|

ソウル市警察がChainalysisの支援により390億ウォンの暗号資産犯罪組織を解体

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。

先週、ソウル市警察庁(SMPA)は、近年最も巧妙なサイバー犯罪組織の一つを解体したと発表しました。2年間にわたる綿密な捜査により、企業役員を含む258人の著名な被害者から390億ウォン(約3,000万ドル)という驚くべき額の窃盗が明らかになりました。この国際的なハッキング組織が用いた手口は非常に高度かつ大胆で、経験豊富な捜査官でさえも驚かせるものでした。犯人らは暗号資産を使って痕跡を隠そうと試みましたが、ソウル市警察庁の熟練した捜査官たちは最先端のブロックチェーン分析ツールを活用してデジタル上の手がかりを追跡することができました。

事件概要:大胆なサイバー犯罪組織

2023年9月、ソウル市警察庁サイバー捜査チームは、国内のCEOから不正なアカウントアクセスに関する一件の通報を受けました。。12月には同様の報告が相次ぎ、不正利用された携帯電話アカウントによって被害者の口座から資金が引き出されるというパターンが明らかになりました。

捜査官が発見したのは、韓国の最富裕層を標的にした精巧な犯罪組織でした。その手口は巧妙で、被害者の個人情報のハッキングと資金窃盗に成功した後、犯人らは機関の職員になりすまして被害者の家族に接触し、さらなる個人データを収集してて二重三重の犯行に備えていました。

「このような犯罪手法は想像もできませんでした」と、ソウル市警察庁サイバー犯罪捜査チームのKim Kyung-hwan氏は語っています。

Chainalysisによるオンチェーン資金追跡

多くの現代金融犯罪と同様に、ハッカーらは盗んだ資金を暗号資産に変換することで捜査を複雑化しようと試みました。ここでChainalysisのブロックチェーンデータプラットフォームが捜査にとって重要な役割を果たしました。

ソウル市警察庁は、Chainalysisのソリューションを活用して複雑に絡み合った暗号資産トランザクションのネットワークを解明しました。Chainalysis Reactorを使うことで、捜査官はブロックチェーン・エコシステム全体での不正資金の流れを可視化・追跡し、これまで見えなかったつながりを明らかにすることができました。

本件の報道では、Chainalysis Reactorのグラフが特に言及されており、当社の技術が犯罪組織の資金の動きを解明するうえで重要な情報を提供したことが示されています。犯人らはすべての犯罪収益を暗号資産に交換して追跡を困難にしようとしましたが、ブロックチェーン自体の透明性と当社の高度なブロックチェーンインテリジェンスツールによって、その戦略は通用しませんでした。

捜査は最終的に韓国国外にも及びました。「Mr.A」とのみ特定された組織のリーダーは主に中国とタイに居住しており、国際協力が必要となりました。

国際刑事警察機構(Interpol)と協力し、捜査官はタイまでターゲットを追跡しました。ゴルフ場への訪問やホテルの滞在など行動パターンを分析した結果、Mr. Aは106日後に逮捕され、韓国へ送還されました。

ブロックチェーン分析:重要な捜査ツール

この事件は、Chainalysisのソリューションが現代の金融犯罪捜査において不可欠な要素となっている理由を示しています:

  • 見えない資金の追跡:犯人が暗号資産で足跡を隠そうとしても、Chainalysisのツールによって資金の流れを透明化し、追跡することが可能です。本件では異なるアセットタイプ間で資金が移動しても、当社プラットフォームは視認性を維持しました。
  • 複雑なネットワークの可視化:Chainalysis Reactorの可視化機能により、捜査官はトランザクション・アドレス・エンティティ間の関係性を理解し、マッピングできました。
  • 資産回収の実現:盗まれた390億ウォンのうち140億ウォンが回収されました。これは質の高いデータに裏付けられた場合にのみ実現可能なプロセスです。不正資金の押収は犯罪組織を無力化し、不正活動への再投資を防ぐために重要であることも覚えておくべきです。

捜査が成功裏に終わったことで強いメッセージが発信されました。暗号資産は一部の人が信じているような犯罪活動の安全地帯ではありません。「捕まらない」と考えている逃亡者に対して、警察庁国際刑事課協力室のSuperintendent Kim Jae-hyunは「いつかは必ず捕まります」と述べています。

