The Road to Crypto Regulation Part 2: 金融サービスと暗号資産の交差点に位置するステーブルコイン

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 年初、韓国の大手暗号資産取引所のホットウォレットの一つで異常な出金活動が検知されました。約15分間に数百件のトランザクションが実行され、約₩44.5B KRW（3,300万〜3,500万ドル相当）が抜き取られ、同取引所は全ての出金を停止しました。盗まれたアセットには、USDC、BONK、SOL、ORCA、RAY、PYTH、JUPなどの主要トークンが含まれていました。一方で、同取引所は盗難資金の半分超（₩23B KRW相当のLAYERトークン）を凍結することに成功しましたが、残余は既に回復不能でした。出金のパターンとタイミングを分析すると、本件はスマートコントラクトの不具合や利用者レベルの誤操作ではなく、ホットウォレットの署名フローが侵害されたことに起因すると示唆されます。 本記事では、最近発生した取引所ハッキングの動向を解説し、本件の手口を深掘りするとともに、HexagateのWallet Compromise Detection Kitと GateSigner がどのように早期検知し、被害額の最小化に寄与し得たかを示します。 CEXとカストディアンに対する侵害は増加傾向 今回の大手取引所での事案は明確な業界トレンドを反映しています。すなわち、中央集権型取引所（CEX）とカストディアンに対する侵害が増えています。背景には、複雑なクラウド環境で高速かつマルチチェーンの出金システムを運用する難度の上昇があります。取引所やカストディアンは市場でもっとも複雑なオンチェーンの資金フローを担うようになった一方で、堅牢なオンチェーンセキュリティの必要性を過小評価し、後に不十分と判明する対策に依存してしまうケースが少なくありません。 私たちはほぼ10年にわたり顧客環境をトラッキングし、Lazarusのような脅威グループの動向を追ってきましたが、明らかなシフトがあります。攻撃者は、より高い利得と大きく複雑な運用スタックを狙って、カストディアンやCEXを標的にする傾向を強めています。直近のBybit、BTCTurk、SwissBorg、Phemex、そして今回の韓国の取引所に対する攻撃はいずれも同じパターンに当てはまります。すなわち、単一点の侵害で、数百万ドル規模の損失が発生するというものです。 各事案の根本原因は異なります。アカウント乗っ取りにつながるソーシャルエンジニアリング、テックスタック内のサイバーセキュリティ上の不具合、マルウェア、内部不正など多岐にわたります。高度な攻撃者は唯一の弱点を突きます。現実的な前提は「完全防御」ではなく「いずれ何かが破られる」ということです。そして破られたとき、全ては検知と対応の速さにかかっています。強力なリアルタイムの検知と対応はリスクをゼロにはしませんが、運用上の侵害が壊滅的損失に発展することを防ぎます。 何が起きていたのか 本件発生前、事件に関与した取引所連結のSolanaウォレットのうちの一つ（数百あるうちの一つ）は数週間にわたり正常に振る舞っていました。残高は増減を繰り返していたものの、ゼロになったことは一度もありません。しかし攻撃発生時、そのウォレットは数分で完全に空にされました。これは正当な運用では極めて稀で、侵害を強く示唆するパターンです。特に以下のシグナルが際立っていました。 残高ゼロ化のパターン：関与した全ウォレットに共通して、極めて短時間で残高がゼロに崩落するシグネチャが見られました。通常の取引所運用では起こり得ない挙動です。 高額出金のスパイク：攻撃の7日前までの期間、同取引所のSolanaウォレットから約$100,000規模の出金は1件しかありませんでしたが、攻撃時には同規模の出金がおよそ15分で約80件発生しました。 多数アセットでの高頻度実行：攻撃者は数十種類のトークンを、数百件のトランザクションで一気に移動しました。このバースト型の挙動は、平常時のベースラインから大きく逸脱します。 これらはまさに、Chainalysis Hexagateのような高度な自動行動分析システムがリアルタイムで検知するために設計されているシグナルです。最終的に、同取引所は出金停止という適切な判断を下し、利用者とプラットフォームを保護しました。この種のインシデントは、完全自動の検知・対応機構の有効性を浮き彫りにします。