犯罪者を追跡するチェイナリシス、流出資料から見えたその戦略

実世界の犯罪者を、彼らが匿名で保有する多量のビットコイン(BTC)と結びつけようとする戦いの中で、ブロックチェーン分析世界最大手のチェイナリシス(Chainalysis)は「意義のある」強みを見つけた。訪問者のIPアドレスを収集するブロックエクスプローラーサイトだ。

CoinDeskが入手した流出文書によると、チェイナリシスはwalletexplorer.comというウェブサイトの保有・管理を行っている。

他のブロックエクスプローラーと同様、このサービスでは公開の暗号資産ウォレットアドレスの履歴を誰でも見ることができる。チェイナリシスは、暗号資産取引所に「足跡を残す」ことを恐れずに取引を確認するために、犯罪者たちがこのサイトを使うと考えたと、文書には記されている。

しかし、取引所や、おそらく他の大半のブロックエクスプローラーが目をつけなかったところに、チェイナリシスは着目した。同文書によると、同社はwalletexplorer.comというハニーポットに落ちた「不審な(ユーザーの)IPアドレスを『収集』」するのである。

「このデータベースを使い、アドレスに関連するIPデータにまつわる意義のある手掛かりを警察に提供することができた」と、文書には記されている。「他のBTCアドレスを特定するために、既知のIPアドレスを逆引き参照することも可能である」

このようにしてチェイナリシスは、自社とのつながりを公表せずに、この控えめなウェブサイトを実質的に武器化したのだ。

walletexplorer.comと自社が関係することをチェイナリシスが公表したことはなく、walletexplorer.comのホームページ下部に、「作者」が現在はチェイナリシスで働いているという但し書きがあるだけだ。サイト登録文書によれば、このサイトが創設されたのは2014年であるが、この登録文書にもチェイナリシスの名は言及されていない。

チェイナリシスの広報担当者はコメントを差し控えた。

今回の流出文書は、ダークウェブを捜査するイタリア警察に対する、チェイナリシスのプレゼン資料の一部であり、日付は不明だ。この文書は9月20日、ダークリークス(DarkLeaks)に掲載された。ダークリークスも、Torなどの匿名ブラウザを通じてのみアクセスできるダークウェブサイトである。CoinDeskは同文書が本物であることを確かめた。

このプレゼン資料は、警察の犯罪者逮捕に協力するためにチェイナリシスが使うツールの全貌に新たな光を当てた。同社は主に、公開された取引データの分析で知られている。

流出文書によれば、同社のハニーポットはうまく機能しているようだ。チェイナリシスはその例として、暗号資産取引所フォビ(Huobi)のOTC(相対取引)デスクを通じてランサムウェア容疑者が資産を預け入れたと疑われた数時間後に、そのIPアドレスをwalletexplorer.comが収集するのに成功した2020年6月の事例を挙げている。

モネロの追跡

流出文書によるとチェイナリシスは、多くの人が最も強力なプライバシー保護機能を備えた暗号資産と考えるモネロ(XMR)での取引も追跡できると考えているようだ。

「チェイナリシスが警察に協力した事例のうち、モネロを含む事例の約65%において、利用可能な手掛かりを提供することができた」と、流出文書には書かれている。

しかし、モネロのコミュニティー「モネロ・スペース(Monero Space)」のメンバー、ジャスティン・エーレンホファー(Justin Ehrenhofer)氏は、このような主張を鵜呑みにしないようにと警告する。

「『利用可能な手掛かり』というのは非常に具体性に欠け、様々な意味に取れる」と、エーレンホファー氏は主張し、次のように続けた。

「例えば、警察にとって最善の場合には、取引に関わった人物の身元情報へとつながるかもしれない。しかし、偽のものや盗まれたもの、あるいはTorアドレスといった、偽の情報に関連する可能性もあるのだ。あらゆるメタデータは捜査においては有益であるが、その有益さの程度には大いに幅がある」

同様に、「モネロの取引と限定するのではなく、モネロを含むチェイナリシスが関与したあらゆる事例」というように、「事例」という言葉も広い意味で使われていると、エーレンホファー氏は指摘する。「つまり誰かがモネロを使ったが、使われたアウトオブバンドの情報が明らかになったとしたら、チェイナリシスの考えではそれも『成功した』事例ということになるのだ」

エーレンホファー氏は、警告の言葉も寄せた。「プライバシーを気にするモネロユーザーは常に、自分のノードを使ってモネロを使うべきだ。Torではリモートのモネロノードを使うこともできるが、自分のものを使うのがベストだ」

ノードの活用

チェイナリシスがビットコインユーザーのデータを収集するもう1つの方法が、取引を検証するノードを実行することによってであると、流出文書によって裏づけられた。

この方法によってチェイナリシスは、クリアネットとも呼ばれる、一般にアクセスできるインターネット上で、ユーザーのSPVウォレットから流出データを収集できるのだ。SPVのサービスは、絶対確実なセキュリティーよりも簡単な保管を優先するように作られている。(しかし、取引の検証にAPIを使うウォレットよりは安全である)

「このようなデザインのデメリットは、ユーザーのウォレットがネットワークに接続する時に、ユーザーのIPアドレス、ウォレット内の(使用未使用に関わらず)すべてのアドレス、ウォレットソフトウェアのバージョンなど、様々な情報が明かされる点にある」と、流出文書は説明している。「チェイナリシスはビットコインネットワーク上で一連のノードを実行しており、(中略)ユーザーが自社ノードに接続した時には、上記のような情報を獲得できる」

このようなデータは、警察にとっては恩恵となり得る。チェイナリシスは、児童ポルノ組織「Welcome to Video」の逮捕の例を挙げている。この件で容疑者の1人が特定された理由の1つは、その容疑者はビットコインノードがクリアネットで実行されていたからである。

実際、政府クライアントがノード追跡への協力を求めてチェイナリシスのもとへやって来るのだ。米財務省外国資産管理局(OFAC)もそのようなパートナーの1つだ。OFACは2021年、暗号資産ユーザーの制裁のために、チェイナリシスの「Rumker」というテクノロジーを活用するための許可を求めた。

OFACは21日、ランサムウェアの支払いをサポートしたとして、暗号資産取引所に初の制裁を発動した。

チェイナリシスが独自のデータ収集ノードを実行しているという事実は、プライバシーを重視するビットコイナーにとっては驚きではない。コミュニティーでは長年、そのように疑ってきたのだ。

「彼らがノードを実行していることは昔から知っていた。どのサービスに接続しているのかという点だけが疑問だった」と、ビットコインマイニング企業ルクソール・テック(Luxor Tech)のコリン・ハーパー(Colin Harper)氏は語った。

それでも、今回の流出資料によって、パートナーとなっている警察当局のために犯罪者たちを追跡するチェイナリシスの作戦の詳細が明らかとなった。公開の取引履歴を探すだけでは十分ではない。成功するために企業は自ら、データを収集する必要があるのだ。

|翻訳・編集:山口晶子、佐藤茂
|画像:Wirestock Creators / Shutterstock.com
|原文:Leaked Slides Show How Chainalysis Flags Crypto Suspects for Cops