※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。
要約:
- 2023年、Caesars Entertainment は、Scattered Spider グループによる 1,500 万ドルのランサムウェア攻撃を受けました。
- Chainalysis のツールは、FBI が複数のブロックチェーンおよびプロトコルに分散した数百万ドルの身代金資金を追跡し、凍結する上で大きな役割を果たしました。
- この事件は、ブロックチェーンの透明性と、適切なテクノロジーおよびエコシステムの連携によって、攻撃から数か月経っても身代金を回収可能なアセットに変えることができることを示しています。
2023年にCaesars Entertainmentが受けたランサムウェア攻撃は国際的な話題となりました。この攻撃の背後にいたランサムウェアグループ「Scattered Spider」は、高度なソーシャルエンジニアリングの手法を用いてCaesarsのシステムに侵入しました。8月18日にシステムに侵入した後、彼らは顧客の機密データを盗み出し、3,000万ドルの身代金を要求し、最終的には1,500万ドルの暗号資産を受け取りました。
ハッカーたちは、暗号資産を使用することで、当局からこの巨額の収益を隠蔽できると信じていたようです。しかし、暗号資産に固有の透明性が、結局、彼らに不利に働きました。ブロックチェーンインテリジェンスにより、捜査官は資金の流れを追跡できたからです。
新たに公開された裁判文書によると、連邦捜査局(FBI)は Chainalysis を使用して、複数のブロックチェーンおよびプロトコルにわたる身代金の流れを追跡し、数百万ドル相当の暗号資産がキャッシュアウトされる前に凍結しました。
ソーシャルエンジニアリングの内容
最近公開されたネバダ州地方裁判所の提出書類によると、米国は、ランサムウェア攻撃の収益に関連する暗号資産に関する民事没収手続きを開始したことが明らかになりました。裁判所の書類には、Caesars社の名前は明示的に記載されておらず、「被害者 A」と記載されていますが、タイムラインと詳細から、その対象がCaesars社であることは間違いありません。2023 年 8 月 18 日(シーザーズ社が侵害を報告した日)にハッキングを受けたラスベガスの企業が、当初 3,000 万ドルの身代金要求を受け、1,500 万ドルまで交渉で減額されたと記載されています。
メイン州司法長官事務所への提出書類によると、Scattered Spider は外注の IT サポートベンダーを標的にしました。 8 月 18 日、おそらく音声フィッシングの手法を用いて IT サポートを騙し、多要素認証をすり抜けた後、8 月 23 日までには、攻撃者は、社会保障番号や運転免許証情報を含むカジノの顧客ロイヤルティデータベースにアクセスしていました。
Caesarsは 9 月 7 日になってようやく侵入を発見し、攻撃者は 3 週間近くシステム内に潜入していたことになります。9 月 14 日、シーザーズは 米国証券取引委員会 (SEC) への提出書類 でハッキングを公表し、身代金を支払いました。MGM Resortsも同グループによる攻撃を受けましたが、身代金の支払いを拒否し、約 1 億ドルの営業損失を被りました。
リアルタイムの介入による違法な収益の遮断
最初の身代金支払から 5 か月後の 2024 年 1 月、捜査官は、Avalanche Bridge を通じて約 402 BTC(当時約 1,180 万ドル相当)の疑わしい動きを察知しました。
FBI は直ちに Ava Labs に連絡し、277.56 BTC が凍結されました。当局が対応する前に 125 BTC はすでにブリッジを通過していましたが、この介入により、数百万ドルが犯罪者の手に渡ることを防ぐことができました。
その直後、約 69 万ドルの暗号資産が Gate.io がホストする別のウォレットに送金されました。このアセットには、約 519,845 ドルのステーブルコインと、およそ 1,135 Monero (XMR) が含まれていました。翌日、FBI は Gate.io に資金凍結の要請を行いました。文書によると、Gate.io は 2 月 4 日にこの要請に従ったことを確認しています。
このようなリアルタイムのインテリジェンスと介入能力は、暗号資産の調査において重要な優位性です。Scattered Spider のようなランサムウェアグループは、攻撃の初期段階での迅速な対応で知られていますが、ブロックチェーン分析により、捜査官も同様に迅速に収益の追跡を行うことができ、犯罪者が運用上の優位性と考えていたものを不利な要素に変えることができました。
Caesars のケースで観察されたパターンは、ランサムウェアのエコシステム全体で見られる傾向とよく似ています。脅威アクターは、以前は人気があったミキサー(2024 年に大幅に減少)などのマネーロンダリング手法から、クロスチェーンブリッジを用いた資金源の隠蔽へと移行しています。
