コインチェックから流出した580億円相当のNEM、匿名暗号通貨「DASH」で資金洗浄される可能性

仮想通貨取引所のコインチェックから580億円相当の仮想通貨「NEM」が流出した問題で、盗まれたNEMが匿名性の高い別の仮想通貨「DASH」に変換され、それにより資金洗浄が行われる可能性が浮上しました。
開発を行うNEM財団はこの問題について声明を発表し、盗まれた資金の流れを自動の追跡システムを開発し「ハッカーは勝てない」と強気の発言も行いました。これによって事態は沈静化すると見られていましたが、今回の疑惑が事実であれば、さらに事態が悪化する恐れがあります。

さらに、犯人が日本語話者である可能性も同時に浮上しました。

—

事件の概要

すでに各所で伝えられているとおりですが、1月26日、日本の大手仮想通貨取引所「コインチェック」において、第三者からの不正アクセスによる攻撃があり、顧客資産を含めた同社が所有する約5億もの仮想通貨「NEM」が盗まれる事件が発生しました。流出した当時のレートで換算すると、約580億円に相当します（現在は250〜300億円相当）。盗難されたNEMは現在も8割以上がハッカーの所有する複数のウォレットに分散して保管されています。

トランザクションの分析

今回コインチェックから盗まれたNEMは、NEMのブロックチェーンに記録されており、それらはインターネット上に公開されているため、誰でも取引の記録を閲覧することができます。今回はその取引履歴から盗まれた資金の流れを分析しました。

さて、私は今回この調査を始めるにあたって、 CoincheckMate というサイトを立ち上げ、ここで犯人のアドレスに関する取引記録を収集し、分析しやすいようにデータを整理しました。

犯人は、コインチェックのNEMウォレット（財布）から資金を盗む際、それらすべてを一つのNEMアドレスに送金しています。そのアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」です。

さらにこのアドレスから、犯人のものと思われる別の10以上ものアドレスに資金が分散して送金されています。

NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGから別のアドレスへの送金記録

発生時間	XEM送金額	送金先のウォレットアドレス
1/26 2:57	30,000,000	NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ
1/26 2:58	50,000,000	NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW
1/26 3:00	50,000,000	NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ
1/26 3:02	750,000	NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4
1/26 3:14	100,000,000	NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW
1/26 3:18	100,000,000	NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524
1/26 3:28	100,000,000	NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI
1/26 3:29	92,250,000	NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5
1/26 23:42	300,000	NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ
合計	523,300,000

引用: http://d.hatena.ne.jp/Kango/20180126/1517012654

そのアドレス、また上記の関連するアドレスに関する取引記録を監視している中で私が気になった取引記録が、あるメッセージを含んだ2月2日の犯人のアドレスへの送金記録でした。

こんにちは。すみませんお詫びがあります。。匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。少し時間がかかるかもしれません。。ただ洗浄のルートは確立できましたので、次回からはスムーズに行えるかと思います。取り急ぎ、DASHの送金確認をするために、こちらのアドレス(Xr6maJSptxgD6NRBRqnv4YwsqoJvhLc7iB)へ、0.01DASHをお送りしました。着金が出来ているかのご確認をお願いします。txid:e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df

これは、アドレス「NDUO6J6H253GULLVXJU66CIEYQYBOWU5DOYUZMZF」から犯人への送金とその取引に記録されたメッセージです。一見すると、NEMのメッセージ機能を用いて資金洗浄に関するやりとりを行っているかのように見えます。内容も、かなり本格的に感じられます。実際に、メッセージ内で書かれているDASHのトランザクションIDの取引記録や、アドレスも存在していました。

しかし、このような通常秘匿すべき内容のやりとりをブロックチェーンという公共の場で、ましてや内容の暗号化も行わずにするかどうか私は疑問に思い、これは捜査かく乱などを目的としたいたずらか何かではないかと考えました。

ところが、このアドレスから送金された取引を少しさかのぼってみると、1日前の2月1日に行われた興味深い取引記録を見つけました。

XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5

この取引記録は、犯人のアドレスから「NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT」という別のアドレスに1000 XEM（約5万円）が送金されたものです。この「XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5」という文字列について、数日前にこれを観測した時点では暗号化された文章かと思っていましたが、よく見るとこれは暗号文ではなく、匿名性の高い仮想通貨「DASH」のアドレスであることがわかりました。