暗号資産を利用した犯罪と捜査の進化

暗号資産の採用が世界的に成長を続ける中、犯罪手口も並行して進化しています。本件は、犯罪者が従来型の金融犯罪にバーチャルアセットを組み合わせ、複雑化を図っていることを示しています。

しかし、こうした進化に対し、ブロックチェーン分析技術も絶えず進化しています。当社Chainalysisは、法執行機関や組織が新たな脅威に先んじて対応できるよう、ソリューションの機能強化を続けています。

ソウル市警察庁のような世界各国の法執行機関と密接に連携することで透明性が不正活動に勝る安全な暗号資産エコシステムの構築を目指しています。

成功事例を積み重ねるごとに、メッセージはより明確になります。ブロックチェーン分析が金融犯罪捜査のあり方を変革し、暗号資産は犯罪者にとってますます不利な環境となりつつあります。

This web site accommodates hyperlinks to third-party websites that aren’t beneath the management of Chainalysis, Inc. or its associates (collectively “Chainalysis”). Access to such info doesn’t indicate affiliation with, endorsement of, approval of, or advice by Chainalysis of the positioning or its operators, and Chainalysis shouldn’t be accountable for the merchandise, companies, or different content material hosted therein. 

This materials is for informational functions solely, and isn’t meant to offer authorized, tax, monetary, or funding recommendation. Recipients ought to seek the advice of their very own advisors earlier than making a majority of these choices. Chainalysis has no accountability or legal responsibility for any determination made or another acts or omissions in reference to Recipient’s use of this materials.

Chainalysis doesn’t assure or warrant the accuracy, completeness, timeliness, suitability or validity of the knowledge on this report and won’t be accountable for any declare attributable to errors, omissions, or different inaccuracies of any a part of such materials.

The publish ソウル市警察がChainalysisの支援により390億ウォンの暗号資産犯罪組織を解体 appeared first on Chainalysis.

