最終目的は訴訟ではなく、奪還！？Web3サイバー捜査の前線

マルウェアによる身代金要求、投資詐欺など様々な犯罪手法に暗号資産が使われることが増えてきています。犯罪組織に利用されるのは、暗号資産の送金のしやすさと高い匿名性のためです。

本記事では不正に送金された暗号資産を追及するWeb3サイバー捜査について解説します。実際の犯罪手法や対策への理解を深めることは、Web3ビジネスのセキュリティ戦略を立てる上でも非常に有効です。

Web3サイバー捜査

従来のサイバー捜査がデータベースやサーバー内の情報追跡に焦点を当てるのに対し、Web3の捜査では分散型ネットワーク（ブロックチェーン）やスマートコントラクト、デジタル資産（FT/NFT）の監視と分析がポイントとなります。

ブロックチェーンによって不正取引の特定や犯罪資金の集金先などは明らかにされますが、同時に高い匿名性が捜査進展の壁となっています。

暗号資産を用いた犯罪の増加

暗号資産の市場価値が上がるにつれ、多くのFTやNFTを保管する取引所やWeb3企業を狙った犯罪は増加傾向にあります。

古くは2011年のMt. GoxのBTC盗難事件、最近では2018年のコインチェックのNEM（ネム）盗難事件、さらに新しいところでは2022年6月のRonin Networkへのハッキング事件があります。Axie Infinityで有名なRonin Networkからは約6億2,000万ドル相当もの暗号資産が流出しました。

暗号資産が犯罪に使われる背景

暗号資産はその匿名性や送金の容易さから犯罪に悪用されています。マネーロンダリングの手段も多様です。

KYC※1の徹底が行われていないCEX、DEXでのクロスチェーン、ミキシングのような拡散サービスなど様々な資金洗浄法があります。KYCの徹底はトラベルルール※2導入、国際的なAML※3への意識向上などで進みつつありますが、一部の国や地域のCEXでは未だに徹底されておらず、犯罪組織などに利用されています。

※1 KYC（Know Your Customer）は取引所が行う顧客情報確認です。パスポートや免許証などのIDを用いて行われます。
※2 トラベルルールは暗号資産の送受金/入出金に関する規制、取り決めです。
※3 AML（Anti-Money Laundering）は犯罪組織などの資金洗浄対策です。

捜査機関の最終目的は訴訟ではなく、奪還！？

Web3サイバー捜査では訴訟よりも奪還が優先されます。暗号資産の場合、その匿名性と国際性のために、訴訟による解決が困難で時間がかかります。そして、時間が経つほど資産は拡散され、洗浄される可能性が高まります。

捜査機関はまず盗難された暗号資産の奪還、もしくは凍結を目指します。その後、関連組織や人物などを国際的な捜査協力のもとに追及していきます。詳しい捜査事例は「Web3サイバー捜査の前線」で解説します。

暗号資産を狙った犯罪手法

ラグプル（Rug Pull）
ハッキング（クロスチェーン、フロントエンド）
国際ロマンス詐欺
投資詐欺
身代金要求

ラグプル（Rug Pull）

ラグプルはWeb3プロジェクト開発者が資金を集めた後に消える詐欺手法です。2021年にはDeFiプラットフォームで発生したラグプルにより、28億ドル以上の被害額が生じたといわれています。

2021年には人気ドラマ名を冠した「イカゲーム」トークンが登場し、多くのユーザーから購入されました。しかし、購入後の売却が不可能となり、創業者は約4億円を騙し取り逃亡しています。

ハッキング（クロスチェーン、フロントエンド）

クロスチェーンハッキングでは異なるブロックチェーン間を移動（ブリッジ）する暗号資産が狙われます。ブリッジのスマートコントラクトの欠陥を悪用したハッキングです。2022年のWormholeハッキングでは約3億2,000万ドルが盗まれました。

