Threat Report

Cyber Intelligence

Flashpoint

Intelligence

2022年の暗号資産をめぐる脅威の概況：Flashpointの年間レビュー

山口 Tacos

2022.12.26

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2022年12月21日付）を翻訳したものです。

2022年の暗号資産をめぐる脅威の概況

本記事はシリーズ「2022年年間レビュー」の一部で、過去1年間の最も重要なトレンドと2023年の展望を紹介するものです。

関連記事：「2022年の侵害とマルウェア脅威の概況：Flashpointの年間レビュー」、「2022年のインサイダー脅威概況：Flashpointの年間レビュー」

数で見る、今年の暗号資産脅威の概況

今年、脅威アクターのコミュニティにおいて最も多く議論の対象となった暗号資産は引き続きビットコインで、不法な支払いの受取用通貨として最も頻繁に使われたのもビットコインでした。Flahspointのアナリストは、2022年、Flashpointのコレクション（※）において、50,000件を超える固有のビットコインアドレスが出回っているのを確認しました。

（※訳者注）Flashpointのコレクション：Flashpoint社がさまざまな情報源（ダークウェブフォーラムやオープンソースのサイト、ソーシャルメディアなど）から収集しているデータの集合

画像1：Flashpointのコレクション内のフォーラムにおける、暗号資産への月別言及数（情報源：Flashpoint）

ビットコイン（BTC）アドレス

1月1日以降、Flashpointは弊社のコレクションにおいて、ビットコインアドレスへの言及を125,513件観測しました。これらの言及に含まれていた固有のアドレスの件数は54,629件でした。これらのアドレスによるブロックチェーン上でのトランザクション（取引）は、2022年に20,621回行われています。

画像2：Flashpointのコレクション内でのやり取りの件数を、暗号資産に関連する4種類の活動ごとに示したグラフです。グラフ内の各バーは、いくつかの異なる検索用語で構成されています。「Exchanges」とは、特定の暗号資産取引所やミキサーに言及したすべての活動（不法なものもそうでないものも含む）を指しています。「Investing」は主に、不法ではない活動を指します。（Flashpoint）

暗号資産を狙った不正行為：CEXとNFT

2022年を通じて、脅威アクターらは暗号資産関連組織や投資家、そしてユーザーを狙った不正行為を行っていました。今年1年間で不正な活動の主要な標的となったのは、中央集権型取引所（CEX）と非代替性トークン（NFT）マーケットでした。CEXは、ユーザーによる暗号資産の売買を可能にする取引プラットフォームであり、デジタル通貨の買い手と売り手をつなぐ仲介サービスとして機能しています。一方で、分散型取引所（DEX）は、暗号資産の取引を行う際に仲介を用いず、代わりに自動で実行されるスマートコントラクトを使うことで取引を円滑化しています。2022年を通じてCEXに対する大きな脅威となっていたものとして代表的なのは、自動送金システムキット、不正に認証されたアカウント、ワンタイムパスワードバイパス、およびアカウントチェッカーです。一方、NFTマーケットに対する最大の脅威は、アカウント乗っ取り（ATO）攻撃やサードパーティへの侵害、偽造ページ、そしてさまざまな詐欺行為でした。NFT関連の不正ランドスケープは、全体的に、2021年から2022年にかけて劇的に成長しました。また、脅威アクターがNFTのエマージングテクノロジー（先端技術）を利用して経験不足のユーザーから資産を盗むケースが増えています。こういったユーザーは、NFTのようなプラットフォームに不慣れだったり、一般的な最善のセキュリティ慣行を知らなかったりします。

また、脅威アクターは、正当な組織に見せかけたさまざまなWebサイト内に有害コンテンツを埋め込むためにブロックチェーンテクノロジーを利用していますが、Flashpointのアナリストはこれについても追跡しています。脅威アクターは上記のような行為を実行するにあたって、タイポスクワッティングを使ったり、本物のドメインによく似た悪意あるドメインを使って本来は本物のドメインの方のユーザーだったであろう人々を騙したりします。