適切なリアルタイムのパイプラインが整備されていれば、異常は初期のわずかなトランザクション段階でフラグ化され、重大な移動が発生する前に抑止できます。 盗難直後の動き この段階で、攻撃実行者は自動マーケットメイカー（AMM）を用いて盗難アセットを交換し、発行体による凍結が困難なトークンへと転換することに注力していたと考えられます。これは大規模なホットウォレット侵害後の初期行動として典型的です。以下のChainalysis 調査ツール Reactor のグラフでは、現時点での動きの大半が拡散ではなく、資金の集約とアセット種別の入れ替えであることが分かります。 Reactorのグラフにおける初期移動の概観 Chainalysis Hexagateはどのようにウォレットからの流出を検知・阻止するか 1. Wallet Compromise Detection Kit ホットウォレット侵害の最も早期の兆候を検知するリアルタイム監視群で、Chainalysisのインテリジェンスを付加しています。主な内容は以下のとおりです。 残高流出パターン検知：ウォレット残高が突如ゼロ方向へ落ち込む挙動を検知します。 バースト検知：短時間に高額出金が急増する事象にフラグを立てます。 未知の送付先検知：内部の信頼できるエコシステム外のアドレスに資金が移動した場合にアラートを出します。 機械学習による侵害検知：過去のCEX侵害事例と広範なエコシステム挙動を学習したモデルにより検知します。 これらのシグナルは、悪意あるトランザクションの最初の数件、場合によってはそれ以前の微妙な行動変化の段階で発火します。こうした早期検知を用いることで、CEXは出金停止、コールドストレージへの退避、フローの隔離といった防御措置を自動化でき、より迅速かつ一貫性をもって、運用ミスを減らしながら対応できます。 ホットウォレット侵害の最速兆候を監視するWallet Compromise Detection Kitのリアルタイムモニター 2. GateSigner （事前署名プロテクション） GateSignerは署名フローに接続され、各トランザクションを事前にシミュレーションしてリスクの高い挙動を検査し、承認前の重要な審査機能を提供します。 まず、出金をシミュレーションします。 結果を侵害検知モニター群に照合します。 異常が認められれば、そのトランザクションはチェーンに流れる前にブロックまたはエスカレーションされます。これにより、攻撃者が通そうとしている危険なトランザクションに、インフラが誤って署名してしまう事態を防ぎます。 GateSignerによるトランザクションシミュレーション後の結果 いくつかの考察 ホットウォレットの侵害は、今日、カストディアンや取引所が直面する最も高額で頻度の高いリスクの一つになりつつあります。最も備えが行き届いている組織は、早期検知と署名パイプラインの強固な統制に投資しています。HexagateのWallet Compromise Detection…

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 これまでのフィッシングは、偽メールの作りが粗く、誤字の目立つ偽ドメインも多く、被害が一部にとどまることが少なくありませんでした。 ところが、PhaaS（Phishing-as-a-Service：フィッシング アズ ア サービス）の登場で状況が一変しました。少額の利用料で既製のフィッシングキットを使い、本物そっくりの Microsoft 365 ログインページを用意し、短時間で認証情報の窃取に着手できます。高度な技術がなくても実行できる点が、拡大の要因になっています。 RaccoonO365 は、その典型例です。2024年7月以降、このキットにより少なくとも94か国で5,000件の Microsoft 資格情報が窃取されました。医療機関も標的となり、悪用されれば患者の安全や診療に悪影響が及ぶおそれがあります。運営は Telegram を通じて行われ、メンバーは800人超、受け取った暗号資産は少なくとも10万米ドルと報告されています。 先月、Microsoft はHealth-ISAC、Cloudflare、などのパートナーと連携し、RaccoonO365 に関係する338件のドメインを民事手続に基づき差し押さえるなど、法的・技術的な措置を講じました。これにより、攻撃者側の主要インフラに打撃を与えることができました。報道ではドメイン差押えとインフラの解体が強調されています。