概要：LastPass侵害と仮想通貨窃盗事件

ブロックチェーン情報企業TRM Labsの新たなフォレンジック分析により、ロシアのサイバー犯罪者が2022年のLastPass情報漏洩に関連して、3500万ドル（約51億円）以上の盗まれた仮想通貨を洗浄したことが明らかになりました。

2022年のLastPassに対する攻撃では、世界中の約3000万人の顧客の暗号化されたパスワード保管庫が流出しました。当初は暗号化によって保護されていましたが、攻撃者はより強度の低いマスターパスワードをオフラインで解読し、数年にわたる資産窃盗の機会を作り出しました。特に、2024年から2025年にかけて新たな窃盗の波が発生し、仮想通貨を保有するユーザーが標的とされました。

資金洗浄の手口と追跡

TRM Labsの分析によると、盗まれたビットコインのうち約2800万ドルは、取引の追跡を困難にする仮想通貨ミキサーであるWasabi Walletを通じて洗浄されました。さらに700万ドルは、同様の資金洗浄経路をたどっていたことが確認されています。これらの盗まれた資金は最終的に、2024年にOFACによって制裁対象となったCryptexと、サイバー犯罪活動に歴史的に関連付けられているAudi6という、2つのロシアの高リスク取引所に集約されました。

攻撃者の特徴とTRMの「デミキシング」技術

TRMの研究者たちは、「攻撃者は一貫した運用上の特徴を使用していた」と説明しています。盗まれたビットコインの秘密鍵は同一のウォレットソフトウェアにインポートされ、認識可能な取引パターンを生み出していました。ビットコイン以外の資産は、ミキシングサービスに預けられる前に、スワップサービスを通じて迅速にビットコインに変換されていました。これは、理論的には犯罪者の身元を隠すための手法です。

しかし、TRM独自の「デミキシング」技術は、ミキサーでは隠しきれない行動上の痕跡を明らかにしました。これにより、ミキシング前後の活動が同一の実行者に結びつけられました。Wasabi Walletを介したCoinJoinによる難読化にもかかわらず、研究者たちはクラスタリングパターン、引き出しのタイミング、ウォレットの相互作用を特定し、組織化されたロシアのサイバー犯罪インフラを指し示しました。

残された教訓と継続的な脅威

今回の調査結果は、2つの重要な洞察を浮き彫りにしています。

• 第一に、攻撃者が一貫したインフラを長期間維持しているため、ミキシングサービスの信頼性は低下しつつあります。
• 第二に、ロシアの取引所は、国際的な法執行機関の圧力を受けているにもかかわらず、数百万ドルに及ぶ違法な資金移動を助長する、グローバルなサイバー犯罪のシステム的なイネーブラーとして機能し続けています。

Wasabiからの初期の引き出しはウォレットからの流出後数日以内に行われており、攻撃者自身が資金洗浄を指揮していた可能性が高いことを示唆しています。この運用継続性は、2022年の最初の侵害がロシアを拠点とする実行者によるものであるという確信を強めています。しかし、2022年の最初の侵害の決定的な帰属はまだ確認されていません。

LastPassの事例は、単一の認証情報侵害が何年にもわたって影響を及ぼし、サイバー犯罪のエコシステムがいかに地理的な金融インフラを利用して盗まれたデータを大規模に収益化するかを示しています。影響を受けた2500万人のユーザーにとって、脅威は依然として活動しており、侵害された認証情報が永続的な長期リスクを表すという厳しい現実を改めて認識させます。

---

元記事: https://gbhackers.com/hackers-steal-35m-in-cryptocurrency-following-lastpass-breach/