暗号資産取引所のリスク

暗号資産取引所は、金融業界の組織をめぐる多くのリスクによる影響を受けやすい一方で、暗号資産業界ならではのリスクにも晒されています。暗号資産取引所に関しては、事実上、非常に中央集中型のCEXからかなり分散的なDEXまで、その形態には幅があります。CEXでは、ある企業がユーザーの暗号資産ウォレットの秘密鍵をコントロールしている一方、DEXでは、ユーザー自身が自らの資産とウォレットキーを完全にコントロールしています。

2022年、脅威アクターたちは、DEXや分散型金融（DeFi）プロトコルをますます多く狙うようになってきています。Flahspointのアナリストは、おそらく脅威アクターたちは分散型アプリケーションを狙うことに注力するようになっているのだろうと評価しています。というのも、分散型アプリケーションは完全にトランスペアレントであり、フィアット通貨が基本となる従来の金融機関よりもセキュリティが弱い場合がほとんどだからです。脅威アクターたちは、分散型アプリケーションのオープンソースのアルゴリズムを調べて、潜在的な脆弱性（スマートコントラクトやマルチシグネチャのウォレット、価格オラクルに存在する脆弱性など）を特定する能力を持っています。CEXに対する脅威は、そのタイプおよび数量ともに2021年に見られたものと変わっておらず、データベースの売り出し、キャッシュアウト（現金化）活動、暗号資産取引所内のインサイダー、アカウントバイパスといったものがありました。

投資先としての暗号資産

2022年を通じて、すべての暗号資産の市場価値が低下しており、ベアマーケット（弱気市場）と呼ばれる状態になっています。これにより、暗号資産に関連するあらゆるステークホルダー（暗号資産を使用する脅威アクターを含む）が影響を被っています。

1月1日時点では、ビットコインは46,311ドルで取引されていました。しかし11月30日の取引価格は16,445ドル（つまり今年の初めの市場価値のほんの35%）となっていました。とは言え、価値を大きく下げたのはビットコインだけではありません。上位100種類のデジタル通貨の合計時価総額は70%下落しており、2021年11月には2.7兆ドルだったのが、2022年11月には8,300億ドルになりました。

価値に関して言うと、いくつかの大きな出来事が特に価値の高い暗号資産数種に影響を及ぼしました。例えば、Terra（テラ）のネイティブ通貨であるUSTおよびLunaの崩壊、ブロックチェーン「イーサリアム」による、コンセンサスメカニズムのプルーフ・オブ・ステークへの移行の完了、そしてCEX「FTX」の崩壊および破産は、いずれもそれぞれ多大な、そしてネガティブな影響を暗号資産市場に与えました。暗号資産ユーザーは、暗号資産市場が下落していくこの傾向を「暗号資産の冬（crypto winter）」と呼び、この「冬」の期間の損失を少なく抑えるための戦略について話し合っています。Flashpointのアナリストは、ユーザーらが主に、投資するのに最も安全な暗号資産についてや、変化の多い規制の状況にどう対処するかについて、そして、取引を行うのに最適なサービスについての議論を行っているところを観測しています。

画像3：2022年のビットコイン価格の移り変わり（情報源：Yahoo Finance）

暗号資産に影響を及ぼす、脆弱性等の悪用

暗号資産取引所、プラットフォーム、プロトコル、およびその他の暗号資産関連プロジェクトは2022年にさまざまな攻撃に遭い、結果として合計30億ドル超の損失が生じました。暗号資産関連プロジェクトに影響を及ぼす脆弱性のうち、よく悪用されるものには、スマートコントラクトの欠陥や、フラッシュローンアルゴリズムの弱点、およびウォレットへの秘密鍵に対する制御の不備といったものがあります。

暗号資産関連企業は、脅威アクターたちから狙う価値があるとみなされている標的です。なぜなら、こういった企業は通常大量の暗号資産を保有しており、もし侵害されれば、資産はすぐさま脅威アクターが支配するプライベートウォレットへと移動させられてしまう可能性があるからです。他の金融取引とは異なり、暗号資産の取引はイミュータブル（変更不可能）です。つまり、ブロックチェーン上で一度確定してしまえば、差し戻すことができません。

大規模な暗号資産プラットフォームの侵害を試みるだけでなく、脅威アクターたちは、情報窃取型マルウェアやドレイナーマルウェアを使って暗号資産ユーザーやNFTユーザーを標的にする、という方法も採りました。こういった攻撃は、ユーザーのホストを狙い、機密性の高い暗号資産情報を盗んだり、暗号資産を攻撃者に転送したりすることを目的としています。上記のような攻撃は、数億ドル相当の資産を盗むプラットフォームへの攻撃に比べればはるかに小規模ではあるものの、密かにその数を増やして多数の被害者に影響を及ぼし、大規模取引所を狙った攻撃ほど注目を浴びることなく資金を生み出すことを可能にします。