フロントエンド攻撃はユーザーがアクセスするウェブインターフェース（フロントエンド）に不正なコードを挿入することで行われます。DeFiプラットフォームKyber Networkの事例では3,700万円相当の暗号資産が盗まれました。

国際ロマンス詐欺

ロマンス詐欺でも暗号資産が使われています。外国人女性から投資、生活支援、寄付などの理由で暗号資産送付を促されます。日本人男性が被害に遭う事例も多くあり、メディアなどで注意喚起がされています。

米連邦取引委員会（FTC）は2022年、過去5年間に渡り国際ロマンス詐欺によって13億ドル以上の被害が生じたと発表しています。2021年の被害額の約25％は暗号通貨によって支払われています。

投資詐欺

投資詐欺は古くからある犯罪手法ではありますが、DeFiなどの非現実的なリターンを見せ、投資家から暗号資産を集める事例が増えています。2021年の暗号資産投資詐欺「Bitconnect事件」では20億ドル以上の被害が発生しています。

BitConnectと創業者Kumbhani容疑者は米証券取引委員会（SEC）から、投資家の資金を不正に詐取した容疑で起訴されています。Kumbhani容疑者は詐取した暗号資産をコントロール下において逃亡中といわれています。

身代金要求

マルウェアを使った攻撃では企業で使用されているシステムを暗号化し、解除と引き換えに暗号資産を要求します。2021年のColonial Pipelineへの攻撃では約440万ドルのBTCが身代金として支払われました。

2022年には全世界でマルウェアを用いた暗号資産被害額は5億ドル以上に達しています。バックエンドへの侵入が確認された場合、ITシステム全般の点検と改善が必要となる可能性があります。

暗号資産を狙う犯罪組織

ここでは世界的にも有名なサイバー犯罪組織を解説します。これらの組織は暗号資産を狙うだけではなく、国の情報戦や産業スパイなどにも加担する場合があります。詳しく見ていきましょう。

Lazarus Group（HIDDEN COBRA）

Lazarus Groupは北朝鮮の支援を受けているとされるハッカー集団です。2022年のSky Mavisへの攻撃（約6億2,000万ドルの被害）や、同年のHarmonyに対する攻撃（1億ドル超の被害）などで複数のサイバー被害をもたらしていることで知られています。

2023年にはAtomic Walletから約1億ドル、Alphapoから6,000万ドル、CoinsPaidから3,700万ドルを盗むなど、暗号通貨プラットフォームを標的にした攻撃を続けています。

Lazarus Groupによる被害額が増える一方で、組織として保有するウォレットアドレスはセキュリティ会社や世界各国の捜査当局によって明らかにされつつあります。

Dangerous Password

Dangerous Passwordは暗号資産取引所などを狙う犯罪組織です。呼び名はDangerous Passwordの他にもCryptoMimic、CryptoCore、LeeryTurtle、CageyChameleonなどがあります。運営拠点は中東、東欧、アジアなど様々な説がありますが詳細は不明です。

主に日米のWeb3ビジネスを進める個人をターゲットにアプローチしてきます。プライベートメールアドレスへマルウェアを添付したメールを送信し、プライバシー情報の獲得を進めます。LinkedInを利用しコンタクトをする場合もあるようです。

長期的に個人情報を蓄積していき、ホットウォレットのパスワードなどを入手していきます。暗号資産の被害総額は200億円以上といわれています。

DarkSide

DarkSideはロシアを拠点※4とした犯罪ハッカー組織です。主にランサムウェアを使用し、企業や個人から暗号資産で身代金を奪います。また、DarkSideはランサムウェア名そのものを指す場合もあります。いくらかの使用料を払うことで誰でもダークサイドを利用できますが、犯罪性の高いソフトであるという強い認識を持つ必要があります。

「暗号資産を狙った犯罪手法」で解説したColonial Pipelineへの攻撃に使用されたのがDarkSideです。他にも攻撃事例は多くあり、日本でも東芝の子会社が被害にあっています。

