Zaifの仮想通貨不正流出で見えてきた「正しいお金の洗い方」(無能ブログ)
ガジェット通信 / 2018年10月6日 13時0分
今回はCheenaさんのブログ『無能ブログ』からご寄稿いただきました。
Zaifの仮想通貨不正流出で見えてきた「正しいお金の洗い方」(無能ブログ)
9月20日、仮想通貨取引所「Zaif」を運営するテックビューロ株式会社は外部から不正アクセスを受け、同社が管理する70億円相当の仮想通貨が流出したことを公表しました。
「仮想通貨の入出金停止に関するご報告、及び弊社対応について(テックビューロ株式会社)」
2018年9月20日『PR TIMES』
https://prtimes.jp/main/html/rd/p/000000093.000012906.html
盗まれた仮想通貨は「Bitcoin」「Bitcoin Cash」「Monacoin」の3種類です。Zaif側は時間帯と金額以外に詳細は明かしていませんが、不正アクセスのあった9月14日17時から19時ごろに生成された各通貨のブロックの全取引内容を調べると、Bitcoinではブロック #541368 に含まれる取引に、実際にZaifから流出したとみられる巨額の送金履歴が確認できます。
Zaifから盗まれたBitcoinの取引内容
トランザクションID: c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280
「Bitcoin/Transaction」『BLOCKCHAIR』
https://blockchair.com/bitcoin/transaction/c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280
この取引ではBitcoinのアドレス 1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w *1 に5000 BTC(37億円相当)が送金されており、このあとも14日18時42分まで総流出額の大部分がこのアドレスに送金が行われています。
*1:「Bitcoin/Address」『BLOCKCHAIR』
https://blockchair.com/bitcoin/address/1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w
同様にBitcoin Cash、Monacoinにおいても、14日17時から19時にかけてZaifが公表した額と同額が一つのアドレスに送金される取引が記録されています。
Bitcoin Cash: qrn0jwaq3at5hhxsne8gmg5uemudl57r05pdzu2nyd
「Bitcoin/Address」『BLOCKCHAIR』
https://blockchair.com/bitcoin-cash/address/qrn0jwaq3at5hhxsne8gmg5uemudl57r05pdzu2nyd
Monacoin: MBEYH8JuAHynTA7unLjon7p7im2U9JbitV
「Address 6236810.1 MONA」『insight』
https://mona.insight.monaco-ex.org/insight/address/MBEYH8JuAHynTA7unLjon7p7im2U9JbitV
これらの3つのアドレスは犯人の所有するアドレスとみて間違いないと思われます。このうちBitcoin Cash、Monacoinにおいては当該アドレスの資金は移動されておらず現在も残っていますが、Bitcoinについては15日10時以降から犯人のアドレスから多数のアドレスに分散して資金が移動しており、このアドレスの残高は15日昼で0になっています。
通常の仮想通貨の取引では、送信者から受信者に送る記録がブロックチェーン上に記録され「エクスプローラー」と呼ばれるツールなどで資金の流れを見ることは容易に行えます。しかし今回の事件では、幾度にもわたって全残高が複数の新たなアドレスに移動し、最終的な通貨の移動先を把握することが困難になっていました。このような手法は「ミキシング」と呼ばれています。
ブロックチェーンの分析
私は、ブロックチェーンを視覚的に表示して分析できる素晴らしい無料ツール「BlockSeer*6 」を利用してこのBitcoinアドレスの取引履歴の分析を行いました。
*2:『BLOCKSEER』
https://www.blockseer.com/
ミキシングの概要図
BlockSeerを利用してブロックチェーンを分析すると、ミキシングされたBitcoinのうち1544.53 BTC(約11億円分)は最終的に中国系の最大の仮想通貨取引所「Binance」に流入していることがわかりました。(画像参照)
ミキシングの詳細
それだけではなく、さらに興味深いことがわかりました。ミキシングされたBitcoinは、幾度にも細かく分けられたのち、ある大量のアドレス群に1.99〜2BTCの額で入金されています(画像右下)。そして、最終的にBinanceのものと思われるアドレスに資金が集約されています(画像左下)。
これらの大量のアドレスは、Binanceでアカウントを開設すると付与される預金用のアドレスと考えられます。これはユーザーの預金を識別するためにアカウントごとに付与されているものです。その理由としては、受け取った額すべてBinanceのアドレスに送金していることと、Binanceでは本人確認を行っていないアカウントは24時間ごとに2 BTCまでの出金制限があることです。
Binanceの出金制限
つまり、大量の預金用アドレスの入金はそれだけ大量のアカウントを用意してBinanceに入金し、資金洗浄を行っていることを示しています。
盗まれたBitcoinのBinanceへの送金量
私が調べた結果、Zaifの不正送金と関連するBinanceの預金用アドレスは781も存在することがわかりました。間違いなくBinance側にも700を超す不正なアカウントが作成されたと考えられます。
疑わしい預金用アドレスをまとめたリストをアップロードしました。
「to_binance.json」『transfer.sh』
https://transfer.sh/dxAPh/to_binance.json
攻撃者は大量にBinanceのアカウントを作成することで出金制限を突破し、11億円を超えるBitcoinの資金洗浄を可能にしました。Binanceの制限が実質的に機能していないことは明らかです。攻撃者がBinanceに入金後に何を行ったのかは不明ですが、匿名性の高い通貨に購入し、出金したなどが考えられます。
その他
ブロックチェーンの分析企業「BlockTrace*2」によると、Zaifから盗まれたBitcoinの一部が、中国発で現在はシンガポールに拠点を置く仮想通貨取引所「Huobi」に流れた形跡があるとのことです。
*2:『BlockTrace』
https://www.blocktrace.com/
1/ Calling on @HuobiGlobal to investigate the account(s) associated with the following deposit addresses. These are likely associated with the @zaifdotjp hack. Other exchanges and intel to follow as we investigate. #ZaifHack 1BqcdwwfGhAQS62Xw12p2A32kwuH5bhXF9
/2 @HuobiGlobal Addresses: 1JeNvVgN63t81kxpbFvNa9o6sBpazjyg4r 1Aduf9fSCysHyiu1mMDgm5GYpKocVPEDHR
以下の3つのHuobiの預金用アドレスが資金洗浄に関連していると述べています。
・1BqcdwwfGhAQS62Xw12p2A32kwuH5bhXF9
・1JeNvVgN63t81kxpbFvNa9o6sBpazjyg4r
・1Aduf9fSCysHyiu1mMDgm5GYpKocVPEDHR
コインチェック事件との関連は?
