2020年7月31日、アメリカ司法省は、7月15日に発生したTwitterハッキング事件に関与したとみられる3名を逮捕したと発表しました。そのうちの以下2名は、カリフォルニア州北部地区連邦地裁で複数の容疑がかけられています。
- Mason Sheppard (別名: Chaewon) − イギリスボグナーレジス在住、19歳
- Nima Fazali (別名: Rolex) − アメリカフロリダ州オーランド在住、22歳
“Kirk”という偽名で知られ事件の主犯格であった3人目の被告は未成年であり、在住地のフロリダ州タンパで第13巡回区のAndrew Warren検事によって、30件もの重罪で訴追されました。
本記事では、法執行機関が事件捜査のためにブロックチェーン分析をどのように用いたか、ビットコインの透明性がいかにそれを可能としたかを解説します。
Twitterハッキング事件の背景
事件捜査によれば、Kirkと名乗るハッカーが、少数のTwitter従業員に対して電話を介したスピアフィッシング攻撃を仕掛け、Twitterの管理パネルのアクセスを奪取したことが分かっています。Kirkは、@Bや@joeといった”OG Twitterハンドル”と呼ばれる短い名前のアカウントを転売するために、このアクセス権を利用しました。このOGアカウントは、オンラインコミュニティで一種のステータスシンボルとなっており、数千ドルで売り渡されることもあります。
New York Timesのレポートにもあったように、Kirkは、そのようなソーシャルメディアアカウントを売買するマーケットであるOGusers.comにて、仲介者であるSheppard(ユーザ名: Chaewon)とFazeli(ユーザ名: Rolex)を介して、奪取したアカウントを売却しました。司法省の訴状によれば、Sheppardは、いくつかのアカウントをKirkから購入した後、OGusersフォーラムのユーザに対し、OGアカウントを購入するには”ever so anxious”と名乗るユーザ − 今となっては実際はSheppard(Chaewon)と同一人物であることが判明している − にDiscordチャットでコンタクトを取るように促したとされています。2人目の”lol”と名乗るDiscordユーザも仲介者であるとみられていますが、未だ本人特定には至っていません。
数件のTwitterアカウントを売ったあと、Kirkは奪取したTwitter管理パネルのアクセス権を用いてさらに荒稼ぎを企み、著名人のTwitterアカウントを乗っ取ってビットコイン詐欺を行いました。捜査官がどのようにしてKirkの身元を特定したかは公に明かされていませんが、どのようにしてブロックチェーン分析がMason Sheppard(Chaewon / ever so anxious)の本人特定につなげられたかについて、以下に記します。
ブロックチェーン分析による全体像の把握
Sheppard(Chaewon)は、自分のためにOGアカウントをKirkから購入し、他のユーザの代理で同様の取引の仲介を行いました。捜査官は、Chainalysis Reactorを用いて、ベースアドレスbc1qdme7m3zy450m5gl0w9n2mrh8t8h6448xfzdlvvを持つウォレットからKirkのウォレットへの、合計約3.69BTCにもなる一連の送金を分析しました。このKirkへの送金のタイミングは、KirkがChaewon/ever so anxiousにDiscord上で送金依頼をしたタイミングと一致していたため、そのベースアドレスのウォレットがChaewon/ever so anxiousに紐づくものだということが判明しました。さらに、送金タイミングや送金額、ユーザコメントなどの相関を分析すると、OGusers.comのフォーラムユーザからのTwitterアカウント購入資金と考えられる複数の送金が、その”bc1qdme…”のウォレット(以下、「Chaewonウォレット」)に対して発生していたことが明らかになりました。