2022年の暗号資産組織への目立った攻撃

以下に示すのは、2022年に特に注目された暗号資産関連組織への攻撃と、それに対応する戦術、技術、手順（TTP）です。

Binance（バイナンス）

種類：中央集権型取引所（CEX）

インシデント発生日：2022年10月6日

損失：5億7,100万ドル

悪用箇所：クロスチェーン・ブリッジ

TTP：10月6日、攻撃者は200万バイナンスコイン（現在の取引レートで〜5億7,100万ドル）を盗み出しました。攻撃者はBNBビーコンチェーンとBNBスマートチェーン間のクロスチェーンブリッジにおける証明検証の欠陥を悪用して、バイナンスコイン（BNB）を窃取しました。クロスチェーンブリッジとは、暗号資産をあるブロックチェーンから別のブロックチェーンに移動させることを可能にし、ブロックチェーンソリューション間の相互運用性を導入するためのプロトコルです。証明とは、ブリッジが処理するトランザクションの完全性を確認するための認証手段です。今回の攻撃では、攻撃者は証明により認証プロセスを回避できることを悪用し、不正に200万BNBを自分の口座に入金していました。BinanceのCEOは、同社が不正に窃取された資金の大半を凍結することに成功した旨を発表しました。現時点では、約1億ドル相当の資金が回収不能となった模様です。

Nomad

種類：分散型金融（DeFi）のプロトコル

インシデント発生日：8月1日

損失：2億ドル

悪用箇所：スマートコントラクト

TTP：脅威アクターは、Nomadプラットフォームにおける正当な取引の認証メカニズムが壊れていることを発見しました。これにより、脅威アクターが、Nomad上で成功したトランザクションを複製することができるようになっていましたが、この際、自分のアドレスを受け取り側のアドレスに置き換え、トランザクションを再送信して資金を得ることが可能になっていました。この攻撃手法は、2時間の間に多くの脅威アクターによって広く利用され、Nomadの保有資産を1,000ドル未満にまで減少させました。

Horizon Bridge（ホライゾンブリッジ）

種類：DeFiのプロトコル

インシデント発生日：6月23日

損失：1億ドル

悪用箇所：マルチシグウォレットの秘密鍵

TTP：Horizon Bridgeで利用されている暗号資産トランザクションバリデータアーキテクチャは、トランザクションを承認するために4つのバリデータノードのうち2つを必要とするというものです。バリデータノードは、ブロックチェーンのコンセンサスメカニズムが機能するための重要な構成要素です。Horizon Bridgeへの攻撃では、4つの秘密鍵のうち2つが攻撃者によって侵害されました。これにより、攻撃者は1億ドル相当の暗号資産を送るトランザクションを承認させることができるようになりました。ハッカーがどのようにしてマルチシグのウォレットアドレスのうち2つから秘密鍵を取得できたのか、正確なところは不明です。Harmony Oneの従業員に対するソーシャルエンジニアリングが、脅威アクターがアクセス権を入手した手段である可能性が最も高いと考えられます。これが、北朝鮮に支援されているLazarus Groupの既知の戦術である点に、Flashpointのアナリストは注目しています。さらに、ミキシングサービス内で洗浄された資金の取引タイミングと金額は、2022年3月にRonin Bridgeに影響を与えたハッキング後のものと一致していました。これは、関与した脅威アクターが同じである可能性が高いことだけでなく、洗浄プロセスを自動化するために同じプログラムが使用されている可能性が高いことをも示しています。