Similar Posts

  • 押収暗号資産を巡るNCA職員の不正行為とChainalysisの分析

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 英国の法執行機関の職員が、Silk Road 2.0の捜査で押収された資産から約50 BTCを盗み出しました。犯人はBitcoin Fogというミキシングサービスを利用していたものの、Chainalysisの業界トップクラスのデータと専門的な調査サービスにより、トランザクションの痕跡を追跡することができました。約5年間の休眠期間を経て、当局は最終的に盗まれた130万ドル相当のbitcoinを回収しています。 このケースは、ブロックチェーン上の不変性を持つ記録と高度なブロックチェーン分析技術を組み合わせることで、巧妙な金融犯罪であっても明らかにできるという点を示しています。 2019年、英国当局はダークネットマーケット「Silk Road 2.0」の管理者であるThomas Whiteを逮捕し、大きな成果をあげました。捜査の過程で、当局はWhiteが所有していたデバイスを押収しました。しかし、一見すると通常の捜査に見えたこの事案は、後に衝撃的な展開を見せました。国家犯罪捜査庁(NCA)の捜査官が押収デバイスから秘密鍵を発見し、それを利用してWhiteのウォレットから約50 BTCを不正に盗み出したのです。 2017年、捜査が本格化していた時期に、捜査官たちはWhiteのウォレットから約50 BTCが不正に送金されていることを突き止めました。このbitcoinの移動は当初見過ごされていましたが、ブロックチェーン上には消えない記録が残っていました。盗まれた資金は一連のトランザクションを経て、有名なミキシングサービス「Bitcoin Fog」を用いて検出を回避するために細分化され、体系的に引き出されていたことも判明しています。これらの手口は資金追跡を難しくすることを意図したものでした。   調査手法と証拠に基づく押収ビットコイン不正の解明 2022年、Merseyside Police(マージーサイド警察)は、Whiteに属していた50 BTCに関する捜査を開始しました。長年、暗号資産のアンダーグラウンドで高度な資金の難読化サービスとして知られていたBitcoin Fogを利用したにもかかわらず、専門のサイバー犯罪捜査官は資金の追跡に成功しました。 捜査の進展により、証拠はWhiteではなく、2017年の初回捜査に関わった国家犯罪対策庁(NCA)の捜査官の一人であるChowlesに向けられました。捜査当局はChainalysisのソフトウェアとサービスを駆使し、一部の資金が暗号資産交換所などのサービスで現金化されていたことを特定しました。この結果、マージーサイド警察の捜査官は本人確認書類などの証拠を入手し、初期捜査チームのNCA捜査官であったChowles氏が、一連のトランザクションの背後にいたことが明らかになりました。 Screenshot from Chainalysis’s blockchain visualization tool, Reactor, showing the flow of funds through five key stages 暗号資産の検出から回収までの流れ 不正な資金の洗浄プロセスを経て、Chowlesは約30 BTCを捜査官が「デフォルトウォレット」と呼ぶウォレットに集約しました。このウォレットは約5年間休眠状態となっていましたが、警察がChowlesの自宅を捜索した際、その秘密鍵が保存されたデバイスが発見されました。 Chowlesの逮捕後、Chainalysis Global Servicesは専門知識に基づき、資金の流れを完全に文書化した決定的な証拠を提出しました。これにより、元英国国家犯罪庁(NCA)職員からの有罪答弁の確保に貢献しました。ブロックチェーンの不変の記録とChainalysisのデータおよび専門家による分析を組み合わせることで、トランザクションと押収資産を結びつける重要な証拠が明らかになりました。結果として、当時130万ドル以上の価値があった押収資産は、マージーサイド警察によって回収されました。 本事件からは、現代の金融捜査における三つの主要な原則が浮き彫りになりました。第一に、ブロックチェーン記録の永続性によって、時間が経過しても証拠にアクセスできる点です。第二に、複雑な資金隠蔽の試みがあっても、高度な分析能力により真実を明らかにできる点です。第三に、あらゆるトランザクションがデジタル上に消えない足跡を残すため、内部不正までも可視化できる暗号資産の固有の透明性です。 