仮想通貨取引所のコインチェックから580億円相当の仮想通貨「NEM」が流出した問題で、盗まれたNEMが匿名性の高い別の仮想通貨「DASH」に変換され、それにより資金洗浄が行われる可能性が浮上しました。
開発を行うNEM財団はこの問題について声明を発表し、盗まれた資金の流れを自動の追跡システムを開発し「ハッカーは勝てない」と強気の発言も行いました。これによって事態は沈静化すると見られていましたが、今回の疑惑が事実であれば、さらに事態が悪化する恐れがあります。
さらに、犯人が日本語話者である可能性も同時に浮上しました。
—
事件の概要
すでに各所で伝えられているとおりですが、1月26日、日本の大手仮想通貨取引所「コインチェック」において、第三者からの不正アクセスによる攻撃があり、顧客資産を含めた同社が所有する約5億もの仮想通貨「NEM」が盗まれる事件が発生しました。流出した当時のレートで換算すると、約580億円に相当します(現在は250〜300億円相当)。盗難されたNEMは現在も8割以上がハッカーの所有する複数のウォレットに分散して保管されています。
トランザクションの分析
今回コインチェックから盗まれたNEMは、NEMのブロックチェーンに記録されており、それらはインターネット上に公開されているため、誰でも取引の記録を閲覧することができます。今回はその取引履歴から盗まれた資金の流れを分析しました。
さて、私は今回この調査を始めるにあたって、 CoincheckMate というサイトを立ち上げ、ここで犯人のアドレスに関する取引記録を収集し、分析しやすいようにデータを整理しました。
犯人は、コインチェックのNEMウォレット(財布)から資金を盗む際、それらすべてを一つのNEMアドレスに送金しています。そのアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」です。
さらにこのアドレスから、犯人のものと思われる別の10以上ものアドレスに資金が分散して送金されています。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGから別のアドレスへの送金記録
発生時間 XEM送金額 送金先のウォレットアドレス 1/26 2:57 30,000,000 NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ 1/26 2:58 50,000,000 NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW 1/26 3:00 50,000,000 NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ 1/26 3:02 750,000 NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4 1/26 3:14 100,000,000 NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW 1/26 3:18 100,000,000 NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524 1/26 3:28 100,000,000 NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI 1/26 3:29 92,250,000 NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5 1/26 23:42 300,000 NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ 合計 523,300,000
そのアドレス、また上記の関連するアドレスに関する取引記録を監視している中で私が気になった取引記録が、あるメッセージを含んだ2月2日の犯人のアドレスへの送金記録でした。

ID: dd50841ba593359383475b056ffa0c6547799a8b21bc4e0d869caec5697332ad
こんにちは。すみませんお詫びがあります。。匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。少し時間がかかるかもしれません。。ただ洗浄のルートは確立できましたので、次回からはスムーズに行えるかと思います。取り急ぎ、DASHの送金確認をするために、こちらのアドレス(Xr6maJSptxgD6NRBRqnv4YwsqoJvhLc7iB)へ、0.01DASHをお送りしました。着金が出来ているかのご確認をお願いします。txid:e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df
これは、アドレス「NDUO6J6H253GULLVXJU66CIEYQYBOWU5DOYUZMZF」から犯人への送金とその取引に記録されたメッセージです。一見すると、NEMのメッセージ機能を用いて資金洗浄に関するやりとりを行っているかのように見えます。内容も、かなり本格的に感じられます。実際に、メッセージ内で書かれているDASHのトランザクションIDの取引記録や、アドレスも存在していました。

DASHの取引記録
ID: e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df
しかし、このような通常秘匿すべき内容のやりとりをブロックチェーンという公共の場で、ましてや内容の暗号化も行わずにするかどうか私は疑問に思い、これは捜査かく乱などを目的としたいたずらか何かではないかと考えました。
ところが、このアドレスから送金された取引を少しさかのぼってみると、1日前の2月1日に行われた興味深い取引記録を見つけました。