さらに前後関係を詳しく見ていきます。アドレス NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT に1000 XEMが送金される前、このアドレスから犯人のアドレスにメッセージが送られていました。

このメッセージは暗号化されているため、内容を読むことはできませんが、explorer.ournem.comのブロックチェーンエクスプローラー（リンク参照）でこれを見ると、かなりの長文であることがわかります。

DASHについて

ここで、少し遅くなりましたが先ほどから名前が出ているDASHについて説明します。「DASH」は、匿名送金(PrivateSend)と即時送金(InstantX)の機能が大きな特長のアルトコイン（ビットコインから派生したコイン）です。「Monero」「Zcash」とならんで、有名な匿名性の高い仮想通貨です。時価総額は12位（CoinMarketCapより。執筆時点）で、日本で扱っている取引所は、ちょうどCoincheckです。

今回の事件ではDASHがもつ匿名性を利用しようとしたのだと思われますが、DASH自体には非がないことは書いておきます。

まとめ

これまでに挙げた点を踏まえた上で、今回の事件を考察してみたいと思います。

今回、コインチェックから580億円相当のNEMを盗んだ犯人は、みずなしりん氏やNEM財団の素早い対応によってか、いまだに盗んだ資金の大半を移動させずにいます。

そんな中、2月1日の19時に、犯人のNEMアドレスにメッセージを送る人物が現れました。内容は憶測ですが、おそらく資金洗浄の代行を持ちかけるものでしょう。数時間後、DASHのアドレスが犯人側からその人物に送られます。さらに2分後、犯人側から暗号化されたメッセージが送信されていますが、おそらく暗号化せずにメッセージを送ったため、DASHのアドレスを差し替えたのでしょう。そのせいか、前者のアドレスには入金がありません。

DASHアドレス: XqxzCwb5vmAEWBWFZWKnegQhBGtzgjy1V5

2月2日19時、別のアドレスから犯人に、資金洗浄の経過報告と思われるメッセージが届きます。アドレスは別ですが、内容や時間的にみて同じ人物と考えられます。

「匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。」という点については、実際に犯人から1000 XEMの資金を受け取った後で、ニュージーランドの仮想通貨取引所Cryptopiaへの送金でメッセージを暗号化して送金しているトランザクションが見つかりました。

トランザクションID: a928efcfd3a51d845bd2ca427f123392244dcb1cf2772da360a0ba8

NEMのトランザクションでやりとりをするという点については、もちろん、NEM以外の連絡手段を用いて連絡が行われている可能性も考えられますが、しばらくの間やりとりが続いているあたり、おそらくこの犯人とはその中でしかやりとりすることはできません。

そして、数日ほど大きな動きはありませんでしたが、この記事の執筆中、計55000 XEM（約275万円分）もの送金が犯人の本アドレスから行われました。

• 02-06 22:20:50 +5000 XEM (25万円) 086abd94916e6ae0eb4baab71897af864994c4c7ded8b5102edceaede373147f
• 02-06 22:38:15 +50000 XEM (250万円) 4615a038f66e85869fa014e6362f1f8f6ab4d3df3f2391c0434715eef153dae0

これが何を意味するか、おそらく、資金洗浄のルートが既に確立したので、少額づつ換金することを決断したのかもしれません。

—

NEM財団は即座に打開策を発表し、事態の沈静化を試みました。これはとてもスピーディーな判断ではありましたが、結果として選んだ方法は各事業者への特定のモザイクが付着したアドレスからの入金を拒否するようにお願いするというものでした。
モザイクで識別するというこの措置について、確かに一定の効果は見込めますが、入金の拒否に対応していない業者の利用や、また、資金が移動してからモザイクが付着するまでのタイムラグを狙った入金はできる状態にあり、上記の6日22時の資金移動に関しても、10時間経過した現在も新しいアドレスにモザイクは付着していません。
資金洗浄を行っているとみられる人物らの一連の発言が事実であれば、時間の経過とともに盗まれた5億NEMは少しづつ引き出され、そうなれば、巨額の資金が犯人の手に渡ることになることはもちろん、NEMの価値も下がる恐れがあります。