一方で、Chainalysis Reactorを用いた取引追跡が証拠の裏付けに資し、民事による差押えの実行を支えた側面もあります。 ブロックチェーン上の支払い記録 フィッシングキットを購入すると、ブロックチェーン上に取引記録が残ります。これらの記録は、運営者の活動拡大を評価する際の指標の一つとなり得ます。 Microsoft の Digital Crimes Unit（DCU）の捜査官は、フィッシングキットを試験的に購入し、実際の動きの確認を目的とした送信テストを段階的に実施しました。 「あるキットでは、代金支払い後に運営者からチップを求められました」と捜査官は振り返ります。違法な取引でありながら、日常の商取引に似たやり取りが行われている実情がうかがえます。 サービス運営者の一度の誤りが決定的な手がかりに やり取りの途中、相手方は最初に Tron（USDT）のウォレットアドレスを示しましたが、誤りに気づき Ethereum のアドレスを送り直しました。この切り替えにより、両アドレスの関連が見え、特定に向けた重要な手がかりとなりました。 このトランザクションが、RaccoonO365と既知のインフラや特定の利用者との関連を示す突破口となりました。 資金の流れを可視化 本件は、Microsoft の DCU にとって節目となる事案でした。Reactor により、クロスチェーンの資金移動（トランザクション）を法廷提出を想定した時系列で整理し、複雑なスキームも関係者が追いやすい形で可視化できました。 「本件では、暗号資産のトレーシングが不正行為を特定の個人へ結びつける上で極めて重要な役割を果たしました。Chainalysis Reactor のようなツールを活用し、パターンを解明するとともに、攻撃者が犯罪収益を送った取引所を特定しました。」— Maurice Mason, Principal Cybercrime Investigator, Microsoft DCU サービス化するサイバー犯罪（PhaaS) RaccoonO365 は、PhaaS 型のサイバー犯罪の一例です。既製のフィッシングキットが広く流通し、国境を越えて拡大しやすく、専門知識がなくても扱えるよう提供されています。 今回の官民連携では、産業界・政府・技術パートナーが連携し、数千人に被害が及んだ脅威に対して、停止や拡大抑止を狙った対応が進められました。 Microsoft…

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 要約 ロマンス詐欺（Pig Butchering）は、投資詐欺と人身売買を組み合わせた大規模な犯罪事業となり、世界中で数十億ドル規模の被害をもたらしています。 2023年11月の注目すべき事例では、TetherとOKXが米国司法省と連携し、人身売買およびロマンス詐欺に関連する2億2500万USDTの凍結を実現しました。 Chainalysis、OKX、Binance、Tetherによるもうひとつの成功した捜査では、東南アジアのロマンス詐欺関連で約5千万USDTの凍結に至りました。 暗号資産取引所、ブロックチェーン分析企業、法執行機関の産業連携が、これら高度な詐欺対策に不可欠であることが証明されています。 ここ数年で、ロマンス詐欺（Pig Butchering）グループは多額の損失を世界中の被害者にもたらす犯罪事業へと拡大しています。ロマンス詐欺は、投資や恋愛詐欺とも呼ばれ、犯罪者が被害者を「太らせて」最大限の利益を得るため、間違い電話や出会い系アプリなどを通じて関係を築きます。信頼を得た後、暗号資産などの偽の投資案件に勧誘し、最終的に連絡を絶ちます。 悲しいことに、こうした詐欺に巻き込まれた被害者だけでなく、犯罪組織は他の被害者も偽りの勧誘で呼び寄せ、壁に囲まれた施設内に監禁し、強制労働で詐欺の実行を強いています。 2023年11月、ステーブルコイン発行企業Tetherと中央集権型取引所OKXは、米国司法省（DOJ）と連携し、Tetherが約2億2500万USDTを凍結した捜査を発表しました。これら資金は東南アジアの国際的人身売買組織に関連しており、ロマンス詐欺の被害に繋がっていました。また、今年6月には米国シークレットサービスが裁判官の許可を得て、これら資金の実際の押収およびバーン（消失処理）を実行しました。これはUSSS史上最大の押収となりました。 「Etherやビットコインなど他の暗号資産とは異なり、Tetherは既知の不正資金を凍結する技術的な能力があります」とTether CEOのPaolo Ardoino氏は語ります。