ID: 684b5928b45c1b72a2f3d169c64266f3063e07bd2641bd03969b58e0f34d24e8
XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5
この取引記録は、犯人のアドレスから「NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT」という別のアドレスに1000 XEM(約5万円)が送金されたものです。この「XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5」という文字列について、数日前にこれを観測した時点では暗号化された文章かと思っていましたが、よく見るとこれは暗号文ではなく、匿名性の高い仮想通貨「DASH」のアドレスであることがわかりました。
さらに前後関係を詳しく見ていきます。アドレス NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT に1000 XEMが送金される前、このアドレスから犯人のアドレスにメッセージが送られていました。

ID: 7b0939ac43884657c44bcf49a2e6f54c42442a1f830f3fad64ed2f54fba6bd31
このメッセージは暗号化されているため、内容を読むことはできませんが、explorer.ournem.comのブロックチェーンエクスプローラー(リンク参照)でこれを見ると、かなりの長文であることがわかります。
DASHについて
ここで、少し遅くなりましたが先ほどから名前が出ているDASHについて説明します。「DASH」は、匿名送金(PrivateSend)と即時送金(InstantX)の機能が大きな特長のアルトコイン(ビットコインから派生したコイン)です。「Monero」「Zcash」とならんで、有名な匿名性の高い仮想通貨です。時価総額は12位(CoinMarketCapより。執筆時点)で、日本で扱っている取引所は、ちょうどCoincheckです。
今回の事件ではDASHがもつ匿名性を利用しようとしたのだと思われますが、DASH自体には非がないことは書いておきます。
まとめ
これまでに挙げた点を踏まえた上で、今回の事件を考察してみたいと思います。
今回、コインチェックから580億円相当のNEMを盗んだ犯人は、みずなしりん氏やNEM財団の素早い対応によってか、いまだに盗んだ資金の大半を移動させずにいます。
そんな中、2月1日の19時に、犯人のNEMアドレスにメッセージを送る人物が現れました。内容は憶測ですが、おそらく資金洗浄の代行を持ちかけるものでしょう。数時間後、DASHのアドレスが犯人側からその人物に送られます。さらに2分後、犯人側から暗号化されたメッセージが送信されていますが、おそらく暗号化せずにメッセージを送ったため、DASHのアドレスを差し替えたのでしょう。そのせいか、前者のアドレスには入金がありません。
DASHアドレス: XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5
2月2日19時、別のアドレスから犯人に、資金洗浄の経過報告と思われるメッセージが届きます。アドレスは別ですが、内容や時間的にみて同じ人物と考えられます。
「匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。」という点については、実際に犯人から1000 XEMの資金を受け取った後で、ニュージーランドの仮想通貨取引所Cryptopiaへの送金でメッセージを暗号化して送金しているトランザクションが見つかりました。
トランザクションID: a928efcfd3a51d845bd2ca427f123392244dcb1cf2772da360a0ba8
NEMのトランザクションでやりとりをするという点については、もちろん、NEM以外の連絡手段を用いて連絡が行われている可能性も考えられますが、しばらくの間やりとりが続いているあたり、おそらくこの犯人とはその中でしかやりとりすることはできません。
そして、数日ほど大きな動きはありませんでしたが、この記事の執筆中、計55000 XEM(約275万円分)もの送金が犯人の本アドレスから行われました。
- 02-06 22:20:50 +5000 XEM (25万円) 086abd94916e6ae0eb4baab71897af864994c4c7ded8b5102edceaede373147f
- 02-06 22:38:15 +50000 XEM (250万円) 4615a038f66e85869fa014e6362f1f8f6ab4d3df3f2391c0434715eef153dae0
これが何を意味するか、おそらく、資金洗浄のルートが既に確立したので、少額づつ換金することを決断したのかもしれません。
—
NEM財団は即座に打開策を発表し、事態の沈静化を試みました。これはとてもスピーディーな判断ではありましたが、結果として選んだ方法は各事業者への特定のモザイクが付着したアドレスからの入金を拒否するようにお願いするというものでした。
モザイクで識別するというこの措置について、確かに一定の効果は見込めますが、入金の拒否に対応していない業者の利用や、また、資金が移動してからモザイクが付着するまでのタイムラグを狙った入金はできる状態にあり、上記の6日22時の資金移動に関しても、10時間経過した現在も新しいアドレスにモザイクは付着していません。
資金洗浄を行っているとみられる人物らの一連の発言が事実であれば、時間の経過とともに盗まれた5億NEMは少しづつ引き出され、そうなれば、巨額の資金が犯人の手に渡ることになることはもちろん、NEMの価値も下がる恐れがあります。
犯人が北朝鮮が関与しているという報道も一部では出てきています。これに関しては私はその手の専門家ではないため断言することはできませんが、個人的には今回の件に関しては関連は薄いと見ています。主な理由のひとつに、先程挙げたように日本語をコミュニケーションに用いているところがあります。犯人からの直接の日本語の文章は目にしていませんが、取引を持ちかけている人物が何度も日本語を話している点も考えると、犯人も日本語話者である可能性は高いといえます。
また、この資金洗浄が詐欺であり、取引を持ちかけた人物が盗まれたNEMを犯人から奪おうとしている、あるいはこの人物が関係者で、NEMを取り返そうとしている可能性も考えられます。
新しい情報が入り次第、記事を更新します。
—
追記1(11時27分)
新たな動きがありました。7日0時12分から1時38分にかけて、不特定多数のNEMアドレスに0.1 XEMずつ送金されています。このメッセージには、ダークウェブのサイトのURLが記載されており、サイト上ではコインチェックから盗んだものと見られるNEMをレートの15%引きでBitcoinまたはLitecoinと交換すると主張しています。

