2020年7月15日水曜日、ジョー・バイデン、バラク・オバマ、イーロン・マスクなど多くの有名人のTwitterアカウントが、Twitter内部ツールへのアクセスを奪取したハッカーによって乗っ取られました。その日の午後、ハッカーは有名人を騙り、「指定のアドレスにビットコインを送れば2倍にして返す」として、以下のスクリーンショットのようなメッセージを投稿しました。

結果として、この日の午後に仕掛けられた詐欺によって12万USドル相当の13.14BTCが詐取されました。ただし、後述するように、その入金額の一部はハッカー自身が関与したものとみられます。

この事件がソーシャルメディアで明らかになってから、Chainalysisは直ちに詐欺に関与するアドレスをラベル付けし、当社製品に反映させました。▼法執行機関が資金の流れを追跡しやすくしたり、▼暗号資産取引所の顧客が詐欺に資金を送ってしまうことや、犯人が取引所で盗んだ資金を現金化することを防げるようにしたりするためです。ブロックチェーン分析はこのような件では極めて重要です。ひいては、本件は、ビットコインのような暗号資産(仮想通貨)がもたらす資金移動を可視化することで、暗号資産を現金や他の従来の価値移転の方法よりも一層安全で透明性のあるものにできると言える、良い例となるでしょう。以下に、Twitter事件で起きたことと盗まれた資金の現況を解説します。

暗号資産詐欺やトラスト・トレーディングに関する基本情報

残念ながら、暗号資産に関わる詐欺は真新しいものではありません。弊社の2020 Crypto Crime Reportでも触れた通り、詐欺は暗号資産関連の犯罪の中で最も大きい割合を占めるカテゴリであり、2019年には全ての違法な取引の74%を占めていました。

暗号資産詐欺は2020年になっても引き続き大きな問題となっています。

今年の前期を振り返ると、詐欺で既に3.81億USドル相当が被害にあっています。2020年の詐欺による被害額は、PlusTokenといったポンジスキームが流行った2019年と比べ、ペースは落ちています。しかし、詐欺が暗号資産関連の犯罪の大きな割合を占めることには変わりありません。まだ報告されていない詐欺の解明や、詐欺に紐づくアドレスの識別、そうした活動のデータへの反映が進むにつれて、2020年前半期で分かっている詐欺による被害額は大きくなる可能性もあります。 

また、今回のTwitterへのハッキングによって発生した詐欺も新しい手口ではありません。ソーシャルメディア上で有名人や会社を騙りユーザに倍返しにするといって送金させる、いわゆるトラスト・トレーディング(信用に基づく取引)詐欺は、ここ何年も続いています。

詐欺やそれに紐づく暗号資産アドレスを報告できるオープンソースデータベースであるCryptoScamDBによれば、トラスト・トレーディングは最も報告の多い詐欺であり、大きな利潤が得られる手口であるとのことです。ただ、今回のTwitter事件では、単に偽のアカウントを作るのでは無く、実際の有名人のアカウントを乗っ取ってそこから発信したという点が、他のトラスト・トレーディング詐欺との大きな違いです。

7月15日の発生事案と盗まれた資金の行方に関する分析

今回の詐欺は午後2時16分に、ハッカーが、暗号資産のトレーダーでありインフルエンサーとしても知られるAngeloBTCのアカウントを乗っ取り、取引のコツを伝えるためのTelegramグループに参加するために、Twitterのダイレクトメッセージ経由で送金をそそのかしたことから始まりました。その後4時間の間に、ハッカーは他の有名人やインフルエンサーのアカウント — 最初は暗号資産業界での有名人が標的だったが、後に一般にも知られる有名人が狙われた — を乗っ取り、指定のビットコインアドレスへの送金をそそのかすよう公にツイートをしました。

乗っ取られたアカウントからのツイートには、この詐欺に関連する以下3つのアドレスのうち1つが含まれていました。

  • bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh (大部分のツイートに含まれていたアドレス)
  • bc1q0kznuxzk6d82e27p7gplwl68zkv40swyy4d24x
  • bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l

結果として、これら3つのアドレスは、約12万USドル相当の13.14BTCを受け取りました。ただし、これらに流れた全ての資金が被害者のものというわけではありません。このうち、約2万ドル相当分はハッカー自身のものとみられる疑わしいアドレスから来ています。これは、より多くの人が送金するように仕向け、ブロックチェーンエクスプローラを使ってアドレスを調べるようなユーザに対する信頼を植え付けることを目的とする、一般的な詐欺の手口と言えます。

その後、詐欺で集められたほとんどの資金は、ビットコインウォレットアドレス1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyFにまとめられました(以降、このアドレスを「キャッシュアウト・アドレス」と呼びます)。このキャッシュアウト・アドレスは2020年5月3日からアクティブとなっており、いくつかの暗号資産サービスとつながりがありました。このアドレスはTwitterで公にされていないにもかかわらず、66,000USドル相当の7.88BTCを受け取っています。

アメリカ東部時間2020年7月22日午後4時30分の時点では、これまでにキャッシュアウト・アドレスに入った計21BTCのうち、9BTCは23個のウォレットに蓄えられたままであり、8BTCがWasabi Walletなどのミキシングサービスに送られ、4BTCがその他のエンティティに流れています。ただし、本件は調査中であるため、資金を受け取ったサービスに関する追加情報は開示できません。

2020/07/23 続報:

上記の情報記載時からも、詐欺師の手に渡った資金はさらに移動しており、アメリカ東部時間2020年7月23日午後1時時点で、約5.5BTCがハッカーの23個のウォレットに蓄えられており、10BTCがミキシングサービス、5.5BTCがその他のエンティティに流れています。

New York TimesのNathaniel Popper氏は、今回のTwitterハッキングに関わったとされる3人のうち2人から話を聞き出しました。その2人は、ソーシャルメディアの初期に作られるような1文字のアカウント名(Twitterの場合、”@G”といったアカウント)通称OGアカウントの乗っ取りについてのDiscordチャットで、そのハッキングに関与した3人は知り合ったと明かしました。また、3人のうち連絡が取れていない1人のメンバーは、ハッキングの主要人物であり、アカウント乗っ取りのために使われたTwitter内部ツールへのアクセスを奪取したのもその人物であるとのことです。

本件については、適切なタイミングで続報します。