静かな日曜の夜、企業の顧客データベースが侵害される。数百万件の認証情報とカード番号がひそかに持ち出され、整理され、サイバー犯罪フォーラムでよく知られた詐欺ショップに掲載される。次の数日間で、小規模なグループがそのデータの一部を買い取り、ログインの試行、ロイヤルティポイントの搾取、ECアカウントの乗っ取り、オンライン加盟店に対するカーディング用スクリプトの実行を始める。
成功した不正は、マネーミュール口座やデジタルウォレットへと流し込まれる。そこから収益は集約されていく。複数のサービスに分散した残高が単一の取引所へ回収され、チェーンや国境をまたいで迅速に移動できる流動性の高いドル連動資産へと換金される。
この最終的な換金ステップは、BTC USDTのような主要取引ペアを経由することが多く、リアルタイムの価格データは、大規模でおそらく違法な資金フローを追跡するアナリストにとって有用なシグナルとなる。信頼できるBTC USDT価格の表示は、資本が取引所間でどこに集中しているかを即座に把握する手がかりを提供する。
なぜセキュリティ、詐欺対策、コンプライアンスチームにとって重要なのか
多くの組織では、金融アプリのセキュリティと侵害対応が、アンチ・マネー・ロンダリング(AML)や制裁対応の統制とは別のサイロに存在している。従来のデータ侵害対応手順は、封じ込め、フォレンジック、通知に重点を置く。
一方で、コンプライアンスチームは、法定通貨の決済レールと顧客行動を監視し、マネーロンダリングの兆候を探す。ステーブルコインを用いたロンダリングは、まさにこの二つの世界の間に位置する。盗まれたデータをオンチェーンの資金フローへ変換し、それは旧来の意味で純粋に「サイバー」でも純粋に「金融」でもない。
データ侵害の経済学とサイバー犯罪市場
侵害から在庫へ:盗難データはいかにして商品になるのか
攻撃者がメール環境、データウェアハウス、決済システムにアクセスした時点で、侵害は始まりにすぎない。大量のダンプが持ち出され、必要に応じて復号され、トリアージされる。
ログイン情報、完全な本人確認記録、カード番号、セッショントークンといった高価値要素は、認証情報リスト、いわゆる「フルズ」、カードダンプ、特定サービス向けのアクセスキットといった別々の商品に切り分けられる。これらのバンドルは、盗難認証情報やツールに特化したアンダーグラウンド市場やプライベートチャネルに掲載される。
市場、ブローカー、そして「犯罪のサービス化」の役割
サイバー犯罪市場は、いまや断片化した金融エコシステムに似ている。初期アクセスブローカーは、侵害されたVPN、RDPエンドポイント、メールアカウントを専門に扱う。データ販売者は、精選された盗難認証情報リストや本人確認パッケージに注力する。
カーダーは決済システムを悪用し、換金クルーやマネーミュールは銀行口座、ウォレット、加盟店口座を通じて資金を移動させる。最終段には、取引所、ミキサー、DeFiを理解し、雑多な収益をよりクリーンな残高へ変える暗号資産の専門家がいる。
なぜドル連動資産がサイバー犯罪市場に好まれるのか
銀行口座なしでドル建てエクスポージャー
ステーブルコインは、サイバー犯罪市場が重視する非常に単純な価値を提供する。従来の銀行口座を必要とせずに米ドルへのエクスポージャーを得られることだ。多くの関係者は、地理的制約、制裁、あるいはリスクプロファイルにより、米国の銀行へのアクセスが制限される法域で活動している。技術的には口座を開設できても、繰り返される不審活動に伴う追跡可能性、書類要件、口座閉鎖リスクを恐れる者もいる。ドル連動資産はそのギャップを埋める。
流動性、スピード、そしてコンプライアンス裁定
この嗜好には非常に実務的な側面もある。ステーブルコインは、取引所、DeFiプロトコル、OTCブローカー間を、国際送金よりも運用上の摩擦が少ない形で素早く移動することが多い。銀行システムでは数日かかる国境を越えた移動が、オンチェーンでは数分、あるいは数秒で決済され得る。取締リスクが変動し、パートナーの動きも速いサイバー犯罪市場にとって、スピードは重要だ。
また、各プラットフォームはKYCとAMLの基準が大きく異なる。オフショアの取引所やサービスの中には、歴史的に統制が弱い、あるいはまったくないものもあった。一方で厳格に規制されているところもある。
ロンダラーはこの多様性を悪用し、規制の緩いプラットフォームから開始して複数回ホップし、痕跡が十分に曖昧になったと考えた後で、より評判の高いプラットフォームに近づく。発行体や規制下のプラットフォームは、特に制裁回避や著名なランサムウェアに資金フローを結び付けられる場合、汚染資金の凍結にますます積極的になっている。
ロンダリングのパイプライン:侵害データからステーブルコインへ
経路1 ― ドル連動資産による直接的な暗号資産恐喝と身代金
一部の事案では、侵害の実行者は再販やカーディングのエコシステム全体を迂回し、直接恐喝に進む。二重恐喝やデータリークを行うグループは、システムを暗号化し、機密ファイルを持ち出し、身代金が支払われない限り公開すると脅す。
