暗号資産(暗号通貨、仮想通貨)のブライバシーには、逆説的なところがある。改ざんできない性質をもつブロックチェーンの帳簿は、地図のような役割と、匿名性を保つ覆いのような役割の両方をもっているからだ。
ビットコインの動きを、あるアドレスから次のアドレスへとたどることは簡単である。しかし、そのアドレスにある数字と文字から構成される連なりを現実世界の身元に結びつけることができるのは、暗号資産と従来型の通貨との取引ができる暗号資産取引所など、ごく一部の場所に限られる。
だからこそ、暗号資産取引所のユーザーデータがオンラインにいきなり大量投下されてしまうと、単なる自社データの漏洩では済まない事態になる。金銭の秘密を解読する極めて大量の鍵を流出させてしまったのと同じだからだ。
この夏、まさにそれが現実になった。米連邦破産法11条に基づく会社更生手続きを2022年7月上旬に申請した暗号資産レンディング(貸し付け)企業のCelsius Networkが、ユーザーの膨大な取引データを、裁判関連書類を通じたまさかのプライバシー侵害によって漏洩させたのである。
破産手続きを進めるCelsiusの弁護士チームが10月5日に裁判所に提出した公開資料には、22年4月から同社が取引を停止した6月までのユーザー50万人の取引データが含まれていた模様だ(なお、破産手続きのなかで同社の創業者と経営幹部が、同社の破産状態を明らかにする前に数百万ドル相当の暗号資産を引き出したことが判明し、批判されている)。
取引データを含む資料が裁判記録のサイトに掲載
取引データは、14,500ページにも及ぶPDFファイルの形式で、裁判記録のウェブサイト「PACER」に一時掲載された。後に取り下げられたが、その前にGizmodoが「Internet Archive」にコピーを作成し、それが幅広くダウンロードされたのである(Internet Archive上のコピーは後に削除された)。
投下されたデータには、各支払いの日付や額と合わせて、ユーザーの名前と取引の詳細が含まれている。暗号資産のアドレスは含まれておらず、送り手と受け取り手を暗号資産のブロックチェーン上で特定できるものではない。しかし多くのケースで、小数点以下10数桁以上までの正確で他と重複しない支払額が含まれており、支払額をブロックチェーンの記録と突き合わせることができる。
要するに、今回のデータ漏洩は暗号資産の流れを追うプロとアマチュア双方のトレーサーにとって、まれに見る贈り物になった。Celsiusのユーザーの取引を見られるだけでなく、ユーザーの資金を特定して、ブロックチェーンにおけるその動きを追跡することができるからだ。
不正に得た仮想通貨の現金化にCelsiusを使用していた詐欺師やハッカーなどの違法なユーザーがいた場合、その特定に新たな可能性が開くかもしれない。一方で、詐欺師や泥棒がこのデータを調べて、Celsiusのユーザーのほかのアカウントと結びつける可能性もあり、保有する暗号資産がターゲットにされる可能性もある。
「最悪の取引所データ侵害のひとつ」
「これは、マウントゴックス事件以降に起きたなかで最悪の取引所データ侵害のひとつと言えるでしょう」と、セキュリティ・コンサルティング会社のConvex Labsで調査責任者を務めるニック・バックスは指摘する(ビットコイン初期の取引所であるマウントゴックスは、14年にハッキングで破産に追いこまれ、取引データベースがオンラインに流出した)。
バックスは今回の漏洩をマウントゴックス事件になぞらえる一方で、暗号資産の追跡に力を入れるアナリストにとっては「夢のような状況」だとも語る。
「誰かの残高、入金額、出金額を見つけて、それをすべてブロックチェーンに関連づけられるのです」と、バックスは語る。「いいことにも使えますが、悪用される可能性も確実にあります。いままさに犯罪者たちは残高が特に多い人を調べているはずです」
暗号資産の保有が多い人が特定されたら、電子メールを使ったスピアフィッシングや詐欺、さらには直接的な恐喝の標的になる恐れがある。
捜査機関や政府機関、民間企業の暗号資産の追跡担当者は、調査の手がかりを求めてCelsiusの資金の出入りを追っているようだ。セキュリティスタートアップNAXOの共同創業者のマット・エドマンは、「わたしたちはこのようなデータを収集・分析して調査で使えるようにします。ほかでもそうするはずです」と語る。
エドマンは、マサチューセッツ工科大学の研究者を主体とする非営利のシンクタンク「Mitre Corporation」で、米連邦捜査局(FBI)の仕事を請け負っていた。そのとき、史上最大の闇サイト(ダークウェブ)として知られる「Silk Road(シルクロード)」の創設者のロス・ウルブリヒトの刑事事件の捜査に協力し、暗号資産の追跡をしたことがある。
「暗号資産の追跡において、資金の流れを追う部分はあまり難しくありません」と、エドマンは説明する。「こうした調査で難しいのは、それが誰に帰属するのかを特定することです。つまり、アドレスや取引を、個人とひも付ける部分です。今回のデータは、この部分の鍵になります」
なお、今回の件についてCelsiusにコメントを求めたが、返答はなかった。
無数の“チャンス”が詐欺師たちの手に
Celsiusのデータベースが裁判記録で開示されてからわずか数日で、インターネット上の探偵たちはすでにこのデータから判明した情報を投稿し始めている。Twitterで「ZachXBT」のアカウント名で暗号資産の追跡調査をしている人物は、Celsiusのユーザーでインフルエンサーのラーク・デイヴィスが250万ドル相当の暗号資産を引き出した後、Celsiusを宣伝していたことを示す証拠を漏洩データから見つけて投稿した(デイヴィスにコメントを求めたが、すぐには回答を得られなかった)。また、Celsiusにおける個人の保有額データを検索できるというウェブサイト「Celsiusnetworth.com」が、すでに登場している。
こうしたなか、暗号資産のトレーサーでDeFi(分散型金融)を手がけるViper Labsの開発者であるフェデリコ・ノッテという人物が、Celsiusの裁判関係書類のPDFファイルをスプレッドシートに変換し、Twitterの公開アカウントにリンクを投稿した。ノッテは取材に対し、このデータベースとブロックチェーンの分析とを組み合わせて、主要なトレーディングファンドの取引を解明し、その戦術を学びたいと語っている。
「誰でも調べられることなのです」と、ノッテは言う。「関係する人々にとってはプライバシー上の大きな懸念だとは思いますが」
今回のデータに関しては合法的な分析者や調査者も取り組んでいるが、一部の暗号資産の追跡者は、このデータが犯罪者にとって非常に大きな価値があると強調する。
暗号資産の追跡調査を手がけるEllipticで調査責任者を務めるティボー・マデリンは、「個人情報の量は膨大で、本当に恐ろしくなるほどです」と言う。「詐欺師たちは、このリストを調べて回るでしょう。そして人々の支出額、損失額、取り返したいと思っている額を把握するはずです」
「こうした連中は容赦ない人間です」と、マデリンは暗号資産の詐欺師たちについて語る。「無数のチャンスが詐欺師たちの手に渡ることになるでしょう」
(WIRED US/Translation by Ryo OGATA, Galileo/Edit by Mamiko Nakano)
※『WIRED』による暗号資産(暗号通貨、仮想通貨)の関連記事はこちら。
次の10年を見通す洞察力を手に入れる!
『WIRED』日本版のメンバーシップ会員 募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。