ブロックチェーン分析:透明性の活用
攻撃者は暗号資産の匿名性とアクセスしやすさを悪用しようとしますが、ブロックチェーンの本質的な透明性と不変性により、捜査は有利に進みました。Chainalysis のツールを使用して、FBI はウォレットとブロックチェーンのネットワークを通じて身代金の流れを追跡することに成功しました。
事件に関する文書には、資金の流れを視覚化した Chainalysis Reactor のグラフが含まれています。
BTC の身代金は、最初は 2 つの固有のウォレット(Extortion Wallet 1 および 2)に送金されたことがわかります。その後、資金は一連のウォレットを介して送金されました。このウォレットは、文書によると、これまでのトランザクション履歴がないため、マネーロンダリングのためにのみ作成されたものであることがわかります。
その後BTC は 1 つのウォレットにまとめられ、Avalanche Bridge に移動され、Avalanche ブロックチェーン上のラップドトークンに交換されました。
これらのトークンは資金源がさらに不明瞭になるよう、複数のウォレットを介し、Avalanche および Stargate プロトコルにて洗浄されました。FBI が介入した際には、資金はGate.io ウォレットに送金されたところでした。
調査ツール「Reactor」は捜査官がマネーロンダリングのパターンを明らかにし、暗号資産アドレスを現実世界のエンティティに関連付け、資産没収に必要な証拠を構築するのに役立ちました。
ランサムウェアの動向の変化
Caesars への攻撃は孤立した事件ではありませんでした。Scattered Spider は、同じ時期に、組織的な恐喝キャンペーンの一環として MGM Resorts も標的にしました。しかし、それ以来、ランサムウェアの情勢は劇的に変化しました。
2024 年、世界的な法執行機関の取り締まりにより、主要なランサムウェアの運用は大幅に混乱しました。LockBit は解体され、BlackCat は出口詐欺を行い、新しいグループが空白を埋めるために乱立しました。これらの混乱により、ランサムウェアの支払総額は前年比 35% 減少し、2023 年の 12 億 5000 万ドルから 2024 年には約 8 億 1360 万ドルに減少しました。特に、ランサムウェアのインシデントのうち、被害者が支払いをしたケースは半分以下にとどまり、被害者の抵抗の高まりと対策の強化が顕著になりました。
Caesars の事件は、単なる資金回収以上の意味があります。これは、ブロックチェーンインテリジェンスが現代のサイバー犯罪の取り締まりにどのような影響を与えているかを如実に示す例です。追跡と押収が成功するたびに、手法が洗練され、先例が築かれ、ブロックチェーン技術の透明性が犯罪者を支援するのではなく、犯罪者に対抗する役割を果たしていることを確認することができます。
Chainalysisによる資金差押えのサポート
現在までに、Chainalysis は世界中の取引所や法執行機関、企業、政府機関などのパートナーを支援し、126 億米ドル以上の暗号資産を差し押さえ、凍結してきました。回収の成功は暗号資産が勢いを増し、普及していく世界で金融犯罪と闘い、被害者の資金を回復できるという確信につながっています。この事例は、適切なツールとパートナーシップによって支えられたブロックチェーンの透明性が、身代金の支払い後にさえ、高額の回収につながることを示しています。多くの点で、これはターニングポイントと言えます。身代金を支払っても、脅威アクターが罰せられないという保証はもはやありません。支払後に介入し、資金がキャッシュアウトされる前に回収できることが、ブロックチェーンインテリジェンスをランサムウェア対応における強力なゲームチェンジャーにしているのです。
This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively “Chainalysis”). Access to such information does not imply association with, endorsement of, approval of, or recommendation by Chainalysis of the site or its operators, and Chainalysis is not responsible for the products, services, or other content hosted therein.
This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with Recipient’s use of this material.
Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.