加えて、熟練した捜査官の存在が極めて重要であることも明らかとなりました。マージーサイド警察の訓練を受けたサイバー犯罪担当捜査官の専門性がなければ、こうしたトランザクションはブロックチェーンの膨大な台帳のなかに埋もれたままであった可能性があります。 ブロックチェーンはすべてを記憶する ブロックチェーン上の記録は永続的で高い透明性を持ち、その価値は捜査官の解釈能力によって左右されます。不変のトランザクション記録、Chainalysisの高度な分析機能、そして熟練した法執行機関との連携により、暗号資産は「不透明なツール」という認識から、新たな捜査の機会へと変貌を遂げています。 たとえ最初の盗難から数年が経過した場合でも、ブロックチェーンの特性によって真実が明らかになることがあります。これは、経験豊富な捜査官とChainalysisのツールおよびサービスが連携したことで実現しました。この事例は、暗号資産の世界ではあらゆる行動が永続的な痕跡として残り、それを発見する専門知識を持つ者によって、いつか真相が解明されることを証明しています。 Chainalysis Crypto Asset Seizure Certification…

  • Chainalysis、暗号資産を利用した大規模なCSAMサイトを特定

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 Chainalysisは、ダークウェブ上で運営されている最大規模の児童性的虐待コンテンツ(CSAM)ウェブサイトに関連する暗号資産決済インフラを特定しました。このサイトは、2022年7月以降、5,800を超えるアドレスを通じて総額53万ドル以上の暗号資産による支払いを受け取っており、2017年に摘発された「Welcome to Video」事件の規模を上回っています。 英国法執行機関からの情報提供を契機とした捜査開始 この捜査は、英国の法執行機関から提供された1件の情報を発端として始まりました。Chainalysisは、そのアドレスを手がかりに、オンチェーン追跡や独自のヒューリスティック、および調査ソフトウェアを活用することで、クラスタの範囲を拡大することに成功しました。捜査が進展する中で、5,800を超えるアドレスから構成される大規模な決済インフラが明らかとなり、違法活動の規模と継続的な運営の実態が特定されました。 CSAMサイトの特長 CSAMサイトでは、複数の有料会員プランを提供しています。 QRコードを活用し、暗号資産による決済を効率化しています。 多様な違法コンテンツが掲載されています。 現在もウェブサイトが稼働している可能性について このネットワークへの最初の支払いは2022年7月に開始されました。 その後の活動は少なくとも2025年6月まで継続しており、現時点でも当該ウェブサイトが利用可能である可能性があります。 この状況の深刻さを踏まえ、Chainalysisは世界中の法執行機関と積極的に情報を共有しています。 法執行機関およびコンプライアンスチームへの支援 法執行機関向け:当社は、捜査官による大量の情報の整理・分類を支援するいたします。Chainalysis ReactorおよびData Solutionsを活用し、サイトのユーザーおよび管理者双方の調査をサポートいたします。 コンプライアンスチーム向け:お客様におかれましては、本団体に関連するExposureが原因となるChainalysis KYTアラートの増加が想定されます。CSAMアラートのしきい値の見直しや、各種活動の解釈・対応方法等についてご不明な点がございましたら、どうぞ当社までご相談ください。 Ongoing monitoring Chainalysisは、引き続きこのCSAM関連の違法活動基盤に関連する暗号資産の資金移動を監視し、お客様およびパートナーの皆さまに最新情報を提供してまいります。また、オンラインにおける児童搾取の阻止および責任者の法的追及を支援する活動も、これまでと変わらず推進してまいります。 本件に関するサポートが必要な法執行機関やコンプライアンスチームの皆さまは、既存のChainalysisカスタマーサポート担当者までご連絡いただくか、当社のサポートチャネルよりお問い合わせください。   This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively “Chainalysis”). Access to such information does not imply association with,…

