この430万ドル相当の暗号資産に関する自宅侵入事件は、たった一度のデータ漏洩が誰のウォレットや安全をも危険にさらす可能性があることを示している

その手口は一度はうまくいくほど単純だった。配達員のふりをしてドアをノックし、銃を突きつけて侵入し、脅迫のもとで秘密鍵を引き出す。

2024年6月、英国の住宅で3人の男がこのシナリオを実行し、430万ドル以上の暗号資産を持ち去った。

5か月後、Sheffield Crown CourtはMetropolitan Policeがほぼ全額を回収した後、Faris Aliと2人の共犯者に判決を下した。

この事件は、ブロックチェーン調査員ZachXBTによって記録されており、業界が避けてきた問いの参考事例となっている。すなわち、「純資産がブラウザ拡張機能に保存され、自宅住所が公開記録となっている場合、運用上のセキュリティとはどのようなものか？」という問いだ。

この強盗は、データ漏洩と被害者の認識の間のわずかな隙間で発生した。

ZachXBTが入手したチャットログには、犯人たちが襲撃の数時間前にアプローチを話し合い、被害者の建物の写真を共有し、ドアの外にいることを確認し、カバーストーリーを調整している様子が記録されている。

ある画像には、3人全員が配達員の制服を着ている様子が写っていた。数分後、彼らはノックした。被害者は荷物を期待してドアを開けた。

その後、銃を突きつけられたまま、2つのEthereumアドレスへの強制送金が行われた。盗まれた暗号資産の大部分は、警察が介入するまでそのウォレットで休眠状態だった。

ZachXBTはオンチェーン・フォレンジックと流出したTelegramの会話から、この作戦をつなぎ合わせた。

チャットログには、作戦計画と前科が明らかになっていた。強盗の数週間前、Faris Aliは保釈書類の写真をTelegramの友人に投稿し、本名を明かしていた。

盗難後、何者かがENSドメインfarisali.ethを登録し、オンチェーンメッセージを送信した。これはEthereum台帳に埋め込まれた公開の告発だった。

ZachXBTは調査結果を被害者と共有し、被害者はそれを当局に伝えた。2024年10月10日、ZachXBTは調査の全容を公開し、11月18日、Sheffield Crown Courtは判決を下した。

この事件は、ZachXBTが指摘したより広範な傾向に合致している。すなわち、ここ数か月、西ヨーロッパで暗号資産保有者を標的とした自宅侵入事件が他地域よりも高い頻度で急増しているというものだ。

手口は様々で、SIMスワップによるリカバリーフレーズの流出、ウォレット残高を暴露するフィッシング攻撃、保有資産を物理的な場所に結びつけるソーシャルエンジニアリングなどがあるが、最終的な目的地は一貫している。

攻撃者がターゲットが多額の資産を保有し、居住地を特定できると確信した時点で、物理的な強要に傾く計算となる。

「配達員」戦術が突く隙

配達員の変装が有効なのは、物流インフラへの信頼を利用するからだ。宅配業者のためにドアを開けるのは日常的な行動であり、セキュリティ上の過失ではない。

犯人たちは、自宅侵入で最も難しいのは警報や逃走を引き起こさずに侵入することだと理解していた。

制服と荷物は、玄関先に近づき、待つためのもっともらしい理由を与える。ドアが開いた時点で、すでに奇襲効果が発揮されている。

この戦術は物理的な存在が必要で、法医学的な痕跡を残し、被害者がドアを開けなければ破綻するため、大規模には適用しにくい。しかし、あらゆるデジタルセキュリティ層を迂回できる。

