仮想通貨取引所のコインチェックから580億円相当の仮想通貨「NEM」が流出した問題で、盗まれたNEMが匿名性の高い別の仮想通貨「DASH」に変換され、それにより資金洗浄が行われる可能性が浮上しました。
開発を行うNEM財団はこの問題について声明を発表し、盗まれた資金の流れを自動の追跡システムを開発し「ハッカーは勝てない」と強気の発言も行いました。これによって事態は沈静化すると見られていましたが、今回の疑惑が事実であれば、さらに事態が悪化する恐れがあります。
さらに、日本人が犯人である可能性も同時に浮上しました。
—
事件の概要
すでに各所で伝えられているとおりですが、1月26日、日本大手の仮想通貨取引所「コインチェック」において、第三者からの不正アクセスによる攻撃を受け、顧客資産を含めた同社が所有する約5億NEMが盗まれる事件が発生しました。流出した当時のレートで換算すると、約580億円に相当します(現在は250億円相当)。盗難されたNEMは現在も8割以上がハッカーの所有する複数のウォレットに分散して保管されています。
トランザクションの分析
今回コインチェックから盗まれたNEMは、NEMのブロックチェーンに記録されており、それらはインターネット上に公開されているため、誰でも取引の記録を閲覧することができます。今回はその取引履歴から盗まれた資金の流れを分析しました。
さて、私は今回この調査を始めるにあたって、 CoincheckMate というサイトを立ち上げ、ここで犯人のアドレスに関する取引記録を収集し、分析しやすいようにデータを整理しました。
犯人は、コインチェックのNEMウォレット(財布)から資金を盗む際、それらすべてを一つのNEMアドレスに送金しています。そのアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」です。
さらにこのアドレスから、犯人のものと思われる別の10以上ものアドレスに資金が分散して送金されています。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGから別のアドレスへの送金記録
発生時間 XEM送金額 送金先のウォレットアドレス 1/26 2:57 30,000,000 NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ 1/26 2:58 50,000,000 NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW 1/26 3:00 50,000,000 NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ 1/26 3:02 750,000 NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4 1/26 3:14 100,000,000 NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW 1/26 3:18 100,000,000 NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524 1/26 3:28 100,000,000 NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI 1/26 3:29 92,250,000 NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5 1/26 23:42 300,000 NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ 合計 523,300,000
そのアドレス、また上記の関連するアドレスに関する取引記録を監視している中で私が気になった取引記録が、あるメッセージを含んだ2月2日の犯人のアドレスへの送金記録でした。
ID: dd50841ba593359383475b056ffa0c6547799a8b21bc4e0d869caec5697332ad
こんにちは。すみませんお詫びがあります。。匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。少し時間がかかるかもしれません。。ただ洗浄のルートは確立できましたので、次回からはスムーズに行えるかと思います。取り急ぎ、DASHの送金確認をするために、こちらのアドレス(Xr6maJSptxgD6NRBRqnv4YwsqoJvhLc7iB)へ、0.01DASHをお送りしました。着金が出来ているかのご確認をお願いします。txid:e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df
これは、アドレス「NDUO6J6H253GULLVXJU66CIEYQYBOWU5DOYUZMZF」から犯人への送金とその取引に記録されたメッセージです。一見すると、NEMのメッセージ機能を用いて資金洗浄に関するやりとりを行っているかのように見えます。内容も、かなり本格的に感じられます。実際に、メッセージ内で書かれているDASHのトランザクションIDの取引記録や、アドレスも存在していました。
DASHの取引記録
ID: e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df
しかし、このような通常秘匿すべき内容のやりとりをブロックチェーンという公共の場で、ましてや内容の暗号化も行わずにするかどうか私は疑問に思い、これは捜査かく乱などを目的としたいたずらか何かではないかと考えました。
ところが、このアドレスから送金された取引を少しさかのぼってみると、1日前の2月1日に行われた興味深い取引記録を見つけました。
ID: 684b5928b45c1b72a2f3d169c64266f3063e07bd2641bd03969b58e0f34d24e8
XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5