-
NEMの送金元のアドレス:
- NA6OMO3K2NXTVXUWH7UIM4KRXSVHNKA4DEYCSV4H
- NCVPRFXRIDDF7PXKBF6CKKI76H3M5H5TSXT5K575
- NCMWFB2PF7FW5I27YVIIXB676S6XR4JG3IYY6YGH
- NCQ7XXA6QXZJXOPYRD2UXPTNV3MHR527JUQHXGHE
- NAKHTVQ3ZFFXJVLRL6ZUKQ7SKZCP2TD5RQVMX4HZ
- NA7O2PTEP5XHJ5DNDTLJB232L33QCDTVECRL2QZO
- NAJOBVTX5OHU6O64AWA62R65J6VBOXNGYJPA74QX
- NAZZKT62TPIMS5NPZLFNZSMZX65V3OYVBZJM3YNS
- NCIM74WZN2DO4DGJMOCAPCHIIWXODLFKRE36SZX5
- ND5EAK6USPLJLJNJGLF74SEDJDYXWJ4OGOKT7H2A
- NB3VV45GCK5SMINKYZIN7LFUYPOCY7BDO3GLX4YT
- NC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2
- NDAC2G5W5E6BK55WWXSWMNTWFU6KY6OHQEQ6JY2A
- NBEAUKXJLBJXXTPXN2OPIX3LZQWWZA56IQO2P5S3
追記2(3/23)
3月20日ごろから犯人がダークウェブ上に開設した取引所でのNEMの購入量が急激に増加し、日によっては1日で約1億NEMも購入されることもありました。21日には犯人が当初分散させたアドレスから最後のホットウォレットのアドレスへの入金が確認され、これにより、盗難されたNEMの完売も間近とみられていました。
コインチェックから盗難されたNEMですが、21日1時に犯人が14個目の最後のホットウォレットに残りの所持金全額を送金したようで、犯人の交換所で残りの約8200万XEMが売り切れ次第これで終了となります。
ちなみに昨日20日は約1億XEM購入されたので、このペースでは今日の夕方には売り切れるでしょう。— Cheena (ちーな) ?️ (@CheenaBlog) 2018年3月20日
そして22日18時、サイト上で残りのXEMの保有量の表示は0となり、交換は停止されました。しばらくして、サイトには黒の背景に北朝鮮の金正恩委員長が紙幣を手にした写真とともに「Thank you!!!」というメッセージが表示され、どのページを参照してもこの画面が表示されるようになりました。