マルチシグウォレット、ハードウェアデバイス、コールドストレージも、攻撃者がリアルタイムで取引署名を強要できる場合には無力だ。

弱点は暗号技術ではなく、秘密鍵を持ち、データ漏洩や公開記録検索で特定されうる固定住所に住む人間そのものだ。

ZachXBTの調査は、この攻撃が「暗号資産データ漏洩」に端を発していることを突き止めた。漏洩によって、ウォレット保有情報と物理的な場所が結びつけられた。

正確な情報源は特定されていないが、法医学的なタイムラインから、攻撃者は到着前にターゲットの住所とおおよその保有額を把握していたことが示唆されている。

オペレーションセキュリティのコストと変化

この事件がテンプレート化すれば、高額暗号資産保有者はカストディや情報開示の慣行を見直す必要があるだろう。

即効性のある教訓は防御的なものだ。保有資産を分散し、個人情報を公開データベースから消去し、SNSでウォレット残高について話さず、予期せぬ訪問はすべて潜在的な脅威とみなすこと。

しかし、これらの対策は利便性、透明性、そしてパブリックな暗号資産ディスカッションへの参加能力にコストを課す。

長期的な課題は、保険市場が介入するかどうかだ。従来のカストディプロバイダーは責任補償や物理的なセキュリティ保証を提供するが、セルフカストディにはそれがなく、これが数少ない欠点の一つとなっている。

自宅侵入が予測可能な攻撃ベクトルとなれば、保有資産が一定額を超える個人向けに、保険付きサードパーティへのカストディ委託やプライベートセキュリティサービスへの需要が高まるだろう。

どちらの解決策も安価ではなく、セルフカストディが本来保証する主権を手放すことになる。

データ漏洩は上流のリスクだ。中央集権型取引所、ブロックチェーン分析企業、税務申告プラットフォーム、KYCを必要とするWeb3サービスはすべて、アイデンティティと保有資産を結びつける記録を保存している。

これらのデータベースが流出すると、犯罪者がウォレット残高と公開住所記録を照合できる「ショッピングリスト」が生まれる。

ZachXBTの「個人情報がオンラインで流出した際は監視せよ」という助言は正しいが、被害者がリアルタイムで漏洩を追跡するツールと警戒心を持っていることが前提だ。大半はそうではない。

もう一つの制約は捜査能力だ。ZachXBTの調査はこの事件で決定的だったが、彼はプロボノで活動する民間人だ。

ほとんどの法執行機関は、外部の助けなしに盗まれた暗号資産を追跡するオンチェーン・フォレンジック能力を持たない。Metropolitan Policeが今回成功したのは、調査結果が完全な形で手渡されたからでもある。

何が問われているのか

この事件が提起するより大きな問いは、「セルフカストディが多額資産保有者のデフォルト推奨であり続けられるか」ということだ。

暗号資産業界は10年にわたり、個人が自分の鍵を管理すべきであり、資産の主権は運用上の負担に値すると主張してきた。

その主張は、脅威モデルが取引所の破綻や政府による差し押さえの場合には有効だ。しかし、脅威モデルが配達員の制服を着た男と、流出データベースから引き出された住所リストと銃である場合、その主張は弱まる。

高額保有者がセルフカストディが許容できない物理的リスクをもたらすと結論づければ、資産は保険付きの機関プラットフォームに移され、業界は分散化を安全性と引き換えにすることになる。

セルフカストディを維持しつつ、プライバシーやセキュリティインフラに多額の投資をすれば、暗号資産は偏執的で資金力のある人々のサブカルチャーとなる。

Sheffield Crown Courtの判決で一つの章は終わった。攻撃者は拘束され、被害者は資金を取り戻し、ZachXBTは暗号資産犯罪アーカイブに新たなケーススタディを加えた。

しかし、システム上の脆弱性は残る。銃を突きつけられて1時間以内に多額の資産が引き出される限り、またデータ漏洩がウォレット残高と自宅住所を結びつけ続ける限り、どれだけ暗号技術を強化しても、鍵を持つ人間を守ることはできない。

この430万ドルの暗号資産自宅侵入事件は、たった一度のデータ漏洩が誰のウォレットと安全をも危険にさらすことを示している、という記事はCryptoSlateに最初に掲載されました。