脅威インテリジェンスで見る仮想通貨犯罪
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. (旧Verint Systems Ltd.)のブログ『脅威インテリジェンスで見る仮想通貨犯罪』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
【ホワイトペーパー】攻撃者やマルウェアの通信を傍受する独自技術(Kryptos Logicホワイトペーパー)の資料についてはこちら >
【レポート】脆弱性に関する脅威インテリジェンスの資料についてはこちら >
Tom Sadon@Cognyte | 2021年11月9日
技術革新の恩恵を受け、ほぼ全ての側面において、私達の生活はどんどん便利になっています。
しかし、これは裏を返せば、犯罪者の生活も便利になっているということです。ブロックチェーンの技術により、攻撃者は匿名で、国境を気にすることなく活動を行えるようになり、法的機関による捜査は一層困難になりました。日々の一般市民の暮らしをより便利に、安全なものにするはずの技術は犯罪の増加の環境整備を助長していることもあるのです。
このブログでは2020年に合計100億ドル(約1兆1400億円)を超える不正取引を生み出したと言われる仮想通貨に関連した犯罪を5種類のタイプ別に見ていきたいと思います。
仮想通貨に関連した犯罪の種類
1)仮想通貨が使われるランサムウェア攻撃
ランサムウェア攻撃による取引額は2020年に大幅に増加し、3億7000万ドル(約422億円)近い仮想通貨が支払いに使われました。マルウェアの一種であるランサムウェアは、通常、悪意のある添付やリンクを使ったり、脆弱性を悪用したりすることによって標的となっている組織のシステムに侵入します。近年、よく使われるようになってきているRaaS(Ransomware as a Service=サービスとしてのランサムウェア)では、攻撃者はランサムウェアの作成者に手数料を払うことで、このランサムウェアを攻撃に使うことができ、ランサムウェア攻撃をサービスとして購入することができるのです。
攻撃者は、身代金が支払われない場合、「機密データを公開する」「システムへのアクセスを妨害する」などと被害者を脅し、身代金を支払わせます。しばしば、ランサムウェア攻撃の標的として狙われるのは、大手企業や政府、また病院や電力施設などのいわゆる重要インフラと呼ばれる施設です。
国境をまたいで匿名で金銭の授受を行いたい、また、複数の関係者が絡むなど、従来のランサムウェア攻撃においても、RaaSにおいても、仮想通貨は非常に都合の良いツールなのです。
2021年7月に史上最大級とも言えるランサムウェア攻撃が発生しました。
REvilと呼ばれるこのランサムウェアによる被害総額は日本円にして70億円を超えるのではないかと報じられています。REvilは、リモート監視・管理ソフトウエア「Kaseya VSA」の脆弱性を悪用し、1000社を超える企業に対し、暗号化されたデータを復元したければ、身代金を支払うよう要求しています。
この7月の攻撃の2週間後、REvilは一旦インターネットから姿を消しますが、再び活動を開始しています。
2)仮想通貨詐欺
仮想通貨は、犯罪者が詐欺行為を働くために使用する理想的な手段であり、即時決済が可能で、匿名、かつ足跡を残すこともないので、サイバー犯罪の取引においては常套手段となっています。ポンジスキーム、フィッシング、投資詐欺など、私たちが日々のニュースでよく耳にする詐欺は、数ある詐欺のバリエーションのほんの一部であることを肝に銘じておきましょう。
2019年『PlusToken』と呼ばれたポンジスキームでは23億5000万ドル(約2700億円)が盗まれたと見られています。この詐欺では、実行犯は仮想通貨の利用者である投資家たちに対し、月々投資収益の分配を約束したものの、このスキームを放棄する前に、利用者のウォレットにある仮想通貨を全て引き出していたのです。この詐欺犯罪に関わったとして109人が中国当局によって検挙され、被害者は数百万人にのぼると言われています。
また、2020年同じくポンジスキームで、南アジアで起きた仮想通貨詐欺事件『Mirror Trading International(MTA)』では、5億8800万ドル(約670億円)の被害が出ています。被害者は、やはり投資による収益の分配を約束されていましたが、自らのウォレットにアクセスしたときには全ての暗号資産は既にその姿を消していました。
3)ダークネットマーケットと不正取引
『ダークネットマーケット』とは、ダークウェブ上のTorを使った取引サイト、いわゆる闇サイトのことです。Tor経由でのみアクセスできるため、安心して匿名でブラウジングすることが可能です。ダークネットマーケットでは、2020年17億ドル(約1900億円)以上の仮想通貨取引が行われたと考えられています。こうした不正マーケットプレイスは、薬物取引、盗難データの売買、武器の売買、ヒューマントラフィッキングと呼ばれる人身売買、児童性的虐待に関連した素材の売買などに使われています。如何に仮想通貨が違法行為によって得られる利益の分配に使われているかを理解するのに良い例だと思います。