「当社は世界中の法執行機関と連携し、ロマンス詐欺やあらゆる不正活動に関連する資金を凍結し、最終的に被害者への救済を目指します。」 昨年、Chainalysis、OKX、Binance、Tetherは別の事例を捜査し、最終的にTetherがAPAC地域の当局と連携して約5千万USDTを凍結しました。その捜査プロセスを見てみましょう。 ブロックチェーン分析による約5千万USDT詐欺資金の追跡 ChainalysisのCrypto Investigations Solutionを活用し、捜査チームは東南アジア拠点のロマンス詐欺に関連するアドレスを特定しました。そこから、詐欺収益が保管されている5つのウォレットへ絞り込みました。下記の調査ツール（Reactor）のグラフは、捜査に関連する19のアドレスを示しています。実際には数百のウォレットが詐欺資金を送付していると考えられ、このグラフは8人の被害者による送金のみを可視化しています。   グラフ中央の菱形パターンで示されるように、2022年11月から2023年7月の間、8人の被害者が詐欺師の管理する8つのウォレットへ複数回送金しました。被害者によっては1ヶ月以内に複数回送金するケースもあれば、2〜7ヶ月にわたって送金するケースもありました。資金が移動した後、詐欺師は統合ウォレット（Rip-off Pockets 10）へ収益を集約し、そこから4,690万USDTを3つの中間アドレスへ送金。その後、資金は5つのウォレットへ分散されました。 この種の詐欺では、犯人が投資案件を現実的に見せかけるため、被害者に少額を返金することがよくあります。上記グラフの青い線は、Rip-off Pockets 5から被害者へ6万3,900USDTが戻されたことを示しています。その後、暗号資産取引所が地元の法執行機関と情報連携を行いました。 「これら組織との連携は、犯罪行為を阻止し、被害者救済へ向かう上で官民連携が不可欠であることを示しています」とBinanceグローバル インテリジェンス・捜査部門責任者のErin Fracolli氏は述べています。「ブロックチェーンエコシステム全体の安全性強化が最優先事項であり、当社は法執行機関や政府機関、他の取引所と協力し、犯罪拡大の阻止に知見と専門性を迅速に共有しています。」 捜査結果はAPAC地域の法執行機関と共有され、2024年6月にTetherが当局の指示で資金凍結を実施しました。 「これらの詐欺を見ると、なぜ被害者が騙されてしまうのか理解されず、被害者自身が責められることが多いですが、実際には知能に関係なく、脆弱性が狙われているのです。犯人はその見極めに長けています」とOKX特別捜査チームのシニア捜査官は語っています。 OKX捜査官によると、ロマンス詐欺はもともとアジアの被害者を狙って始まりましたが、現在は世界中に被害が拡大しています。彼はChainalysis Crypto Investigations のようなソリューションが、経営層や法執行機関、裁判官、弁護士など、被害者救済に影響を与える全ての関係者に犯罪事例を説明する上で不可欠だと考えています。 より強固な防御構築へ：産業連携のインパクト ロマンス詐欺など高度な犯罪への対策には、多様な関係者が協力し、民間企業が捜査・防止の重要なパートナーとなる連携が不可欠です。数千万ドル規模の不正資金凍結という成果が示す通り、暗号資産取引所、ステーブルコイン発行者、ブロックチェーン分析企業、法執行機関の協力は、犯罪組織に対抗する強力な防御となります。 当社のCrypto Investigations Solutionでは、パートナーが暗号資産関連の詐欺捜査の全工程を支援しています。ブロックチェーン分析によるリード発見、資金フローやウォレット間関係の分析、犯罪活動の拡大阻止までをカバー。World Anti Rip-off Organizationとの戦略的パートナーシップにより、情報共有と捜査力がさらに強化されます。 詐欺師の手口は進化し、被害は世界中に広がる中、このような官民連携はますます重要です。信頼できるブロックチェーンインテリジェンス、先端技術、専門家の知見を組み合わせることで、弱い立場の個人を守り、より安全な暗号資産エコシステムの構築を目指します。 Chainalysisが貴社の詐欺対策にどのように貢献できるか、詳しくはこちらからお問い合わせください。 Chainalysis Crypto Asset Seizure Certification Learn how to seize crypto…