DarkSideについては活動停止情報、また保有暗号資産の紛失情報などが出ていますが、詳細は不明です。

※4 東欧、旧共産圏に拠点があるという情報もあります。

Web3サイバー捜査の前線

暗号資産に関わる犯罪が増加している一方で、Web3サイバー捜査の世界ではブロックチェーン技術の透明性を活かした捜査が進んでいます。

捜査当局は国際協力を深めながら、取引所への規制と監視を強化し、不正な暗号資産を凍結しています。ホワイトハッカーなどの専門家との協力により、被害資産の回収が行われるケースも増えています。

世界の取り組み

世界では特に報酬制度を設けてホワイトハッカーにサイバー捜査を協力してもらう事例が多くみられます。不正に送金された暗号資産の返還額に応じた報酬を提案するといった取り組みも注目されています。

2020年、DeFiプラットフォームのWarp Financeでは6億円分のトークンが盗難されています。この犯行に対して、返還額の25％分を報酬として設定し、資金奪還をホワイトハッカーに協力してもらいました。

大手海外取引所である米国のBitfinexでも盗難にあった暗号資産について報酬を設定しました。驚くべきことに、それはホワイトハッカーに対してだけではなく、資金返還に協力した犯行グループに対しても戻ってきた額の25％を報酬として与えるというものでした。

日本の取り組み

日本でも2018年のコインチェック、2021年のリキッドなどで暗号資産の盗難が起こっています。また、日本人をターゲットとする暗号資産詐欺も増えています。

2023年、日本政府は犯罪収益移転防止法の改正により、暗号資産規制を強化しています。新ルールはマネーロンダリング防止を目的とし、トラベルルールに準拠するものです。

海外の取引所と比べ、日本でトレードできる暗号資産が少ないのはホワイトリスト、グリーンリストといったフィルタリング機能が働いているからです。日本国内の取引所をしっかりと規制することで、ラグプルやハッキングといった脅威からユーザーを保護しています。

関連記事：「ホワイトリストとグリーンリストの違いは？暗号資産の評価基準を解説」

Web3捜査の協力体制

暗号資産史上、2011年のMt. GoxのBTC盗難事件はあまりにも有名です。日本発の世界的大事件であり、BTCの市場価格を35%程度押し下げたといわれています。長らく犯人は捕まらず、事件は未解決のままでした。しかし、2023年、このMt. Gox事件の首謀者が米国で逮捕されました。

Mt. Gox事件の調査は捜査機関※5と民間のホワイトハッカーとの協力体制のもと進められました。実に12年越し、国を超えての逮捕劇となりました。Web3サイバー捜査には当該国の捜査機関だけでなく、民間のホワイトハッカー、国際的な協力が不可欠であることを改めて示しました。

※5 連邦検察局、FBI、米シークレットサービス犯罪捜査部門、国土安全保障捜査局（HSI）、国税庁刑事捜査局（IRS-CI）など

ホワイトハッカー

ホワイトハッカーはサイバー攻撃の予防や防御を専門とするハッカーです。対して、サイバー攻撃をしかけるハッカーはブラックハッカーといわれます。

ホワイトハッカーの免許などはありませんが、その技術や知識の証明に米国のCEH（Certified Ethical Hacker）、日本のITストラテジストや高度情報処理技術者などの資格が有効とされています。

まとめ

Web3サイバー捜査は国境を越え、国際協調や官民連携を通じて進められています。取引所の取り組みにだけ頼るのではなく、個人ユーザーのセキュリティ意識も高めていきましょう。

以上、Web3サイバー捜査の概要と犯罪手法、対策を解説しました。Web3ビジネスのセキュリティ戦略を進める上でお役に立てる情報となれば幸いです。

FTやNFTのスマートコントラクトの安全性を高めることは非常に重要です。NFT HACKではWeb3ビジネスのセキュリティ戦略をサポートいたします。ぜひ、お気軽にご連絡ください。