概要
ブロックチェーン調査会社TRM Labsは、継続中の仮想通貨盗難が2022年のLastPass(ラストパス)情報漏洩事件に起因すると発表しました。暗号化された保管庫が盗まれた数年後にウォレットが資金を吸い上げられ、その仮想通貨はロシアの取引所を通じてロンダリングされています。
TRM Labsの推計によると、2024年後半から2025年初頭にかけて2800万ドル以上の仮想通貨が盗まれ、Wasabi Wallet(ワサビウォレット)を通じてロンダリングされました。さらに2025年9月の追加攻撃で700万ドルが盗まれています。
LastPass侵害の経緯と影響
2022年、LastPassは開発者環境への侵害によりシステムに侵入され、ソースコードと独自の技術情報の一部が盗まれたことを明らかにしました。その後の関連するセキュリティインシデントでは、攻撃者は以前盗んだ認証情報を使用してクラウドストレージ企業GoToを侵害し、プラットフォームに保存されていたLastPassのデータベースバックアップを盗み出しました。
一部の顧客にとって、これらの暗号化されたパスワード保管庫には、認証情報だけでなく、仮想通貨ウォレットの秘密鍵やシードフレーズも含まれていました。保管庫は暗号化されていましたが、マスターパスワードが弱い、または使い回されていたユーザーはオフラインでの解読の標的となり、この解読作業が侵害以降継続していると考えられています。
2025年には、米シークレットサービスが2300万ドル以上の仮想通貨を押収し、被害者のデバイスがフィッシングやマルウェアによって侵害された証拠がないことから、パスワードマネージャーの侵害で盗まれた保管庫データが解読されて秘密鍵が取得されたと考えていると発表しており、この関連性を裏付けています。
時間差攻撃と巧妙な手口
TRM Labsの報告書によると、仮想通貨盗難攻撃は、侵害直後ではなく、数ヶ月から数年後に波状的に発生しています。これは、攻撃者が保管庫を徐々に解読し、保存されている認証情報を抽出していたことを示唆しています。
TRMは、「この報告書における関連性は、個々のLastPassアカウントへの直接的な帰属に基づくものではなく、2022年の侵害の既知のパターンと、その後のオンチェーン活動を相関させたものだ」と述べています。この分析により、ウォレットの資金流出が元の侵害からかなり後、そして明確な波となって発生したシナリオが浮上しました。
Wasabi WalletとCoinJoinの悪用
ウォレットを空にした後、攻撃者は盗んだ仮想通貨をビットコインに変換し、Wasabi Walletを通じてルーティングし、CoinJoin(コインジョイン)機能を使用して追跡を隠蔽しようとしました。CoinJoinは、複数のユーザーからのトランザクションを単一のトランザクションに結合することで、どの入力がどの出力に対応するかを特定することを困難にするビットコインのプライバシー技術です。
しかし、TRM Labsは、トランザクション構造、タイミング、ウォレット構成の選択などの行動特性を分析することにより、CoinJoinトランザクションを通じて送られた仮想通貨を「デミックス(分離)」することに成功しました。個々の盗難を個別にデミックスするのではなく、調整されたキャンペーンとして活動を分析することで、TRMのアナリストはWasabiへの入金と出金のクラスターを特定しました。
盗難資金の行方と関連性
デミックスされた分析とブロックチェーン上の痕跡により、盗難された資金がその後、ロシア関連の取引所であるCryptexやAudi6を通じて繰り返し現金化されていたことが判明しました。この一貫したパターンは、ロンダリング活動がロシアのサイバー犯罪エコシステム内、またはそれに密接に関連するアクターによって行われたという確信を強めています。
TRMは、盗難とロンダリング活動全体を調整されたキャンペーンとして扱うことで、LastPass侵害を介した仮想通貨盗難攻撃と一致するWasabiの入金と出金のグループを特定することができました。