TRM Labsのブロックチェーン調査担当者は、LastPassパスワードマネージャーのユーザーから盗まれた3,500万ドル相当の暗号資産が、ロシアのサイバー犯罪者インフラに結び付くことを突き止めた。
この分析は、攻撃者が盗んだデジタル資産をミキシングサービスを通じて換金し、最終的に高リスクのロシア系取引所へ資金を流し込んだ手口を明らかにしている。これは、この10年で最も重大な認証情報漏えいの一つにおけるマネタイズの流れを、オンチェーンで可視化する貴重な手掛かりとなる。
2022年のLastPassへの侵入により、約3,000万人のユーザーに属する暗号化されたボルトが露出した。ボルトの解錠にはマスターパスワードが必要だったものの、攻撃者はそれらを一括でダウンロードし、複数年にわたる脆弱性を生み出した。
弱いマスターパスワードはオフラインでの復号を可能にし、単発の事件を、認証情報窃取の長期的な機会へと変えてしまった。
2024年から2025年にかけて、ウォレットの資金流出が新たな波として繰り返し確認され、攻撃者がボルトへのアクセス侵害に成功し、ユーザーのデジタルウォレットに保管されていた暗号資産を盗んでいたことが裏付けられた。
TRMのアナリストは、盗難全体に共通する一貫したパターンを特定した。盗まれたビットコインの鍵は同じウォレットソフトウェアにインポートされ、その結果、SegWitの使用を含む共通のトランザクション署名が生じていた。
ビットコイン以外の資産は、即時スワップサービスを介して迅速にビットコインへ換えられ、その後、取引の追跡を困難にすることを目的としたプライバシー重視のミキシングサービスであるWasabi Walletに入金された。
TRMは、2024年後半から2025年初頭にかけて、2,800万ドル超の暗号資産がWasabiを通じてマネーロンダリングされたと推定している。
調査担当者は個々の盗難を切り離して分析するのではなく、一連の活動を協調的なキャンペーンとして検証した。
独自のデミキシング手法を用い、ハッカーの入金を特定の出金クラスターと突き合わせたところ、そのタイミングと合計額が偶然とは考えにくいほど一致していた。
この手法により行動の連続性が明らかになった。CoinJoinによるミキシングにもかかわらず、難読化の前後で同一の主体が活動をコントロールしていたのである。
二つの異なるロンダリング段階が、ロシアの取引所へと収束していた。第1段階では、盗難資金はCryptomixer.ioを経由して流れ、2024年にOFACの制裁対象となったロシア拠点の取引所Cryptexを通じて流出した。
続く2025年9月の波では、約700万ドルがWasabi Walletを経由し、出金は最終的に、サイバー犯罪活動に関連する別のロシア取引所Audi6に到達した。
両期間を通じて一貫したパターンが見られた。クラスター化された出金とピールチェーンにより、ミックスされたビットコインがこれらの取引所へと流し込まれていた。
ロシアのオフランプへのこの繰り返しの依存と、ロシア拠点の運用管理を示すオンチェーン証拠を合わせると、単発的な利用ではなく協調が示唆される。
この調査は、二つの重要な示唆を示している。第一に、脅威アクターが時間をかけて一貫した地理的インフラに依存する場合、ミキシングサービスによる防御効果は逓減する。
デミキシングにより、難読化の下にある運用アーキテクチャが明らかになった。第二に、ロシアの金融インフラは依然として世界的サイバー犯罪の体系的な促進要因として機能し、ランサムウェア集団、制裁回避者、その他の不正ネットワークを支えている。
LastPassの事例は、攻撃者が侵害データをどのように収益化するかを浮き彫りにし、大規模な認証情報窃取を支えるインフラを暴くうえで、ブロックチェーン・インテリジェンスの重要性を強調している。
翻訳元: https://cyberpress.org/35-million-cryptocurrency-theft/