  • OFAC、Funnull Technology を制裁:暗号資産ロマンス詐欺ネットワークを封じ込め

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2025年5月29日、米財務省外国資産管理局(OFAC)は、フィリピン拠点のテクノロジー企業 Funnull Technology Inc. と、その管理者 Liu Lizhi を、暗号資産投資詐欺(一般に「pig butchering(ロマンス詐欺)」と呼ばれる)を助長したとして制裁指定しました。Funnull に関連する詐欺は、設立以降、米国の被害者から累計 2 億ドル超をだまし取りました。 OFAC は Funnull Technology Inc. に関連する暗号資産アドレス 2… The publish OFAC、Funnull Technology を制裁:暗号資産ロマンス詐欺ネットワークを封じ込め appeared first on Chainalysis.

  • 北朝鮮IT労働者による暗号資産マネーロンダリングネットワークの内幕

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 北朝鮮(DPRK)のIT労働者は、世界中のIT企業に潜入し収益を得続けています。その収益は暗号資産で受け取られることが多く、北朝鮮の大量破壊兵器や弾道ミサイルの製造資金となっています。過去数年にわたり、米国財務省外国資産管理局(OFAC) や韓国外交部(MOFA)などの規制当局は、これらのスキームを可能にする個人や組織に対し、制裁措置を講じてきました。制裁の指定には、暗号資産のアドレスが識別子として含まれることも多くなっています。 Chainalysisは、北朝鮮IT労働者スキームを対象とした制裁指定への暗号資産アドレスの追加や、この脅威に関するオープンソース情報を綿密に追跡しています。当社は、北朝鮮が暗号資産を活用して収益を生み出し、資金を移動・集約し、メインストリームの取引所で架空アカウントを使ったり、規制されていない可能性の高い相対取引(OTC)業者を活用して収益を洗浄する手口を監視しています。 最近の規制執行には、2025年8月のOFAC制裁が含まれています。これは、北朝鮮のChinyong Information Technology Cooperation Company(Chinyong、別名Jinyong IT Cooperation Company)への支払いを仲介したロシア国籍者を対象としたものです。Chinyongは、2023年5月にOFACおよび韓国外交部によって、海外で北朝鮮IT労働者を雇用したとして制裁を受けています 。 2023年初頭には、OFACがKorea Kwangson Banking Corp(KKBC)の代表であるSim Hyon Sop(Sim)を制裁対象とし、暗号資産アドレスも指定されました。Simは、北朝鮮IT労働者の収益の一部を含む数千万ドルの暗号資産を受け取っています。また、相対取引業者のLu Huaying(Lu、UAE在住中国人)も、北朝鮮政権のためにIT労働者資金の洗浄に関与したとして制裁対象となっています 。 これらの活動は、暗号資産に大きく依存し収益の獲得と洗浄を行う複雑なネットワークを浮き彫りにしています。そのため、法執行機関による摘発の機会も生まれています。米国司法省(DOJ)の最新の差し押さえ命令が示すように、高度なブロックチェーン分析により、IT労働者による不正な資金洗浄ネットワークを検知・撲滅するための独自の洞察と実効的な手段が提供されています。 本ブログでは、北朝鮮IT労働者が収益を得て洗浄するためのネットワーク・仕組み・運営方法について解説します。こうしたネットワークを理解することで、法執行機関や規制当局、民間企業はオンチェーンでのIT労働者活動を検知し、大量破壊兵器(WMD)プログラムへ資金が流れるのを阻止することが可能となります。 暗号資産による収益の獲得 北朝鮮IT労働者は通常、Chinyongなどの仲介業者を通じて海外に派遣され、世界中のIT企業に応募します。彼らは、仮想プライベートネットワーク(VPN) 、偽造・盗難身分証、AI音声・顔認証技術など、さまざまなオブフスケーション(隠蔽)手法を駆使し、居場所や身元を隠します。 雇用後は、安定した価値を持ち、OTC業者に人気の高いステーブルコインでの支払いを求めます。北朝鮮IT労働者の支払い用アドレスに関連するオンチェーン活動を調査すると、これらのウォレットにはほぼ毎月5000ドル程度の定期的な支払いが確認され、給与支払いであることが示唆されています。 ブロックチェーン技術による収益の隠蔽 給与支払い後、北朝鮮IT労働者は複数の資金洗浄手法を用いて暗号資産を移動します。IT労働者や資金洗浄者がオンチェーン上で資金の起点と終点を切断する方法のひとつが、チェーンホッピングやトークンスワップです。分散型取引所(DEX)やブリッジ・プロトコルなどのスマートコントラクトを活用し、資金の追跡を困難にしています 。 下記のChainalysis Reactorグラフでは、分散型プロトコルやブリッジ、一般的な取引所が資金の流れの隠蔽に活用されている様子が分かります。 北朝鮮IT労働者は資金洗浄プロセスを円滑に進め、最終的に北朝鮮へ送金するため、仲介者も活用します。DOJの資金差し押さえ命令によれば、IT労働者の支払い資金は他の犯罪収益や北朝鮮IT労働者の資金と混ぜ合わせ(レイヤリング)、偽の身分証でメインストリーム取引所にアカウントを開設した政権関係者へ送金されます。 北朝鮮の資金洗浄者は偽身分証で取引所アカウントを開設していますが、他国で活動する者は本名で開設するケースも見られます。DOJの命令によれば、Simは偽ロシア身分証を使い、Luは自分の名前とUAEの居住カードでFTX(現在は閉鎖済み)のアカウントを開設しました。 A duplicate of the Russian identification paperwork utilized by Kim to open accounts, as per the DOJ civil forfeiture. 資金差し押さえ命令では、北朝鮮IT労働者の資金がChinyongの代表であるKim Sang…

