2022年に発生したLastPassの侵害は、数年を経た今も不正な利益を生み続けている。TRM Labsによる最近のオンチェーン分析は、背後にある犯罪インフラに関する新たな詳細を明らかにした。攻撃当時、敵対者は約3,000万人のユーザーの「保管庫(vault)」のバックアップコピーにアクセスした。保管庫とは暗号化されたコンテナで、暗号資産ウォレットの秘密鍵やシードフレーズを含む極めて機微な情報が保存されている。
これらの保管庫はマスターパスワードなしでは直接「読み取る」ことはできないものの、攻撃者はファイルを大規模に持ち出し、単発の侵害を長期化したキャンペーンへと変えた。その後、弱いマスターパスワードはオフラインで数か月、場合によっては数年かけて解読され得るため、当初の事件から長い時間が経っても、個人データがひそかに解錠され、資産が流出し続ける。
TRMの報告によれば、2024年を通じて新たなウォレット流出の波が観測され、2025年にも継続しており、その影響は当初の理解よりはるかに広範であることが示された。アナリストは最近の窃取クラスターを調査し、盗まれた資金をミキサー経由で追跡した結果、サイバー犯罪者が法定通貨への換金(オフランプ)に頻繁に利用する2つの高リスク取引所に行き着いた。TRMは、そのうちの1つの取引所が10月時点でもLastPassに関連する資金を受け取っていたと指摘している。
報告書は、これらの発見が推測ではなく、相互に補強し合う指標の収束に基づくものであることを強調している。第一に、盗まれた資産は、歴史的に不正活動と結び付けられてきた著名なオフランプを繰り返し通過していた。第二に、ミキサーの前後でミキサーと相互作用したウォレットデータが、支配の連続性を示しており、「汚染された」コインを後から入手した無関係のユーザーではなく、単一の協調したグループを示唆している。それでもTRMは、当初の侵害を特定の主体に断定的に帰属させることは依然として困難だと注意を促している。
調査で重要な役割を果たしたのが「デミキシング」だ。これはCoinJoin活動をクラスター単位で分析し、一貫した非ランダムなパターンに従う場合に、ミキサーの入力と出力を再び結び付けられる手法である。TRMは特徴的なシグネチャを特定した。盗まれたビットコイン鍵が同一のウォレットソフトにインポートされ、SegWitの利用やReplace-by-Feeといった共通の技術的特徴が生じていた。アルトコインは即時スワップサービスで迅速にビットコインへ変換され、使い捨てアドレスを経由してルーティングされた後、Wasabi Walletへ送られていた。TRMは、2024年末から2025年初頭だけでも、2,800万ドル超が盗まれ、BTCに変換され、この方法でWasabiを通じて洗浄されたと推定している。
アナリストは各窃取を個別の事案として扱うのではなく、一連の活動を協調したキャンペーンとして解釈した。彼らは時間を通じてWasabiへの入金と出金をグルーピングし、量とタイミングを照合したが、これは偶然では統計的に起こりにくい一致だと主張している。Wasabiからの初期の出金が最初の流出から数日後に発生していることから、CoinJoinはコインの後続保有者ではなく、元の攻撃者自身によって実行されたことを示唆している。
TRMはまた、換金プロセスにおける2段階のパターンを強調している。初期段階では、最初の悪用の後、資金は現在は閉鎖されたCryptomixer.ioを経由し、サイバー犯罪者の法定通貨への出口と長く関連付けられてきた高リスク取引所Cryptexを通じて換金された。TRMが2025年9月に結び付ける第2波では、アナリストは約700万ドルがWasabiを通過した後、Audi6取引所に着地したことを追跡した。合計でTRMは3,500万ドル超を追跡したと主張する一方、この数字は全体の損失の一部にすぎない可能性が高いと強調している。
アナリストは、攻撃者が同じインフラと馴染みのある地理的オフランプに何年も依存し続ける場合、ミキサーだけでは痕跡の消失を保証しないと結論付けている。LastPassの一件には、さらに痛ましい後日談がある。多くのユーザーがマスターパスワードを強化したり、保管庫のセキュリティを再構築したりしなかったのだ。その結果、攻撃者は弱いパスワードを体系的に解読し、資産を吸い上げ続けるための長い猶予期間を保持している――元の侵害から3年が経った今でさえ。
