者は、北朝鮮IT労働者が得た収益を北朝鮮の大量破壊兵器および弾道ミサイル計画の資金に流用する手口に関与したとされています。 北朝鮮IT労働者ネットワーク：大量破壊兵器の資金源 今回の制裁は、これまでOFACが行ってきた北朝鮮IT労働者ネットワークへの対策を継承するものです。2023年5月、OFACはChinyong Info Expertise Cooperation Companyおよび同社の従業員であるSang Man Kimを制裁対象として指定し、その際に暗号資産アドレスも公表しています。 このネットワークでは、海外に派遣した北朝鮮のIT労働者が、偽名を用いて通常の企業に潜入し、機密情報の窃取やランサムウェア（身代金要求型ウイルス）による攻撃を行っています。そして、給与は暗号資産で受け取る仕組みとなっています。最終的に、そこで得られた資金は北朝鮮に送金され、大量破壊兵器開発のための資金として活用されています。 調査ツール Reactorを用いた分析では、ChinyongとKimが主流サービスや分散型金融（DeFi）、ミキサーなどを組み合わせて資金洗浄を行っていたことが明らかになっています。また、Chinyongや北朝鮮IT労働者のウォレットから、Kimが運用するサービスの入金アドレスへ直接資金が移動していたことも確認されています。 今回の制裁では、Chinyongへの送金を仲介したとして、Andreyevのbitcoinアドレスが対象に含まれています。Andreyevは、ロシア駐在の北朝鮮経済・通商領事官 Kim Ung Sunと協力し、暗号資産を現金化することで、合計60万ドル超の資金移動を実施しました。 Reactorグラフで図示すると、Andreyevのアドレスは、一般的な取引所（中央集権型取引所：CEX）の入金アドレスであり、北朝鮮IT労働者による資金洗浄に繰り返し利用されてきました。このアドレスを活用した複数回の資金洗浄活動は取引所、ブリッジ（bridge）、分散型金融（DeFi）プロトコルなどの利用履歴から裏付けられており、OFACの資料によればAndreyevのアドレスには60万ドル以上の入金が確認されています。 国家主導の暗号資産不正への戦略的対抗策 AndreyevやKim Ung Solar、および関連するフロント企業への制裁により、OFACは北朝鮮の不正な収益源の遮断を目指しています。今回の制裁措置は、海外に拡大している北朝鮮IT労働者ネットワークの実態や、米国企業を標的にした詐欺行為、兵器プログラムへの資金供与の状況をさらに明確にしています。 今回の制裁指定は、最近実施された北朝鮮IT労働者ネットワークを対象としたその他の措置と併せて、暗号資産を活用し体制を支援するインフラや資金仲介者が、今後も規制当局による主要な取り締まり対象であり続けることを示しています。 This web site incorporates hyperlinks to third-party websites that aren’t…