  • 2025年上半期暗号資産犯罪動向速報:北朝鮮による盗難資金が過去最大規模

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2025年上半期暗号資産犯罪の主要なポイント 盗難資金 2025年、暗号資産サービスからの盗難額は21億7000万ドルを超え、2024年の年間被害額を上回りました。この主な原因は、北朝鮮によるByBitへの15億ドルのハッキングです。これは暗号資産史上最大のハッキング事件となりました。 2025年6月末までに、年初来(YTD)の盗難額は、過去最悪であった2022年を17%上回りました。現在の傾向が続けば、年末までにサービスからの盗難資金は40億米ドルを超える可能性があります。 エコシステム全体の盗難額に占める個人ウォレット被害の割合が増加しており、攻撃者は個人ユーザーを標的とする傾向を強めています。2025年の年初来の盗難資金全体の23.35%を占めています。 暗号資産保有者に対する身体的暴力や脅迫を伴う「レンチ攻撃」は、bitcoinの価格変動と相関関係があり、価格が高い時期に標的を絞って行われる傾向があることが示唆されています。 国・地域ごとの特徴 被害に遭った資金の所在地を見ると、2025年には米国、ドイツ、ロシア、カナダ、日本、インドネシア、韓国に集中していることがわかります。 地域別では、東ヨーロッパ、MENA、CSAOにおける被害者総数が、2024年上半期から2025年上半期にかけて最も急速に増加しました。 盗難に遭ったアセットの種類は地域によって顕著な違いがあり、これは各地域における暗号資産の普及パターンを反映していると考えられます。 マネー・ローンダリングの傾向 サービスを侵害するサイバー攻撃と個人を標的とするサイバー攻撃では、盗まれた資金の洗浄方法に違いが見られます。一般的に、サービスに不正アクセスする攻撃者の方が、より高度な手法を用いる傾向があります。 盗難資金の洗浄者は、資金の移動に多額の費用をかけており、その平均プレミアムは2021年の2.58倍から2025年年初来で14.5倍に増加しています。 ブロックチェーン上での資金移動のコストは年々減少しているにもかかわらず、盗難資金がオンチェーンで移動する際に発生する平均コストに対する上乗せ率は増加しています。 個人ウォレットを侵害するサイバー攻撃者には、盗んだ資産をすぐに洗浄せず、多額の盗難資金をオンチェーンに残しておく傾向が強まっています。現在、個人ウォレットを標的とした盗難による暗号資産は85億ドルがオンチェーンに保持されている一方、サービスから盗まれた資金は12億8000万ドルとなっています。 変化する違法取引環境 I2025年、違法取引は過去最高のペースで進行しており、その総額は昨年の推定510億ドルに匹敵するか、それを上回る勢いです。この状況は、違法行為者の活動に大きな変化が見られる中で発生しています。例えば、制裁対象であったロシアの暗号資産取引所Garantexの閉鎖や、700億ドル以上の資金を扱ってきたカンボジアを拠点とする中国語サービスHuione Groupに対するFinCENの特別措置の可能性が高まったことなどが挙げられます。これらの変化は、犯罪者がエコシステムを通じて資金を移動させる方法に影響を与えています。 このような動向の中で、2025年においては盗難資金の取引が最も深刻な問題として浮上しています。他の違法行為が前年比で多様な傾向を示す中、暗号資産の盗難の急増は、エコシステムの参加者にとって差し迫った脅威であると同時に、業界のセキュリティインフラにとって長期的な課題となっています。 サービスからの資金流出が過去最高ペースで進行 2025年に入ってからのサービス(プラットフォーム)に対する資金盗難は、脅威の深刻化を鮮明に物語っています。年初以降の動向を示すオレンジ色の線は、6月時点で20億米ドルを突破し、上半期としてはこれまでに例のない急増ぶりとなっています。 当社のデータによると、サービスからの盗難被害額は増加の一途をたどっており、特に2025年にはその傾向が顕著です。