かつてはビットコインがこれらの要求を支配していたが、近年は、流動性の高いステーブルコインへと好まれる支払い手段が明確にシフトしている。ドル連動資産は、要求から実際の支払いまでの間の価格変動を気にせずに収益を確定できる。
最近の業界分析によれば、2024年のランサムウェア支払い総額は大きく減少し、前年の10億ドル超から数億ドル台へ落ち込んだ一方で、インシデント件数は高水準のままだった。それでも、支払いが発生する場面では暗号資産が目立つ。
経路2 ― カーディング、アカウント乗っ取り、そしてステーブルコインへの換金
より伝統的な経路は、カーディングとアカウント乗っ取りから始まる。データ侵害で盗まれたカードデータやログイン情報が、不正購入、オンラインウォレットからの出金、転売可能な商品の注文に使われる。マネーミュールは資金を受け取り転送するが、出所を十分に理解していない場合もある。各段階で銀行や決済処理業者が一部の活動を検知して止めることはあるが、すべてではない。
取引が成功すると、残高は散在する口座や加盟店プロファイルに蓄積される。これらの価値のポケットを統合する必要がある。犯罪者はしばしば取引所やP2P取引プラットフォームに頼り、現地通貨や中間資産をステーブルコインへ変換する。
この連鎖にある各プラットフォームには独自のAMLルールと不正対策があり、個々の試行を阻止することもある。それでも全体目標は同じだ。雑多でリスクの高い資金を、暗号資産エコシステム内を自由に移動できる単一の携帯可能なドル連動資産へ変換することである。
経路3 ― 内部不正と侵害された企業の暗号資産インフラ
侵害の中には、標的がすでにデジタル資産を保有しているケースがある。中央集権型取引所、社内トレジャリーウォレットを持つフィンテック、あるいは暗号資産ベースのロイヤルティ/決済プログラムを運用する企業などだ。こうした場合、攻撃者や不正な内部者は従来のカーディングに手を出さないことも多い。代わりに、ホットウォレット、署名鍵、社内送金システムを直接狙う。
複合的なケーススタディは、多様なオンチェーン資産が、しばしば迅速に少数の流動性の高いステーブルコインへ回収されることを示している。流動性が限られるトークンや薄い市場のトークンは売却またはスワップされ、価値は1~2種類の主要なドル連動資産へ集約される。その後になって初めて、サービスやチェーンをまたいでホップするレイヤリング段階が本格化する。
オンチェーン・インフラ:ミキサー、DeFi、ブリッジ、OTCブローカー
ミキサー、ピールチェーン、そしてDeFiベースの難読化
資金がステーブルコインに置かれると、ロンダラーは、出所と宛先の明白な結び付きを断つために設計された、または転用されたオンチェーン・インフラへ向かう。古典的なミキサー/タンブラーは多数のユーザーからの入金をプールし、その後再配分することで、アドレス間の直接的な追跡を断ち切ろうとする。ピールチェーンは少額を長いウォレット列にわたって送金し、各ステップで断片を「剥がす」。どちらの手法もドル連動資産に適用でき、実際にしばしば適用されている。
DeFiはさらに別の層を加える。ステーブルスワップ・プロトコルやレンディング・プラットフォームは、大量のステーブルコインを、少なくとも表面的には通常の流動性提供、裁定取引、利回り追求のように見えるパターンで動かすことを可能にする。汚染されたステーブルコインはプールを循環させたり、担保にして借り入れたり、クリーンな流動性と混ぜたりでき、ノイズの多い取引履歴を生成する。
クロスチェーン・ブリッジ、OTCデスク、P2Pオフランプ
ロンダラーが単一チェーンに留まることは稀だ。クロスチェーン・ブリッジは、ユーザーベースやコンプライアンス姿勢の異なるネットワーク間でステーブルコインを移動させるために使われる。より監視の厳しいチェーンから監督の弱いチェーンへ移すという単純なケースもある。別のケースでは、知名度の低いネットワークが中継地点として使われ、ホップ数と追跡の複雑性が増す。
最終的に、多くのルートは法定通貨へ近づく。規制の緩いOTCブローカーやP2P取引所がここで大きな役割を果たす。ステーブルコインは、現地通貨の振込、現金、高額商品へと交換されることが多く、「質問なし」の出口を専門とする仲介者を介する場合もある。
事例パターンと取締りによる分断
最近の摘発が明らかにするステーブルコイン・ロンダリングの実態
過去数年にわたるダークネット運営者、非準拠の取引所、不正な決済処理業者に対する共同作戦は、ステーブルコイン・ロンダリングをより明確に見通す窓を提供してきた。インフラが押収され、取引記録が分析されると、見慣れた構図が浮かび上がる。詐欺ショップとランサムウェア・サービスがドル連動資産で相互決済し、比較的少数のサービスとアドレスを通じて資金をルーティングしているのだ。いくつかの作戦では、関連する金融レールが分断された後、主要な詐欺市場の収益が約半減したと当局が報告している。
