なるほど!をお届けする仮想通貨情報メディア

  • BTCBTC

    371,008円

  • ETHETH

    9,814.4円

  • ETCETC

    422.33円

  • LTCLTC

    2,914.3円

  • BCHBCH

    9,251.7円

  • XRPXRP

    32.881円

  • LSKLSK

    0.0000円

  • XEMXEM

    6.9359円

Zaifから流出の仮想通貨、追跡困難な状態に 追跡を巻いた手口を検証

2018年9月20日、仮想通貨取引所のZaifから多額の仮想通貨が不正に流出したことが判明しました。流出したのはビットコイン(BTC)、モナコイン、ビットコインキャッシュの3種類。被害総額は70億円にのぼるとのことです。コインチェックからネム(XEM)の流出があったのは記憶に新しいところですが、再発してしまった仮想通貨流出事件。仮想通貨業界全体に対する世間の目もより厳しさを増しています。さらに追い討ちをかけているのが、この70億円を盗難した犯人の追跡がすでに困難になっているという報道です。多額の資産を盗んだ犯人が一体どのようにして追跡の手を逃れているのか、検証していきます。

Zaif資産流出事件の概要

Zaifから資産の流出があったのは2018年9月14日の17時から19時頃。Zaifを運営するテックビューロの社員のパソコンに不正アクセスがあり、仮想通貨が盗難された模様です。その後17日にサーバーが異常を検知、18日にハッキング被害があったことが判明し、捜査当局および金融庁に報告を行なったとのこと。それぞれの被害額はビットコインが5966BTC、モナコインが6,236,810MONA、ビットコインキャッシュが42,327BCHであり、日本円に換算するとビットコイン約42億5千万円、モナコイン約6億7千万円、ビットコインキャッシュ約21億円の合計約70億円にのぼります。

ハッキングはZaifの入出金用資産を管理するホットウォレットのあるサーバーに対して行われました。ホットウォレットとはオンラインのウォレットのことを指し、オフラインのウォレットであるコールドウォレットに比べて流動性が高い一方でハッキングなどの被害にあう可能性があるというデメリットがあります。過去のハッキング事件は全てホットウォレットで管理されている資産に対して行われたものです。テックビューロでも預かり資産の一部はコールドウォレットで管理しており、そちらは今回被害に遭っていません。

ハッカーのビットコインアドレスが判明

Zaifへハッキング攻撃を仕掛けたハッカーのものと思われるビットコインアドレスが可能性として浮上しています。容疑者のものと思われるこのアドレスにはビューロテックが被害日と公表している9月14日に被害額の5966BTCに近い5966.1BTCが数回に分けて着金した記録が残っています。その後、5966.1BTCはすべて他の複数のウォレットに送金され残高がゼロになっています。

仮想通貨は「匿名性が高い」??

仮想通貨の特徴としてよく「仮想通貨は匿名性が高い」というものが挙げられます。たしかにビットコインをはじめとする多くの仮想通貨では個人情報を一切登録することなく保有・送金を行うことができます。しかし、ブロックチェーン上には、どのアドレスからどのアドレスへいくら送金されたかといった取引に関する情報がすべて公開されています。個人を特定可能な情報が直接記録されているわけではありませんが、アドレスからその人の全ての取引記録を追跡することは可能なのです。

このようにビットコインをはじめとする多くの暗号通貨では取引記録が公開されており、完全な匿名性を実現できていません。もちろん一人でいくつものアカウントを所持することも可能なので個人IDとすぐに結びつく訳ではなく、この点を強調して「暗号通貨は匿名性が高い」と言われることも多いですが、追跡の余地が十分ある不完全な匿名性であると言えます。この性質を嫌って作られたのが「匿名性暗号通貨」と呼ばれる通貨です。暗号通貨のメリットを保ちつつ完全な匿名性を目指すコイン総称であり、該当する通貨としてモネロ、ジーキャッシュ、ダッシュなどが挙げられます。

今回被害に遭ったのは「匿名性暗号通貨」と呼ばれる通貨ではなく、先述の通り口座の特定もできています。犯人の使用した口座がわかっているのであれば犯人の特定も簡単なように思われますが、なぜ不可能である可能性が高いという報道がされているのでしょうか。

今回犯人が用いたと言われているのが「ミキシング」と呼ばれる技術です。ミキシングはダークウェブやマネーロンダリング関連の話題で仮想通貨が登場するのと同時にしばしば話題になっているキーワードですが、いったいどのようなものなのでしょうか。

ミキシングとは:仮想通貨の匿名性を高める技術

今回犯人が用いたと言われている技術である「ミキシング」ですが、簡単に言うと仮想通貨の匿名性を高める技術のことを指します。具体的には、複数の仮想通貨の取引データを混ぜ合わせることで、送金元である保有者を判別できないようにしたり、取引による資金の流れを辿れないようにします。多くの仮想通貨では個々のアドレスに紐付いた取引をたどることは容易に行うことができますが、もしこの取引情報と個人情報とが結びついてしまうと第三者に様々な情報を閲覧されてしまう可能性があります。これを防ぐために誕生したのがミキシングサービスです。