Beanstalk

種類：ステーブルコインのプロトコル

インシデント発生日：4月17日

損失：1億8,200万ドル

悪用箇所：プロトコルのガバナンスメカニズム

TTP：ステーブルコインのプロトコルプロジェクトであるBeanstalkは、「フラッシュローン」攻撃の標的となり、数秒間のうちに1億8,200万ドルを失うことになりました。Beanstalkのプロトコルのガバナンスメカニズムに存在していた脆弱性を悪用することで、圧倒的多数のBeanstalkトークン（別名「Bean」）を手にしたユーザーがプラットフォーム上のあらゆるトランザクションを成立させることが可能になっていたのです。この攻撃に関与した脅威アクターは、フラッシュローン（ユーザーが短期間で多額の暗号資産を借りることを可能にする暗号資産ローン）を活用し、自らに有利なガバナンス案を可決させるために必要な投票権を得るのに十分なBeanstalkトークンを迅速に蓄積して、最終的には自分のプライベートウォレットに1億8,200万ドル相当を送金するトランザクションを成立させました。その後、攻撃者はローンを履行し、8,000万ドルの純利益を得ました。

Ronin Bridge

種類：DeFiのプロトコル

インシデント発生日：2022年3月

損失：6億2,000万ドル

悪用箇所：トランザクションのバリデータノード

TTP：Roninチェーンは9つのバリデータノードで構成されており、ブロックチェーン上のあらゆるトランザクションを承認するためには少なくとも5つのノードが必要となります。なお、RoninはAxie Infinityと密接に結びついたEthereumのサイドチェーンです。Lazarus Groupは、5つのノードに関連する5つの秘密鍵を取得し、Ronin Bridgeの制御下で、資金を自身宛に送るためのトランザクションを認証することに成功しました。Lazarus Groupがどのようにして4つのRoninバリデータを悪用したかは不明ですが、5つ目のバリデータの獲得は、Axie Infinityプロジェクトのサポートを目的とする第三者組織Axie DAOを侵害することによって達成されました。Axie DAOは、Roninチェーンのバリデータノードの1つを制御していましたが、Lazarus Groupは、ガス代（取引手数料）不要のRPCノードを活用したバックドアの悪用によって、その秘密鍵を取得しました。

Wormhole

種類：DeFiのプロトコル

インシデント発生日：2月2日

損失：3億2,500万ドル

悪用箇所：ガーディアンの署名

TTP：攻撃者は、120,000 Etherコインのを鋳造を可能にするガーディアンアカウントの有効な署名を偽造しました。その後、攻撃者は93,750トークンを、自らがイーサリアム・ブロックチェーン上でコントロールするプライベートウォレットに転送しました。WormholeのGitHubのアクティビティからは、このセキュリティ上の脆弱性が3週間前にコードベースで修正されていたものの、本番環境には導入されていなかったことが判明しています。

Crypto.com

種類：CEX

インシデント発生日：1月17日

損失：3,400万ドル

悪用箇所：顧客のアカウント

TTP：Crypto.comのユーザー483名の口座から、資金が不正に引き出されました。トランザクションは、2要素認証による認可なしに承認されていました。これを受けて、Crypto.comはすべての2要素認証トークンを失効させ、すべてのユーザーセッションをクリアして、ログインと2要素認証への登録を強制しました。ユーザーは、事件が特定されてから14時間の間、引き出しができなくなりました。窃取された資金のうち1,520万ドルはEtherトークンで、これらはその後Tornado Cashを通じて洗浄されました。Flashpointのアナリストによると、この記事を書いている時点では、資金は回収されていないとのことです。

暗号資産のキャッシュアウト（現金化）

暗号資産を利用して現金を入手する脅威アクターは、世界中の規制機関や法執行機関による監視が強化されたことにより、2022年には複数の課題に直面することになりました。2022年を通じて、いくつかの主要な暗号資産関連サービスがテイクダウンされたほか、暗号資産トランザクションに依存するアンダーグラウンドサービスも複数テイクダウンされました。

・4月5日、ドイツの法執行機関は不法なマーケット兼ミキサーサービスであるHydraを閉鎖させました。Hydraは、ミキサーおよびマーケットとして、脅威アクターが不正商品の購入や資金洗浄に使用する非常に人気の高いワンストップショップでした。Hydraの閉鎖後、脅威アクターは、RuTorのようなフォーラムをはじめとする他の場所に集まり、キャッシュアウトの手段を探すようになっています。

・5月には、米国財務省外国資産管理室（OFAC）が人気のミキシングサービスであるBlender.ioに制裁を科し、Blender.ioはOFACから制裁を受けた最初のミキサーとなりました。