これらの摘発は、エコシステムから特定ノードを取り除くだけではない。詳細な取引グラフや運用プレイブックも露呈し、捜査当局や分析企業はそれらをモデルへ取り込んでいく。
適応:サイバー犯罪市場はいかに圧力へ対応するか
予想どおり、圧力が高まるとサイバー犯罪市場は適応する。ステーブルコイン発行体や規制下プラットフォームが既知の違法アドレスを凍結し、制裁違反への対応をより攻勢的にするにつれ、ロンダラーは試行錯誤する。複数のドル連動資産をローテーションし、ニッチなトークンを一時的な駐車場所として使い、オフランプに到達する前に複数のチェーンと法域を横断するマルチホップ経路を設計する。特に制裁回避は、これまでに見られた中でも最も複雑なレイヤリング・パターンの一部を駆動してきた。
コンプライアンス、詐欺対策、セキュリティチームのための検知戦略
ロンダリングのフローを実行可能な類型へ落とし込む
資金移動の物語的な説明は有用だが、捜査官や監視システムには具体的なルールが必要だ。専門家はクライアントと協働し、ステーブルコイン・ロンダリングのフローをAML類型とアラートロジックへ変換する。
例としては、カーディングで知られる地域からの小口の取引所入金が急速に単一のステーブルコイン・ウォレットへ集約されるクラスター、侵害公表直後に新規作成アドレスへ突発的に行われる高額送金、詐欺イベント後に特定のクロスチェーン・ブリッジやDeFiプールが短い間隔で繰り返し使われる、といったものがある。
これらの類型は、特定の閾値、抑制ロジック、調査プレイブックに結び付けられる。「侵害後のステーブルコイン集約」のアラートは、社内インシデントのタイムライン、外部の侵害報告、既知のサイバー犯罪クラスターとの照合をトリガーし得る。
別の類型は、歴史的に詐欺ショップと関連してきたサービスとのステーブルコイン建て決済に焦点を当てるかもしれない。データ侵害収益とサイバー犯罪市場の実際の経済構造に類型を整合させることで、機関は誤検知を管理可能な範囲に保ちながら、意味のある疑わしい取引報告を作成できる。
侵害テレメトリとオンチェーン・シグナルの連携
最も強力でありながら、まだ十分に活用されていない手法の一つが、侵害テレメトリとオンチェーン・インテリジェンスの融合だ。侵入に関する指標――C2ドメイン、身代金メモに記載されたウォレットアドレス、持ち出しのタイムスタンプなど――は、しばしばブロックチェーンデータにも反響として現れる。これらのシグナルを相関させることで、侵害調査は純粋に内部的な作業から、より広範な「資金の流れを追う」作戦へと変わり得る。
オンランプ/オフランプとパートナー統制の強化
取引所・フィンテックにおけるステーブルコイン統制の強化
ステーブルコインをサポートする取引所、ブローカー、フィンテック・プラットフォームは、ロンダリング連鎖の重要地点に位置する。ドル連動フローに特化してKYCと取引監視の統制を調整することで、これらの機関はサイバー犯罪市場にとっての魅力を大幅に下げられる。実務的な対策には、差別化されたオンボーディング階層、侵害や不正が多い顧客または地域に対する強化デューデリジェンス、行動リスクに応じて調整されるステーブルコイン移動の動的な上限設定などが含まれる。
サードパーティおよびインフラのリスク管理
この領域で単独で運営する機関は存在しない。ステーブルコイン発行体、カストディアン、決済処理業者、分析プロバイダー、ブリッジ運営者、OTCパートナーはいずれも、サイバー犯罪市場がドル連動資産をどれだけ容易に使えるか/使いにくいかに影響する。
これらパートナーのリスク姿勢、KYCの運用、法執行機関への対応速度、汚染資金を凍結するかどうかを評価することは、ステーブルコイン・エクスポージャー管理の重要な一部である。
結論:ステーブルコインの洞察を活用して侵害対応とAMLを強化する
静的な侵害対応手順から動的な金融犯罪防御へ
侵害されたデータベースからロンダリングされた資金へ至る道のりは、もはや現金やビットコインで終わることは稀だ。事例を重ねるごとに、データ侵害の収益はサイバー犯罪市場を通り、ドル連動資産へ入り、ミキサー、DeFiプロトコル、ブリッジ、オフランプから成る複雑な網の目を横断する。こうしたステーブルコイン中心のパイプラインを理解することは、もはや「暗号資産チーム」だけのニッチな関心事ではない。現代の金融犯罪戦略の中核である。
オンチェーン・インテリジェンスを侵害対応とAMLの双方に統合する機関は、明確な優位性を得る。データ窃取がマネーロンダリングへ転化し始めるタイミングを察知し、見慣れたロンダリング構造を認識し、パートナーや当局とより迅速に連携できる。各インシデントを孤立して後始末するのではなく、サイバー犯罪市場が今日実際にどのように動いているかに基づく動的な防御を構築できる。
(写真:UnsplashのKanchanara)
翻訳元: https://hackread.com/cybercrime-markets-stablecoins-launder-breach-proceeds/