この取引記録は、犯人のアドレスから「NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT」という別のアドレスに1000 XEM(約5万円)が送金されたものです。この「XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5」という文字列について、数日前にこれを観測した時点では暗号化された文章かと思っていましたが、よく見るとこれは暗号文ではなく、匿名性の高い仮想通貨「DASH」のアドレスであることがわかりました。
さらに前後関係を詳しく見ていきます。アドレス NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT に1000 XEMが送金される前、このアドレスから犯人のアドレスにメッセージが送られていました。
ID: 7b0939ac43884657c44bcf49a2e6f54c42442a1f830f3fad64ed2f54fba6bd31
このメッセージは暗号化されているため、内容を読むことはできませんが、explorer.ournem.comのブロックチェーンエクスプローラー(リンク参照)でこれを見ると、かなりの長文であることがわかります。
DASHについて
ここで、少し遅くなりましたが先ほどから名前が出ているDASHについて説明します。「DASH」は、匿名送金(PrivateSend)と即時送金(InstantX)の機能が大きな特長のアルトコイン(ビットコインから派生したコイン)です。「Monero」「Zcash」とならんで、有名な匿名性の高い仮想通貨です。時価総額は12位(執筆時点)で、日本で扱っている取引所は、ちょうどCoincheckです。
まとめ
これまでに挙げた点を踏まえた上で、今回の事件を考察してみたいと思います。
今回、コインチェックから580億円相当のNEMを盗んだ犯人は、みずなしりん氏やNEM財団の素早い対応によってか、いまだに盗んだ資金の大半を移動させずにいます。
そんな中、2月1日の19時に、犯人のNEMアドレスにメッセージを送る人物が現れました。内容は憶測ですが、おそらく資金洗浄の代行を持ちかけるものでしょう。数時間後、DASHのアドレスが犯人側からその人物に送られます。さらに2分後、犯人側から暗号化されたメッセージが送信されていますが、おそらく暗号化せずにメッセージを送ったため、DASHのアドレスを差し替えたのでしょう。そのせいか、前者のアドレスには入金がありません。
DASHアドレス: XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5
2月2日19時、別のアドレスから犯人に、資金洗浄の経過報告と思われるメッセージが届きます。アドレスは別ですが、内容や時間的にみて同じ人物と考えられます。
「匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。」という点については、実際に犯人から1000 XEMの資金を受け取った後で、ニュージーランドの仮想通貨取引所Cryptopiaへの送金でメッセージを暗号化して送金しているトランザクションが見つかりました。
トランザクションID: a928efcfd3a51d845bd2ca427f123392244dcb1cf2772da360a0ba8
NEMのトランザクションでやりとりをするという点については、もちろん、NEM以外の連絡手段を用いて連絡が行われている可能性も考えられますが、しばらくの間やりとりが続いているあたり、おそらくこの犯人とはその中でしかやりとりすることはできません。
そして、数日ほど大きな動きはありませんでしたが、この記事の執筆中、計55000 XEM(約275万円分)もの送金が犯人の本アドレスから行われました。
- 02-06 22:20:50 +5000 XEM (25万円) 086abd94916e6ae0eb4baab71897af864994c4c7ded8b5102edceaede373147f
- 02-06 22:38:15 +50000 XEM (250万円) 4615a038f66e85869fa014e6362f1f8f6ab4d3df3f2391c0434715eef153dae0
これが何を意味するか、おそらく、資金洗浄のルートが既に確立したので、少額づつ換金することを決断したのかもしれません。
—
NEM財団は即座に打開策を発表し、事態の沈静化を試みました。これはとてもスピーディーな判断ではありましたが、結果として選んだ方法は各事業者への特定のモザイクが付着したアドレスからの入金を拒否するようにお願いするというものでした。
モザイクで識別するというこの措置について、確かに一定の効果は見込めますが、入金の拒否に対応していない業者の利用や、また、資金が移動してからモザイクが付着するまでのタイムラグを狙った入金はできる状態にあり、上記の6日22時の資金移動に関しても、10時間経過した現在も新しいアドレスにモザイクは付着していません。
資金洗浄を行っているとみられる人物らの一連の発言が事実であれば、時間の経過とともに盗まれた5億NEMは少しづつ引き出され、そうなれば、巨額の資金が犯人の手に渡るのはもちろん、直接的には無関係とはいえ、NEM財団への信頼、ひいてはNEM自体への信頼がゆらぎかねません。
犯人が北朝鮮が関与しているという報道も一部では出てきています。これに関しては私はその手の専門家ではないため断言することはできませんが、個人的には今回の件に関しては関連は薄いと見ています。主な理由のひとつに、先程挙げたように日本語をコミュニケーションに用いているところがあります。犯人からの直接の日本語の文章は目にしていませんが、取引を持ちかけている人物が何度も日本語を話している点も考えると、犯人も日本語話者である可能性は高いといえます。
また、この資金洗浄が詐欺であり、取引を持ちかけた人物が盗まれたNEMを犯人から奪おうとしている、あるいはこの人物が関係者で、NEMを取り返そうとしている可能性も考えられます。
新しい情報が入り次第、記事を更新します。