TRM Labsによると、2022年に大手パスワード管理プロバイダーで発生した大規模なデータ侵害により、ハッカーが被害者のデジタルウォレットから暗号資産で数百万ドルを吸い上げることが可能になったという。
ブロックチェーン分析企業は、LastPass侵害後の数か月から数年にわたり複数の暗号資産窃取の波を追跡し、その犯行をロシアのサイバー犯罪者によるものだと結論づけたと述べた。
この事件では約3000万件の顧客パスワード保管庫のバックアップが露出し、TRM Labsが「ロングテールリスク」と表現した状況が2500万人超のユーザーに生じた。
「弱いマスターパスワードで保護された保管庫は、いずれオフラインで復号され得る。これにより、2022年の単発の侵入が、攻撃者が静かにパスワードを解読し、時間をかけて資産を吸い上げるための複数年にわたる機会へと変わってしまう」と同社は警告した。
LastPass侵害の詳細はこちら:LastPassのハッカーがソースコードを盗難
TRMは、これは盗難総額の「ほんの一部」に過ぎない可能性が高いと認めつつも、2024年から2025年初頭にかけて盗まれた2800万ドル、さらに2025年9月に奪われた700万ドルを追跡したと主張した。
いずれのフェーズも、ロシアの暗号資産取引所および関連インフラへと収束していた。
「初期の悪用に続く早期のフェーズでは、盗難資金は現在は閉鎖されたCryptomixer.ioを経由して送金され、最終的に2024年にOFACの制裁対象となったロシア拠点の取引所Cryptexを通じて現金化(オフランプ)された」とTRMは説明した。
「2025年9月に特定されたその後の波では、TRMのアナリストがWasabi Walletを通じて追加で約700万ドルの盗難資金を追跡し、最終的な出金はサイバー犯罪活動に関連する別のロシア取引所Audi6へと流れていた」
同社によれば、資金は2025年10月の時点でも法定通貨に換金され、取引所を通じて引き出されていたという。
犯行主体は匿名化サービスCoinJoinを用いて資金の追跡を困難にしていたが、TRMはデミキシングにより手掛かりを得ることができた。
「独自のデミキシング手法を用いて、アナリストはハッカーの入金を特定の出金クラスターに突き合わせた。その合計額とタイミングは流入と密接に一致しており、統計的に偶然の一致である可能性は低い」と同社は述べた。
「ミキシング前に観測されたブロックチェーン上の指紋と、ミキシング後のウォレットに関連するインテリジェンスを組み合わせることで、運用上の支配がロシア拠点であることを一貫して示していた。」
教訓
デジタルウォレットの利用者にとって、この事件は多要素認証(MFA)の必要性と、パスワード漏えいの可能性が生じた際に迅速に対応する重要性を改めて思い起こさせるものだ。
過去3年間にわたる「じわじわとしたウォレットの吸い上げ」は、LastPassユーザーがマスターパスワードを変更しなかったため、パスワード保管庫が総当たりで破られたことにより可能になった。
この事件はまた、ロシアのサイバー犯罪者がもたらす持続的な脅威を浮き彫りにしている。
2025年12月、LastPassは罰金を科された 。英国の情報コミッショナー・オフィス(ICO)は、推定160万人の英国ユーザーに影響した侵害につながったセキュリティ上の不備を理由に、同社に120万ポンド(160万ドル)の罰金を科した。
当時、規制当局は、マスターパスワードが顧客デバイス上にローカル保存されていたため、脅威アクターが顧客の認証情報を復号する可能性は限定的だと述べていた。
画像クレジット: Maor_Winetrob / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/experts-trace-35m-stolen-crypto/
