「ダークサイド」のビットコインが移動
ブロックチェーン分析企業Elliptic社は22日、米国企業にランサムウェアを利用した大規模なハッキング攻撃を行ったグループ「ダークサイド(DarkSide)」が保有する700万ドル(約8億円)相当のビットコインが動き出したと発表した。
5月に、米国最大規模の石油パイプラインを運営するコロニアル・パイプライン社がランサムウェア攻撃を受け、パイプラインの稼働を一時的に停止していた。この攻撃にも、ロシア語圏のグループとされるダークサイドがシステムを提供していた。
この事件に関しては、米国当局が、75BTCの内、63.7BTCを押収することに成功しているが、それまでにもダークサイドは約50件の被害をもたらしており、ビットコインによる身代金を9,000万ドル(約100億円)相当得ていたとされる。
ランサムウェアとは
ハッキングを仕掛けたうえで、元の状態に戻すことを引き換えに金銭を要求するマルウェアのこと。「身代金要求型マルウェア」とも呼ばれる。感染すると、他人の重要文書や写真ファイルを勝手に暗号化したり、PCをロックして使用を制限した上で、金銭を要求してくる。
▶️仮想通貨用語集
ダークサイドが身代金として得たビットコインが入っていたこのウォレットは、同グループが5月13日に活動停止して以来、休眠していた。
出典:Elliptic
Elliptic社は上図のように、ダークサイドの保有していた約108ビットコインが、様々な異なるウォレットに移動されていく様子を説明した。この移動プロセスはまだ進行中で、少量のビットコインはすでに、いくつかの仮想通貨取引所に送金されているという。
米国政府の取り締まりとタイミングが一致
この新たな移動は、FBIなどの米国政府機関が中心となって、ランサムウェアグループ「REvil」を取り締まったタイミングと一致している。REvilは、ハッカーと協力して世界中の企業のコンピューターに不正侵入してきたグループで、ダークサイドとも強く結びついているとされる。
米国政府はREvilの活動を阻止しようと動いていた。ロイター通信によると、米国の法執行機関と諜報機関のサイバースペシャリストは、REvilのコンピュータネットワークにハッキングし、そのサーバのうち、幾つかをコントロールすることに成功したという。
REvilの指導者は先週末「何者かによりサーバーに侵入された」と報告し、そのウェブサイトはインターネット上から姿を消していた。ホワイトハウス国家安全保障会議の広報担当者は、米国政府が民間企業や海外の組織とも協力しながら、ランサムウェア対策に取り組んでいるとコメントしている。
サイバーセキュリティ企業ProferoのOmri Segev Moyal CEOも、ダークサイドのビットコインが移動したことに言及。
The 107* BTC from Colonial PipeLine ransomware has moved to a new wallet: "bc1q2sewgrnau4e4gvceh8ykzf8lqxawpluu0k0607" > "bc1qvya30xewdeatneqj90ypvzq4kjzgyz8cnvu7rm"
— Omri Segev Moyal (@GelosSnake) October 22, 2021
Transaction hash: "8fe2131dd4b4be77034c3af4928415c2daffed950572d270d5e9dd1aa6b71088"
Feds control wallet?
仮想通貨取引所などに向けて、該当するビットコインウォレットからの送金をブロックするよう注意を呼び掛けた。
また「この資金を現在コントロールしているのが連邦政府なのか、REvil関係者なのかは不明」だとしつつ、このように分割送金して出所を曖昧にすることは「マネーロンダリングに典型的な手法」だと続けている。
Elliptic社も、仮想通貨取引所などは、同社の取引やウォレットの追跡機能により、ダークサイドのウォレットから放出された資金に警戒することができるとしている。