過去最悪であった2022年には、被害額が20億ドルに達するまでに214日を要しましたが、2025年にはわずか142日で同規模の被害に達しており、被害拡大のペースが著しく加速しています。 2023年と2024年は比較的緩やかな増加でしたが、2025年は6月末時点で既に2022年と比較して17.27%も悪化しています。この傾向が続けば、2025年末にはサービス関連の盗難被害額が43億ドルを超える可能性があります ByBitのハッキング事件:サイバー犯罪の新たな脅威 ByBitに対する北朝鮮のハッキング事件は、暗号資産業界全体に大きな影響を及ぼしています。2025年2月に発生したこの事件では、被害額が15億ドルにのぼり、これは今年発生した暗号資産の盗難被害の約69%を占め、史上最大規模となりました。このことから、フェーズが一変し、2024年後半に見られたハッキング被害の一時的な減少から、国家に支援された攻撃者による新たな脅威の台頭が浮き彫りになりました。 この大規模な侵害は、北朝鮮が暗号資産を活用した制裁回避策を強化している活動の一環と捉えられます。北朝鮮関連の暗号資産損失は、2024年には合計で13億ドルに達し、当時としては過去最悪の状況でしたが、2025年はさらにそれを上回っています。 この攻撃は、IT担当者を乗っ取って暗号資産関連サービスに侵入するなど、北朝鮮がこれまで用いてきたものと同様の高度なソーシャルエンジニアリング手法を駆使していると見られます。この手口の有効性は、欧米のテクノロジー企業が、 という国連の最近の報告によって裏付けられています。 個人ウォレット:暗号資産犯罪における新たな標的 Chainalysis は、これまで十分に報告されてこなかったものの、その重要性を増している個人ウォレットを起点とする盗難行為を特定し追跡するための新しい手法を開発しました。この可視性の向上により、攻撃者が時間とともに標的や手口を多様化させているという懸念すべき傾向が明らかになっています。 以下のグラフに示すように、エコシステム全体の盗難額に占める個人ウォレットへの攻撃の割合が徐々に増加しており、その背景にはいくつかの要因が考えられます。 大手サービスのセキュリティ強化: 攻撃者は、より容易に攻撃可能な個人へと標的を転換しています。 個人による暗号資産保有者の増加: 暗号資産を保有する個人の数が増加しています。 個人ウォレット内の資産価値の増加: 主要アセットの暗号資産価格が上昇し続ける中、個人ウォレットに保管される暗号資産の価値も時間とともに増加しています。 高度な標的型攻撃手法の開発: デプロイが容易なLLM AIツールの普及により、より洗練された個人を標的とした攻撃手法が開発される可能性があります。 個人ウォレットからアセットごとに盗まれた価値を分析した結果、以下の3つの重要な傾向が明らかになりました。 まず、bitcoinが盗まれた資産の大部分を占めています。 また、bitcoinを保有していた個人ウォレットが攻撃された際の平均損失額は年々増加しており、攻撃者がより高額な資産を持つウォレットを意図的に狙っていることが示唆されます。 さらに、SolanaのようなbitcoinおよびEVM以外のブロックチェーンにおいても、被害に遭う個人の数が増加しています。 これらの傾向は、暗号資産のセキュリティ対策の重要性がますます高まっていることを示しています。今後もユーザーが自身のウォレットを確実に保護できるよう、最新の脅威動向に注意を払う必要があります。 bitcoin保有者は、チェーン上のアセット保有者と比較して標的型盗難のリスクは低いですが、盗難時の損失額は大きくなる傾向があります。ネイティブアセットの市場価値上昇に伴い、個人ウォレットからの盗難被害額も高くなる可能性があります。 このグラフを見ると、2024 年後半から 2025 年にかけて、MetaMask ユーザーを標的とした異常な資金盗難事件が懸念されるほど増加していることがわかります。Metamask ユーザーは、これまでにも異常なほど盗難資金の発生率が高い時期(特に 2022…

