北朝鮮に盗まれた約40億円相当の仮想通貨を取り返すことに成功

仮想通貨分析企業のChainalysisが、北朝鮮の支援を受けたサイバー犯罪グループが盗んだ750億円超(当時)の仮想通貨のうち、3000万ドル相当(約42億7000万円)分の押収に成功したことを報告しました。

$30 Million Seized: How the Cryptocurrency Community Is Making It Difficult for North Korean Hackers To Profit - Chainalysis
https://blog.chainalysis.com/reports/axie-infinity-ronin-bridge-dprk-hack-seizure/

Feds claw back $30 million of cryptocurrency stolen by North Korean hackers | Ars Technica
https://arstechnica.com/information-technology/2022/09/feds-claw-back-30-million-of-cryptocurrency-stolen-by-north-korean-hackers/

2022年3月、モンスターの姿で表現されるNFT(非代替性トークン)を収集し、互いに戦わせたり繁殖させたりして遊ぶゲーム「Axie Infinity」がハッキングを受け、17万3600ETH(イーサリアム)と2550万USDコインを盗まれました。被害額は当時のレートで日本円に換算すると750億円超で、仮想通貨関連のハッキング被害としては過去最大規模と報じられました。なお、記事作成時点ではイーサリアムの価値が2022年3月末から5～6割に下がってしまったため、被害総額も約470億円ほどに下がっています。

遊ぶだけで仮想通貨が手に入るゲーム「Axie Infinity」のサイドチェーンから750億円超が盗まれる - GIGAZINE

その後の調査で連邦捜査局(FBI)は、このハッキングに北朝鮮のサイバー犯罪グループであるラザルスグループが関与していることを発表しました。

「NFTゲームからの750億円盗難事件」に北朝鮮のサイバー犯罪グループが関与していたことが判明 - GIGAZINE

今回の事件で、Axie Infinityをサポートするサイドチェーン・Ronin Bridgeが稼働するRonin Networkの取引バリデーターが持つ9つの秘密鍵のうち5つが、ラザルスグループからのアクセスを受けました。このRonin Networkへの侵入には、LinkedInの求人を装ったマルウェアが使われたと判明しています。

750億円ハッキング盗難事件の手口として「偽の求人」が使われていた - GIGAZINE

ラザルスグループは17万3600ETと2550万USDコインを盗み出した後、マネーロンダリング(資金洗浄)を行いました。このマネーロンダリングには1万2000種類以上の異なる仮想通貨アドレスが使用されていたそうです。

Chainalysisによれば、ラザルスグループをはじめとする北朝鮮系サイバー犯罪グループが採用しているマネーロンダリングの手法には、大まかに分けて以下の5ステップがあるとのこと。

1：盗んだイーサリアムを仲介者のウォレットに送る。
2：トルネードキャッシュを使ってイーサリアムの取引をすべて匿名化する。
3：イーサリアムをビットコインに換金する。
4：ビットコインをミキシングする。
5：ビットコインを換金する。

この一連のプロセスの中で最も重要なのが、仮想通貨の取引データを複数混ぜ合わせることでイーサリアムの取引を匿名化するサービス「トルネードキャッシュ」です。トルネードキャッシュは取引者のプライバシーを守るという目的が定められていますが、マネーロンダリングに使われてしまっている実態があります。これを受けて、アメリカ財務省外国資産管理局(OFAC)は2022年8月にトルネードキャッシュを制裁対象に指定しました。

トルネードキャッシュがOFACの制裁対象になったため、ラザルスグループは「複数種類の仮想通貨への両替を介して大量の取引を行うことで、盗んだ仮想通貨の流れを不透明化させる」という手口に頼らざるを得なくなりました。FBIとChainalysisは独自のツールでこの取引を追跡することで、盗まれた資産の約10％に相当する仮想通貨の押収に成功したとのこと。Chainalysisは「悪質な業者が不正に得た仮想通貨の利益をうまく現金化することがより困難になっていることを示しています」と述べています。

さらに、Chainalysisは「官民の協力がなければ押収することは不可能だったでしょう。Axie Infinityから盗まれた資産の多くは、ハッカーが管理する仮想通貨ウォレットに手つかずで残っています。私たちは、彼らや他の犯罪者が盗んだ資産を現金化するのを防ぐために、仮想通貨エコシステムと協力し続けたいと考えています」とコメントしました。