ハッキングなどの犯罪絡みの報道でよくその名前が聞かれるミキシングですが、ミキシングサービス自体は犯罪行為ではないのです。ミキシングサービスは、身近なところで言うと具体的に以下のような状況で必要とされます。

本人確認なしに作成でき一人でいくつもの口座を持つことができるため個人情報と紐付かないビットコインアドレスですが、取引の相手にとってはビットコインアドレスと送金者の情報が紐づいてしまいます。例えばお店でビットコインによる支払いを行えば、店員さんはビットコインアドレスとお客さんの顔を容易に紐づけることができてしまいます。もっと大きな例で言うと、企業同士がビットコインの決済を用いて取引を行った場合、双方の企業は相手のビットコインアドレスを紐づけることができるためその企業がどのような決済取引を行っているのかを把握することができてしまいます。

ミキシングを利用したデータも一応は追跡可能だが、限度がある

ミキシングを行うと一切の追跡が行えなくなるわけではなく、実はミキシングされたデータを分析することで一応追跡することは可能となっています。ミキシングサービスを利用した通貨を追跡するためには、ランサムウェア攻撃などによるマルウェア感染やハッキングを受けた段階から、一見無秩序なミキシングサービスによる一連の取引まで辿っていくことになります。従って、あまりに資金が分散しすぎると追跡は不可能になってしまいます。今回のハッキングにおいては15日から資金の分散が活発化し、20日時点では分散先のアドレス数が3万件を超えているとのこと。ハッキングから発見までに相当な遅れがあった今回の事件においては気付いた時にはすでに追跡できない状態まで資金がばらけてしまっていました。仮想通貨がオンラインに存在する以上、ある程度の流出は避けられないものと考えられます。今後仮想通貨取引業者には流出時の迅速な対応がより強く求められて行くでしょう。

過去の流出事件における犯人追跡

今回のZaifの仮想通貨流出事件においてはアドレスを辿っての犯人の特定は難しいのではないかと言われています。では、過去に起こった仮想通貨の大規模流出事件において犯人の追跡や逮捕はどのように行われていたのでしょうか。主要事件を振り返ってまとめてみました。

コインチェックのネム流出事件の場合

2018年1月末、セキュリティの甘かったコインチェック(Coincheck)がサイバー攻撃の対象となり、580億円相当にものぼる大量のNEMが流出しました。

事件発覚直後、ネム財団は早急に対応に乗り出しました。流出したネムにタグをつけて追跡するとともに、取引所に対してタグ付けされたネムを売却できないように協力を仰いだとのこと。これにて犯人側は資金洗浄を行うことができず事件はネム財団側の勝利で終わると思われました。しかしその裏で、ネムを盗んだ犯人グループは盗んだネムを匿名通貨に交換しダークウェブを通じて売却し順調にマネーロンダリングを進めていったのです。ネム財団からも正式に追跡を打ち切るとの発表があり、ハッカー側の勝利という形で終わってしまいました。犯人は未だに逮捕されておらず、資金も戻ってきていません。

マウントゴックス事件の場合

2014年、仮想通貨取引所であるマウントゴックスのサーバーがサイバー攻撃を受けハッキング被害にあい、ビットコイン約75万BTC(当時のレートで約480億円)と顧客がビットコインの売買の資金として預けていた現金28億円が消失しました。この発表は、消失してから数日経過した後になされており、その点でも大きな非難の的となりました。

しかし、調査が進むにつれて明らかになったところによると外部からのハッキングの痕跡はほとんど確認出来ませんでした。マウントゴックスの取引を記録した台帳は社長自身のみがアクセス可能であったことから、社長であるマルク・カルプレス氏の横領ではないかという嫌疑もかかりました。同氏は保釈保証金1千万円を納付し、2016年7月14日東京拘置所から保釈されています。2018年現在、真相は完全には解明されておらず、被害にあった債権者にお金は戻ってきていません。発見の遅れもさることながら、かなり不透明な点の多い事件であったと言えます。

主要な仮想通貨流出事件は現時点で殆どが未解決

上述の通り、現在までに起こった金額の大きい仮想通貨流出事件は犯人の特定が行えず資産も取り戻せていないケースばかりです。イーサリアムのハードフォークを引き起こしたThe DAO事件にしても、ハードフォークによってハッキング自体は無かったことになったものの犯人の特定は行われていない模様です。信頼を取り戻すためにも、今後の流出対策および流出が起こった際の対応策の整備は急務と言えます。

まとめ:今回の事件における追跡は困難。今後の再発防止対策が必須

今回起こったZaifの仮想通貨流出事件においては、犯人がミキシングを利用したこと、また流出の発見が遅れ気付いた時には無数のアドレスに資金が分散していたことから、犯人の特定は非常に困難であると考えられます。仮想通貨をホットウォレットに保管している以上、ハッキングのリスクは常につきまとうものです。適切なセキュリティ対策やコールドウォレットでの分散管理を検討すると同時に、万一ハッキングを受けた際にも即座に対応できるような体制づくりが今後より厳しく求められていくのではないでしょうか。最後まで読んで頂きありがとうございました。