  • 15分で暗号資産3,500万ドル相当が流出:取引所ハッキングの進化と予防策

    ※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 年初、韓国の大手暗号資産取引所のホットウォレットの一つで異常な出金活動が検知されました。約15分間に数百件のトランザクションが実行され、約₩44.5B KRW(3,300万〜3,500万ドル相当)が抜き取られ、同取引所は全ての出金を停止しました。盗まれたアセットには、USDC、BONK、SOL、ORCA、RAY、PYTH、JUPなどの主要トークンが含まれていました。一方で、同取引所は盗難資金の半分超(₩23B KRW相当のLAYERトークン)を凍結することに成功しましたが、残余は既に回復不能でした。出金のパターンとタイミングを分析すると、本件はスマートコントラクトの不具合や利用者レベルの誤操作ではなく、ホットウォレットの署名フローが侵害されたことに起因すると示唆されます。 本記事では、最近発生した取引所ハッキングの動向を解説し、本件の手口を深掘りするとともに、HexagateのWallet Compromise Detection Kitと GateSigner がどのように早期検知し、被害額の最小化に寄与し得たかを示します。 CEXとカストディアンに対する侵害は増加傾向 今回の大手取引所での事案は明確な業界トレンドを反映しています。すなわち、中央集権型取引所(CEX)とカストディアンに対する侵害が増えています。背景には、複雑なクラウド環境で高速かつマルチチェーンの出金システムを運用する難度の上昇があります。取引所やカストディアンは市場でもっとも複雑なオンチェーンの資金フローを担うようになった一方で、堅牢なオンチェーンセキュリティの必要性を過小評価し、後に不十分と判明する対策に依存してしまうケースが少なくありません。 私たちはほぼ10年にわたり顧客環境をトラッキングし、Lazarusのような脅威グループの動向を追ってきましたが、明らかなシフトがあります。攻撃者は、より高い利得と大きく複雑な運用スタックを狙って、カストディアンやCEXを標的にする傾向を強めています。直近のBybit、BTCTurk、SwissBorg、Phemex、そして今回の韓国の取引所に対する攻撃はいずれも同じパターンに当てはまります。すなわち、単一点の侵害で、数百万ドル規模の損失が発生するというものです。 各事案の根本原因は異なります。アカウント乗っ取りにつながるソーシャルエンジニアリング、テックスタック内のサイバーセキュリティ上の不具合、マルウェア、内部不正など多岐にわたります。高度な攻撃者は唯一の弱点を突きます。現実的な前提は「完全防御」ではなく「いずれ何かが破られる」ということです。そして破られたとき、全ては検知と対応の速さにかかっています。強力なリアルタイムの検知と対応はリスクをゼロにはしませんが、運用上の侵害が壊滅的損失に発展することを防ぎます。 何が起きていたのか 本件発生前、事件に関与した取引所連結のSolanaウォレットのうちの一つ(数百あるうちの一つ)は数週間にわたり正常に振る舞っていました。残高は増減を繰り返していたものの、ゼロになったことは一度もありません。しかし攻撃発生時、そのウォレットは数分で完全に空にされました。これは正当な運用では極めて稀で、侵害を強く示唆するパターンです。特に以下のシグナルが際立っていました。 残高ゼロ化のパターン:関与した全ウォレットに共通して、極めて短時間で残高がゼロに崩落するシグネチャが見られました。通常の取引所運用では起こり得ない挙動です。 高額出金のスパイク:攻撃の7日前までの期間、同取引所のSolanaウォレットから約$100,000規模の出金は1件しかありませんでしたが、攻撃時には同規模の出金がおよそ15分で約80件発生しました。 多数アセットでの高頻度実行:攻撃者は数十種類のトークンを、数百件のトランザクションで一気に移動しました。このバースト型の挙動は、平常時のベースラインから大きく逸脱します。 これらはまさに、Chainalysis Hexagateのような高度な自動行動分析システムがリアルタイムで検知するために設計されているシグナルです。最終的に、同取引所は出金停止という適切な判断を下し、利用者とプラットフォームを保護しました。この種のインシデントは、完全自動の検知・対応機構の有効性を浮き彫りにします。適切なリアルタイムのパイプラインが整備されていれば、異常は初期のわずかなトランザクション段階でフラグ化され、重大な移動が発生する前に抑止できます。 盗難直後の動き この段階で、攻撃実行者は自動マーケットメイカー(AMM)を用いて盗難アセットを交換し、発行体による凍結が困難なトークンへと転換することに注力していたと考えられます。これは大規模なホットウォレット侵害後の初期行動として典型的です。以下のChainalysis 調査ツール Reactor のグラフでは、現時点での動きの大半が拡散ではなく、資金の集約とアセット種別の入れ替えであることが分かります。 Reactorのグラフにおける初期移動の概観 Chainalysis Hexagateはどのようにウォレットからの流出を検知・阻止するか 1. Wallet Compromise Detection Kit ホットウォレット侵害の最も早期の兆候を検知するリアルタイム監視群で、Chainalysisのインテリジェンスを付加しています。主な内容は以下のとおりです。 残高流出パターン検知:ウォレット残高が突如ゼロ方向へ落ち込む挙動を検知します。 バースト検知:短時間に高額出金が急増する事象にフラグを立てます。 未知の送付先検知:内部の信頼できるエコシステム外のアドレスに資金が移動した場合にアラートを出します。 機械学習による侵害検知:過去のCEX侵害事例と広範なエコシステム挙動を学習したモデルにより検知します。 これらのシグナルは、悪意あるトランザクションの最初の数件、場合によってはそれ以前の微妙な行動変化の段階で発火します。こうした早期検知を用いることで、CEXは出金停止、コールドストレージへの退避、フローの隔離といった防御措置を自動化でき、より迅速かつ一貫性をもって、運用ミスを減らしながら対応できます。 ホットウォレット侵害の最速兆候を監視するWallet Compromise Detection Kitのリアルタイムモニター 2. GateSigner (事前署名プロテクション) GateSignerは署名フローに接続され、各トランザクションを事前にシミュレーションしてリスクの高い挙動を検査し、承認前の重要な審査機能を提供します。 まず、出金をシミュレーションします。 結果を侵害検知モニター群に照合します。 異常が認められれば、そのトランザクションはチェーンに流れる前にブロックまたはエスカレーションされます。これにより、攻撃者が通そうとしている危険なトランザクションに、インフラが誤って署名してしまう事態を防ぎます。 GateSignerによるトランザクションシミュレーション後の結果 いくつかの考察 ホットウォレットの侵害は、今日、カストディアンや取引所が直面する最も高額で頻度の高いリスクの一つになりつつあります。最も備えが行き届いている組織は、早期検知と署名パイプラインの強固な統制に投資しています。HexagateのWallet Compromise Detection…