犯人が北朝鮮が関与しているという報道も一部では出てきています。これに関しては私はその手の専門家ではないため断言することはできませんが、個人的には今回の件に関しては関連は薄いと見ています。主な理由のひとつに、先程挙げたように日本語をコミュニケーションに用いているところがあります。犯人からの直接の日本語の文章は目にしていませんが、取引を持ちかけている人物が何度も日本語を話している点も考えると、犯人も日本語話者である可能性は高いといえます。

また、この資金洗浄が詐欺であり、取引を持ちかけた人物が盗まれたNEMを犯人から奪おうとしている、あるいはこの人物が関係者で、NEMを取り返そうとしている可能性も考えられます。

新しい情報が入り次第、記事を更新します。

—

追記1（11時27分）
新たな動きがありました。7日0時12分から1時38分にかけて、不特定多数のNEMアドレスに0.1 XEMずつ送金されています。このメッセージには、ダークウェブのサイトのURLが記載されており、サイト上ではコインチェックから盗んだものと見られるNEMをレートの15%引きでBitcoinまたはLitecoinと交換すると主張しています。

NEMの送金元のアドレス：
• NA6OMO3K2NXTVXUWH7UIM4KRXSVHNKA4DEYCSV4H
• NCVPRFXRIDDF7PXKBF6CKKI76H3M5H5TSXT5K575
• NCMWFB2PF7FW5I27YVIIXB676S6XR4JG3IYY6YGH
• NCQ7XXA6QXZJXOPYRD2UXPTNV3MHR527JUQHXGHE
• NAKHTVQ3ZFFXJVLRL6ZUKQ7SKZCP2TD5RQVMX4HZ
• NA7O2PTEP5XHJ5DNDTLJB232L33QCDTVECRL2QZO
• NAJOBVTX5OHU6O64AWA62R65J6VBOXNGYJPA74QX
• NAZZKT62TPIMS5NPZLFNZSMZX65V3OYVBZJM3YNS
• NCIM74WZN2DO4DGJMOCAPCHIIWXODLFKRE36SZX5
• ND5EAK6USPLJLJNJGLF74SEDJDYXWJ4OGOKT7H2A
• NB3VV45GCK5SMINKYZIN7LFUYPOCY7BDO3GLX4YT
• NC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2
• NDAC2G5W5E6BK55WWXSWMNTWFU6KY6OHQEQ6JY2A
• NBEAUKXJLBJXXTPXN2OPIX3LZQWWZA56IQO2P5S3

追記2（3/23）
3月20日ごろから犯人がダークウェブ上に開設した取引所でのNEMの購入量が急激に増加し、日によっては1日で約1億NEMも購入されることもありました。21日には犯人が当初分散させたアドレスから最後のホットウォレットのアドレスへの入金が確認され、これにより、盗難されたNEMの完売も間近とみられていました。

コインチェックから盗難されたNEMですが、21日1時に犯人が14個目の最後のホットウォレットに残りの所持金全額を送金したようで、犯人の交換所で残りの約8200万XEMが売り切れ次第これで終了となります。
ちなみに昨日20日は約1億XEM購入されたので、このペースでは今日の夕方には売り切れるでしょう。

— Cheena (ちーな) ?️‍ (@CheenaBlog) 2018年3月20日

そして22日18時、サイト上で残りのXEMの保有量の表示は0となり、交換は停止されました。しばらくして、サイトには黒の背景に北朝鮮の金正恩委員長が紙幣を手にした写真とともに「Thank you!!!」というメッセージが表示され、どのページを参照してもこの画面が表示されるようになりました。

この金正恩委員長の画像については、イギリスのタブロイド紙「Daily Star」が昨年7月に掲載した同様の画像とハッシュ値が一致しています。Googleで「kim jong un money」と検索するとこのページが一番上にヒットするため、犯人もそのようにして画像を入手したものと考えられます。

North Korea starves while Kim Jong-un lives millionaire playboy life | Daily Star
https://www.dailystar.co.uk/news/world-news/624836/North-Korea-Kim-Jong-un-playboy-millionaire-lifestyle-Otto-Warmbier-WW3

一連の犯行について、北朝鮮によるものではないかという見方もありましたが、この画像はそれを皮肉ったものなのでしょうか。最後まで謎の多かった今回の事件でした。