・8月には、OFACはミキサーのTornado Cashに制裁を科し、Tornado CashはOFACによって制裁された最初の分散型プロジェクトとなりました。2019年以降に洗浄された暗号資産のうち、70億ドル以上がTornado Cashで洗浄されていた上、Lazarus Groupのキャッシュアウト活動が可能になった背景には、同ミキサーの存在がありました。

制裁の余波で、脅威アクターは、P2P取引所Localbitcoinsを使用するなど、P2Pの暗号資産キャッシュアウトオペレーションにより大きく依存するようになりました。

不法な資金調達と過激派グループ

2022年を通じて、Flashpointのアナリストは、暗号資産による匿名の寄付を頼みの綱としている複数の過激派グループを追跡しました。ほとんどの過激派グループは主にビットコインを寄付の受け取りのためのコインとして使用していますが、2022年には、過激派グループが徐々にアルトコイン（特にUSDTのようなステーブルコイン）を受け入れるようになっていることも示されました。

過激派グループは、さらなる資金を集めるために、ソーシャルメディアアプリケーションのパブリックチャンネルおよびプライベートチャンネル内で、頻繁に自分たちの暗号資産アドレスを広めていました。重要なのは、このように暗号資産アドレスを公開すると、匿名化されたアドレスのプライバシーが失われ、アナリストがアドレスへの資金の流れやアドレスからの資金の流れを監視することが可能になるという点に留意することです。これを踏まえると、脅威アクターグループが自らのアドレスを公開する場合、アクターは自身の活動上の安全性よりも、アドレスの拡散やブランディングを優先しているということがわかります。

暗号資産とロシア・ウクライナ間の戦争

現在進行中のロシア・ウクライナ間の戦争において、ウクライナはロシアに対抗する取り組みへの支援を募るため、戦争開始当初に人道的・軍事的支援を得る目的で政府所有の暗号資産アドレスを宣伝しはじめました。3週間足らずで、6,000万ドル以上がウクライナの戦争関連資金として寄付されました。10月下旬の時点で、ウクライナ政府は戦争のために1億ドル以上相当の暗号資産を調達しています。ウクライナはそれらの資金を防弾チョッキ、ドローン、テクノロジー機器などの軍事機器の購入に充てています。

Flashpointのアナリストは以前、ロシアのネオナチや白人至上主義派の傭兵集団が、対ウクライナ用の資金調達に暗号資産を使用していることを報告しました。こういったグループが受け取る資金はウクライナ政府のものよりもはるかに少額ですが、世界中の支持者から寄付を募るために、同じ手法でアドレスが伝達されているようです。Flashpointは、戦争の悪評を利用し、Telegramやその他のソーシャルメディアサービスでウクライナへの寄付に見せかけて自分たちのために不正に資金を集める詐欺師が大量にいることを確認しています。

Lazarus Group

2022年に暗号資産プラットフォームを標的にした脅威グループの中で、最も活動量が多く、目立っていたのは、北朝鮮が支援する高度持続的（APT）脅威グループLazarus Groupであり、2022年に盗まれた暗号資産のうち7億ドル以上の窃取に、同グループが関与していました。このAPTグループは、北朝鮮の政府と軍によって支援されています。Lazarus Groupは、2022年に行われた、Horizon BridgeとRonin Bridgeのハッキングを含むいくつかの有名な暗号資産強奪に関与していました。さらに、ミキサーであるBlender.ioとTornado Cashは、Lazarus Groupがこれらのミキサーを使用して4億7000万ドル以上の不正な収益を洗浄したことに関連して、OFACによる制裁を受けました。Lazarus GroupのTTPには、インサイダーの利用、高度なフィッシング詐欺の利用、認証情報を盗むマルウェアの展開、および取引所における公開された脆弱性の悪用が含まれます。

2023年の暗号資産関連脅威に備えるために

FTXやTerraのLUNAなど、大規模な暗号資産組織の経営破綻や崩壊により大衆の暗号資産への信用が失われていったとしても、暗号資産はおそらく、制裁を回避したり、政府や過激派グループへの金銭的寄付をクラウドソーシングしたりするための実行可能な選択肢であり続けるでしょう。Flashpointのサイバー脅威インテリジェンスが、暗号資産関連リスクをより深く理解する上でどう役立つのかについてもっと詳しく知りたい方は、無料トライアルにお申し込みください。