近年、注目を集めているダークネットマーケットの1つは、ロシアと東ヨーロッパのロシア語圏のみを対象とし、世界で最も多くの収益を上げている『Hydra』です。Hydraの収益は2020年に13億7000万ドル(約1560億円)、33%の伸び率で、世界のダークネットマーケットの売上の75%以上を占めています。
もう1つのその名を良く知られているダークネットマーケットは『Silk Road』です。既に存在していませんが、過去には違法商品の取引の場として、しばしばビットコインによる支払いを受け入れていました。2011年に設立され、2013年に米国連邦当局によって取り押さえられています。その創始者であるRoss Ulbrichtは、2年後に終身刑を言い渡されています。さらにその7年後の2020年11月には、Silk Roadに関連した12億ドル(約1370億円)相当のビットコインが、米国政府によって取り押さえられています。
4)仮想通貨の窃盗事件
仮想通貨は安全であると言われていますが、盗難に関して言えばそうとも限りません。
犯罪者は、ハッキング、ソーシャルエンジニアリング、フィッシング詐欺などを利用して、仮想通貨を被害者から盗み出し、ブロックチェーンでロンダリングを行います。
現時点で知られている史上最高額の仮想通貨の窃盗は、2021年8月に発生した被害額6億ドル(約680億円)とも言われるPoly Networkへのハッキングでした。Poly Networkは、分散型金融『DeFi』の仮想通貨プラットフォームであり、ハッキングに対して特に脆弱であったカテゴリーです。盗まれた暗号資産が返却された後、Poly Networkはこの攻撃を仕掛けたハッカーに同社のチーフセキュリティアドバイザー(セキュリティ顧問)にならかいかと持ち掛け、ニュースになっていたのを記憶している方もいるのではないでしょうか。
Poly Network以前ではCoincheckの事件もまだ記憶に新しいかと思います。2018年1月ハッカーはこの日本の仮想通貨取引所に侵入し、580億円相当の仮想通貨を盗み出しています。
注目すべき窃盗事件の最後は、KuCoinで、2020年9月仮想通貨2億8100万ドル(約320億円)がKuCoinの取引所から盗まれました。この攻撃は、こうした取引所を標的としているLazarus Group(ラザルスグループ)と呼ばれる犯罪組織が背後にいると考えられています。この窃盗でハッカーは、ピアツーピア取引とも呼ばれるDEX(分散型取引所)を介して、マネーをロンダリング行っています。DEXや暗号資産を扱うサービスを標的とした攻撃は、増える傾向にあります。
5)テロ資金
近年ではテロリストグループも、仮想通貨を利用して自らの組織に資金調達を行っています。テロ組織は、ウェブサイトやSNS、暗号化されたメッセージングアプリ、ダークウェブなどで資金調達の要請をかけます。ウォレット、ミキサーなどを駆使してマネーロンダリングを行い、資金の足取りが当局にわからないよう細工を行います。
2020年8月、米国法務省は、3つの大きな仮想通貨を使った資金調達キャンペーンを阻止しています。al-Qassam Brigades(ハマスの軍事部隊)、アルカイーダ、およびイスラム国(ISIS)がそれぞれの資金調達キャンペーンの背後にいたとされています。テロ組織の暗号資産の押収では史上最大規模であり、米国当局は仮想通貨200万ドル(約2億3000万円)、仮想通貨のアカウント300件以上、ウェブサイト4件、Facebookアカウント4件を差し押さえています。
法執行機関やセキュリティ機関の対応は?
仮想通貨に関する犯罪者を捕まえることは、匿名性という性質上、非常に困難です。当局は、ブロックチェーンに対する匿名性を高めるために犯罪者が使用する技術がますます高度で洗練されているため、仮想通貨に関する犯罪捜査では、絶えず新しい課題に直面しています。法執行機関やセキュリティ機関が犯罪者やテロリストを白日の下にさらし、仮想通貨に関連した犯罪を阻止するために、高度なブロックチェーン分析ソリューションが必要とされています。
仮想通貨犯罪の調査課題などついて詳しくは、Cognyte社のeBook(英語版のみ)をダウンロードしてください。
脅威インテリジェンスを活用し組織を犯罪から守る
サイバー脅威は常に変化しています。
インテリジェンスの専門家の力を借りて、セキュリティ態勢や監視環境を整え、リスクを軽減するのも1つの手段です。SOMPO CYBER SECURITYはイスラエルのCognyte Software Ltd.(旧Verint Systems Ltd.)と技術提携をして、ダークウェブ上などに出回る膨大な量のデータから調査対象企業に関連した情報のみを精査して、脅威インテリジェンスとして提供しています。