この金正恩委員長の画像については、イギリスのタブロイド紙「Daily Star」が昨年7月に掲載した同様の画像とハッシュ値が一致しています。Googleで「kim jong un money」と検索するとこのページが一番上にヒットするため、犯人もそのようにして画像を入手したものと考えられます。
North Korea starves while Kim Jong-un lives millionaire playboy life | Daily Star
https://www.dailystar.co.uk/news/world-news/624836/North-Korea-Kim-Jong-un-playboy-millionaire-lifestyle-Otto-Warmbier-WW3

一連の犯行について、北朝鮮によるものではないかという見方もありましたが、この画像はそれを皮肉ったものなのでしょうか。最後まで謎の多かった今回の事件でした。
過去のネットワーク上での様々な北朝鮮犯行説は前も後も証拠なり根拠なりが見当たらないんですよね。
なんだか困った時の呪文のような具合で、国家機密の事件はさておいても、今回の件も根拠が明らかでないところを見ると、逆に迷宮入りを示唆しているようにも見えます。
まー北系で日本語話者は十分いるだろうから、扱う言語で判断するのは時期尚早な気もしますが、テレビに出てくる自称専門家の先生方のロクな証拠なしの北犯行説を見るにつけ、国家規模の陰謀説もあったりします(笑)つまり、仮想通貨業界潰しですね。
北朝鮮関連であれば日本語の使用は全く問題にならないと思います。
ただ犯人が誰であるかは今回の問題の核心では無いと思います。
脆弱性だらけのシステムの隙を一番最初に見つけたのが今回の犯人であるというだけの話で、早晩他者により同様の事態となっていたのは明白でしょう。
もう一回読み直しましょう。
システムがとどこに記載がありますか?
犯人が誰かは大問題ですよ。CCの資産逃しの可能性もなくなってないんで。
先に指摘が上がってるけど、北朝鮮(の犯罪で生計を立てられる人間)は韓国語と日本語とロシア語がほぼネイティブ並みなので、まぁありえる話だと思ってる
ただNEMが悪いかのような書き方は頂けない
金庫が糞ってだけで貨幣がクソってわけじゃない
NEMはSCAMってそれ一番言われてるから
協力者が出るまで動けなかったと言うことは「取れたからとった、衝動的な犯行」であった可能性が大きい気がする。
何らかの理由で犯行に駆り立てる情報を掴んで突発的にやっちゃった、もしかしてホントにコインチェックに近いやつの仕業じゃないのかな。
妄想だけど。
CCへ内容証明郵便を送った方がいいでしょうか?
北朝鮮関連ってのは別に半島人である必要もない
いわゆる「土台人」の在日は勿論、日本人にだっていくらでも協力者はいます
そういう意味での日本人が犯人の可能性は多いにあるでしょうね
もし犯人が北朝鮮なら…その先にあるもの…恐ろしい。まずはダークサイドに渡る前に、コインチェック、エンジニアの皆様、ホワイトハッカーの皆様、財団の皆様、お力添えお願いします。お金が返る返らないより、これによってなにか悪いことにならないことをせつに願います。
どうでもいいわ。
犯人が日本人ならひろゆきのブログとここチェックしてそう
北朝鮮の仕業なら日本人や韓国人も仮想通貨が悪だ悪いことだとピンときやすいだろうという感じはあるね
こういう報道自体に誘導する力が働いてるのかもね
なんだかだんだん世界がSFになってきたなあ
こういう事件にはOSINTとソーシャルエンジニアリングだな
砂漠の砂を見つける様な作業だけれど、理論的に特定は出来る気がする。
例えダークウェブであろうと、多少の遅延があろうとIPを秘匿しようが
匿名通貨が移動されられているタイミングと、
全世界でその時間に近いタイミングでアクセスしたプロバイダーのログをかき集められれば、
例え入り口から出口まで秘匿しようが追跡が出来るのでは?
例えば、各国、各拠点になるIXP間の通信歴から取引を行った時のタイミングはかなり絞られ、アクセスした時間を辿って行けば
元のアクセスポイントを付きとめられると。
NSAでもないと厳しいのでは・・・