日本の仮想通貨取引所を狙った巨額の盗難事件が今年1月に次いでまたも起きてしまいましたが、この2つの事件に関連があるのかという点については、実際のところはまだわかっていません。
Zaifが受けた不正アクセスの手法は、社員のパソコンが何らかの手法(マルウェアによるものかどうかも不明)で侵害され、同社が管理するホットウォレットのサーバーに不正送金の指示が行われたとされています。コインチェックの事件でも、社員のパソコンに送信されたメールからマルウェアに感染し、その後に管理していたNEMの秘密鍵が盗まれたとされており、手法としてはどちらもソーシャルエンジニアリング的で類似しています。
マルウェアについては、どちらも詳細な情報が明かされておらず、どのような種類のマルウェアが用いられたかなどはわかっていません。
資金の流れについては、Zaifから盗まれたBitcoinはものの数日でミキシングされて資金洗浄が行われています。コインチェックで盗まれたNEMはダークウェブ上で開設されたサイト上でBitcoinとLitecoinでの交換が行われ、私は犯人に関連するBitcoinアドレスから追跡を試みましたが、資金の最終的な移動先では半年経過した現在も資金に動きはありません。以下で表示されたBitcoinの残高を合計すると13821.5 BTC(約103億円)になります。
Coincheckの盗難と関連するウォレット
https://www.blockseer.com/g/i6a452yjO41qg
もし同一の犯行グループとすれば、100億円分ものBitcoinを資金洗浄も行わず現在も保管したままZaifから盗んだ70億円の仮想通貨を洗浄するのは不自然です(当然ながら、上記の関連するアドレス群の資金がミキシングサービス等によって所有者が犯人から移り、ミキシングサービスのリザーブとして保有されているなどの可能性も考えられます)。
—
新しい動きがあり次第、記事を更新します。
執筆: この記事はCheenaさんのブログ『無能ブログ』からご寄稿いただきました。
寄稿いただいた記事は2018年10月04日時点のものです。
―― 面白い未来、探求メディア 『ガジェット通信(GetNews)』この記事に関連するニュース
-
デジタル通貨決済、官民で実証=国際送金迅速化へ―3メガ含む世界40社超
時事通信 / 2024年9月22日 5時42分
-
暗号資産詐欺の被害額、23年に45%急増=FBI
ロイター / 2024年9月10日 8時57分
-
銀行から連絡があるのはどんな時? 貯金額が「1000万円」を超えると連絡がくると言われているのはなぜ?
ファイナンシャルフィールド / 2024年9月10日 2時20分
-
ビットコイン市場の再活性化は?エヌビディア株急落で仮想通貨市場に与える影響は?資金調達プロジェクトはDeFiの初期プロジェクトが再評価される傾向も ~仮想通貨情報コミュニティサービス「TSUDOI」が2024年8月の業界動向を発表~
@Press / 2024年9月9日 16時45分
-
ビットトレード:【貸して増やす・貸暗号資産】定期募集開始のお知らせ
PR TIMES / 2024年8月26日 15時15分
ランキング
-
1Androidや古いiPhoneから「iPhone 16」シリーズへデータを移行! アプリで簡単、PC経由も可
ITmedia Mobile / 2024年9月23日 18時0分
-
2「毎回イラっとする」 Windowsの“信用できないこと”に約8万件のいいね 「あの現象は本当に……」共感の声殺到
ねとらぼ / 2024年9月23日 8時0分
-
3行方不明になった「逆襲のシャア」のガンダムを想像で制作→“空想のガンプラ”が大好評 「主題歌が脳内再生される」
ねとらぼ / 2024年9月22日 11時0分
-
4『ポケカ』新弾「超電ブレイカー」に注目カード続々!相手3匹に同時攻撃の「サザンドラex」、2進化ポケモンもいきなり出せちゃう「シャリタツex」など
インサイド / 2024年9月23日 17時25分
-
5M4搭載iPad ProがiPadOS 18への更新で故障する不具合/「Microsoft リモート デスクトップ」の後継アプリが公開
ITmedia PC USER / 2024年9月22日 6時5分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください