出典: RobertAx via Alamy Stock Photo
多くの人が暗号資産は追跡不可能だと考えていますが、一般的にはそれは事実とは大きく異なります。
たとえばサイバー犯罪者がランサムウェア攻撃などで暗号資産を手に入れた場合、重要なステップの一つがミキシング、つまり資金洗浄です。すべての暗号資産が違法目的でミキシングされるわけではありませんが、追跡を困難にするために暗号資産を交換するダークネット産業が成立するほど頻繁に行われています。
今後、ミキシングを可能にするサービスが一つ減るかもしれません。ドイツとスイスの法執行機関が週末に「Cryptomixer」という、サイバー犯罪による資金洗浄に使われていたと疑われる暗号資産ミキシングサービスを摘発する作戦を実施しました。
ユーロポールは12月1日に摘発を発表し、プレスリリースで、11月24日から28日にかけてCryptomixerを標的とした法執行活動でドイツとスイスの警察を支援したと述べました。ユーロポールは、2023年にはさらに大規模なミキサー「Chipmixer」の摘発も支援したと付け加えています。
警察は3台のサーバー、cryptomixer.ioのドメイン、12TB以上のデータ、そして2,500万ユーロ以上のビットコインを押収しました。その後、サイトに押収バナーを掲示しました。
この警察の行動は、近年サイバー犯罪者を抑制するための最新の取り組みの一つであり、LockBitやCl0pといったグループを標的とした国際的な大規模作戦に続くものです。そして、サイバー脅威アクターになるための参入障壁がかつてないほど低くなっていることを考えると、タイミングも適切でした。
Cryptomixerにコンクリートを流し込む
ユーロポールによれば、Cryptomixerは「ランサムウェアグループ、アンダーグラウンド経済フォーラム、ダークウェブ市場の犯罪資金の隠蔽を容易にした」とされています。これは独自ソフトウェアを使い、ブロックチェーン上で暗号資産の追跡を困難にすることを目的としていました。犯罪者はこのサービスを利用して、麻薬取引、武器取引、ランサムウェア攻撃、決済カード詐欺などから得た利益を洗浄していたとされています。
また、同機関は2016年以降、13億ユーロ(15億ドル)以上がCryptomixerでミキシングされたと主張しています。
「さまざまなユーザーから預けられた資金は、長期間かつランダムな期間プールされ、その後再びランダムなタイミングで送金先アドレスに再分配されました」とプレスリリースは述べています。「多くのデジタル通貨はすべての取引の公開台帳を提供していますが、ミキシングサービスは特定のコインの追跡を困難にし、暗号資産の出所を隠します。これにより『クリーン』な暗号資産は、他の暗号資産や現金自動預け払い機や銀行口座を通じて法定通貨に交換できるようになります。」
国際機関としてユーロポールは、スイスとドイツの法執行機関の調整や情報交換を支援しました。また、ドイツ警察のプレスリリースによれば、11月26日の摘発当日には「現場支援およびフォレンジック支援」も行ったとしています。
Cryptomixer摘発が防御側に意味するもの
言うまでもなく、主要な暗号資産洗浄サービスが消滅しても、ランサムウェアの動きは止まっていません。
TRM Labsのグローバル政策責任者Ari Redbord氏はDark Readingに対し、サイバー犯罪者の行動は続いているものの、このような摘発の取り組みは「間違いなく重要だ」と語っています。
「これらの行動は、ランサムウェアグループや詐欺ネットワークに実際の摩擦を生み出します。資金が凍結され、慣れ親しんだ洗浄ルートが一夜にして消え、関係者は動きを遅らせたり手法を変えざるを得なくなります」と彼は言います。「モグラ叩きのように感じるかもしれませんが、その叩きには意味があります。コスト、リスク、不確実性が増すのです。」
Redbord氏は、ランサムウェア攻撃の件数は依然として過去最高水準にあるものの、摘発によってエコシステムが不安定化し、主要グループの分裂や寿命の短縮につながっていると付け加えます。つまり、企業へのリスクがなくなったわけではなく、防御側は依然としてランサムウェア対策(エンドポイントの保護、フィッシング耐性のある技術の利用、ソーシャルエンジニアリング手法の学習など)を徹底する必要がありますが、続く攻防は決して無意味ではありません。