ここまで分かれば、Chainalyis Reactorを利用して、ブロックチェーン上の取引、ひいては現金化に使われたサービスとの取引 − Chaewonの特定の手がかりとなる − も含め、Chaewonウォレットの全ての取引履歴を確認することができます。捜査官は、Chaewonウォレットが、2つのアカウントに紐づくBinance取引所のアドレスと多数の取引を行っていたことを見抜き、Binanceに照会しました。それにより、それらのアカウントは、[email protected]のメールアドレスで登録され、Mason Sheppardが管理していたものだということが判明しました。
捜査ではさらに、OGuser.comのサイトが数ヶ月前にハッキングを受け、そのデータベースの情報が一般公開されていたのを利用し、全てのフォーラムユーザとそのアクティビティのデータを入手しました。このデータベース情報により、Chaewonのアカウントに紐づくIPアドレスが”Mas”という別のOGusers.comのアカウントにも関連しており、過去の投稿を確認すると”Mas”はChaewonと同一人物だったことが分かりました。Binanceアカウントと同様に、”Mas”はOGusers.comでも同じメールアドレス”[email protected]”を使っていたのです。最後に、捜査官はCoinbase取引所に対し、当該メールアドレスに関連するアカウント情報について照会を行いました。それを受け、Coinbaseは関連するアカウントがあることを確認し、Mason Sheppardの運転免許証や生年月日、住所などのKYC(本人確認)情報を提示しました。また、ハッキングを受けたOGuser.comのデータベースから、Chaewonが他のOGusers.comユーザからビデオゲームを購入する際にやりとりされたメッセージとビットコインアドレス188ZsdVPv9Rkdiqn4V4V1w6FDQVk7pDf4を確認し、Chaewonウォレットからこのアドレスへの送金を分析したことで、これらのアドレスとウォレットの繋がりが判明しました。
これら全ての証拠から、Mason SheppardはChaewonアカウントの主であり、KirkのTwitterアカウントの販売に関わっていたことが明らかとなりました。
Twitterハッキング事件から得られた重要な教訓
Twitterハッキング事件は、ソーシャルエンジニアリングやセキュリティ上の教訓に加え、社会を脅かす犯罪ネットワークを追跡するために、暗号資産業界と政府が協力することの必要性を浮き彫りにしました。
- ブロックチェーン上の資金追跡は、複雑な捜査において重要な手がかりとなること
Mason Sheppardは、Kirkや他の共謀者と複数のプラットフォームでやりとりするために複数の異なるペルソナを使い分け、本人特定に繋がる情報を一切オンライン上に載せませんでした。しかし、”Chaewon”や”ever so anxious”といったユーザ名で投稿したビットコインアドレスの取引を分析して活動を追うことで、捜査に協力的な2つの取引所であるCoinbaseとBinanceにてMason Sheppardのアカウント情報の照会につなげることができました。もしSheppardがこのような取引を法定通貨で行っていたら、捜査は更に難航していたことでしょう。その場合、ビットコインと同じようにパブリックな情報から足取りを追うことはできないからです。
- 不正が発覚した際、速やかに暗号資産(仮想通貨)がどう使われていたかを把握することが、今まで以上に重要であること
より多くのユーザがオンラインでの活動を行い、社会においてソーシャルメディアがますます重要な役割を果たしている中で、暗号資産(仮想通貨)は善人にも悪人にも一層利用されるようになっています。違法な活動を阻止するためには、政府や協力者が調査ツールを持つことが不可欠です。 - 犯罪者がオンライン上で匿名のままであるとは限らないこと
これは、暗号資産(仮想通貨)を利用し、オンライン上で匿名の状態を維持できると考えている犯罪者に対するメッセージとなるでしょう。本件のように、若い人々がこのような犯罪ネットワークに巻き込まれ、ソーシャルメディアアカウントの取引を超えて、国の安全を脅かす問題にまで足を踏み入れてしまったのはとても残念なことです。
法執行機関がChainalysisを利用してどのようにTwitter事件を解決したかについて、より詳細に知りたい方がいらっしゃいましたら、是非こちらからお問い合わせください。実際にReactorのグラフをお見せしながら、ご質問にお答え致します。