ロシアのマネーロンダリングネットワークが暴露！LastPassの3500万ドル盗難追跡の内幕

ブロックチェーン情報会社TRM Labsは最近の調査報告で、パスワード管理ツールLastPassのユーザーから盗まれた3,500万ドルを超える暗号資産が最終的にロシアのサイバー犯罪組織が管理するマネーロンダリングネットワークに流入したことを追跡しました。この事件は2022年のLastPassデータ漏洩事件に起因し、ハッカーはプライバシー規約やミキシングサービスを利用して資金の流れを隠蔽しましたが、解明されました。

LastPassからロシア取引所へのマネーロンダリングルート

（出典：TRM Labs）

TRM Labsの調査によると、ロシアのマネーロンダリングネットワークは多層的な資金洗浄戦略を採用しています。攻撃者はまず、LastPassのユーザーの暗号資産ウォレットから盗んださまざまなデジタル資産を、リアルタイムの交換サービスを通じてビットコインに一元化します。この操作は後続の処理を簡素化するだけでなく、ビットコインの高い流動性と匿名性を利用して、次の段階のミキシングに備えます。

資金の変換が完了すると、ハッカーはビットコインをWasabi WalletやCoinJoinなどのミキシングサービスプラットフォームに分割して投入します。これらのツールのコアメカニズムは、複数のユーザーの資金を集約し、複雑な取引の再構築を通じて元の資金の出所と目的地の関係を混乱させることにあります。理論上、この技術は資金の流れを追跡不能にし、各出力が複数の異なる入力源から来ている可能性を持たせます。

しかし、TRM Labsの報告は、ミキシング技術には構造的な欠陥が存在すると指摘しています。分析者は「一貫したオンチェーンの特徴」を識別することで、これらの散在する取引が実は同じ組織的なグループに属していることを発見しました。攻撃者は操作過程で特定のウォレットソフトウェアを用いて秘密鍵をインポートする方法を繰り返し使用しており、この技術的指紋が追跡の重要な突破口となっています。さらに、ミキシング前後の行動パターンに明らかな連続性が見られ、調査官は「分離」されたミキシング取引を追跡し、プライバシー規約の下での資金の実際の流れを追跡できるようになっています。

最終的に、ミキシング処理された資金はロシア国内の暗号通貨取引所に預けられます。その中で最も主要な受取プラットフォームはCryptexであり、この取引所は現在OFACの制裁リストに掲載されており、ロシアのサイバー犯罪エコシステムにサービスを提供しています。それ以外にも、調査官は約700万ドルの盗難資金がロシアの外為取引サービスプラットフォームAudi6に流入していることも追跡しています。

ロシア暗号プラットフォームのマネーロンダリング基盤の役割

TRM Labsの調査は、ロシアの暗号通貨プラットフォームが世界的なサイバー犯罪において体系的な役割を果たしていることを明らかにしています。これらの取引所は単なる受動的なサービス提供者ではなく、積極的に犯罪の基盤を構築しています。

特に、ミキシング器と連携するウォレットは、洗浄前後の操作においてロシアとの「運営連絡」を示しています。これは、ハッカーが単に第三者のインフラを借りているだけでなく、直接ロシア国内で事業を展開していることを示唆しています。技術的な構造から資金の流れに至るまで、全ての洗浄ネットワークはロシアのサイバー犯罪地下組織に根ざしており、高度に専門化・組織化された運営モデルを形成しています。

Cryptex取引所がOFACの制裁対象となっている事実は、米国政府のロシアのマネーロンダリングネットワークに対する取締りの強さを示しています。しかし、制裁の実効性は限定的であり、これらの取引所は主にロシア国内のユーザーや制裁回避の実体にサービスを提供しているため、国際的な主流市場への依存度は非常に低いです。Audi6などのプラットフォームの存在は、部分的に制裁を受けた取引所があっても、ロシアのマネーロンダリングネットワークは迅速に代替ルートを構築できることを示しています。

ロシアプラットフォームの三大洗浄機能

即時流動性出口の提供：ロシアの取引所は盗まれた暗号資産の迅速な換金ルートを提供し、ハッカーはデジタル資産を法定通貨や追跡困難な資産に交換できます。

国際規制の回避：これらのプラットフォームは通常、KYC（顧客確認）やAML（アンチマネーロンダリング）規制を遵守せず、犯罪資金に対して匿名性を保護します。

クローズドエコシステムの構築：ミキシングサービスから最終的な換金まで、ロシアのマネーロンダリングネットワークは完全な産業チェーンを形成し、ハッカーは国際的な主流取引所に触れることなく全工程を完結させることができます。

ブロックチェーン証拠技術の突破とミキシングの霧

TRM Labsの成功は、「行動連続性分析」技術にあります。従来のブロックチェーン分析は取引の関係図を追跡することに依存していましたが、ミキシング器の導入によりこの直接的な関連性は乱されました。TRM Labsの革新は、単一の取引ではなく行動パターンから攻撃者を識別し、操作過程で完全には消しきれないデジタル指紋を見つけ出すことにあります。

具体的には、分析者は攻撃者が盗まれたウォレットから資金を移動させる際に、ウォレットソフトウェアに秘密鍵をインポートする方法に独特の特徴を見出しました。異なるウォレットソフトウェアは秘密鍵の取り扱いに微妙な差異を持ち、その微細な技術的指紋はブロックチェーン上に追跡可能な痕跡を残します。さらに、攻撃者は時間の選択、資金の分割比率、取引頻度などにおいて一貫したパターンを示し、これらの行動のクラスタリング分析により、調査官は複数の無関係に見えるウォレットアドレスを同一の犯罪グループに関連付けることが可能となっています。

報告は、2025年末までに犯罪者は引き続きLastPassの金庫から資産を盗み続けていると指摘しています。これは2022年のデータ漏洩事件の影響が未だ終わっておらず、一部の被害者の暗号ウォレットの秘密鍵が依然としてハッカーの手中にあることを示しています。ロシアのマネーロンダリングネットワークの継続的な運用は、これらの違法な金融インフラが存在する限り、サイバー犯罪は利益を得続けることができることを示しています。

この事件は、世界の暗号通貨規制とサイバーセキュリティ産業に深遠な影響を与えます。最先端のプライバシー技術でさえ、プロフェッショナルなブロックチェーン証拠分析には完全に対抗できないことを証明し、またロシアが世界的なサイバー犯罪の避難港である現実も浮き彫りにしています。ユーザーは、パスワード管理ツールを使用する際にはすべての安全機能を有効にし、暗号ウォレットの秘密鍵を定期的に変更して、長期的なデータ漏洩事件の被害者とならないよう注意すべきです。