送金指示元はフランスとドイツのIPアドレス、“Zaif犯人追跡ハッカソン”が大阪府警に提出
Zaif不正出金事件の犯人追跡につながる証拠、JDDやエルプラスが特定
2018年11月05日 15時45分更新
仮想通貨ネットワークに“罠”を仕掛け、犯人の動きをキャッチ
今回の追跡プロジェクトで肝となったのは、仮想通貨ネットワークにおける次の3つの特徴だ。
・仮想通貨を送金すると、その送金情報(トランザクションIDや送金先/送金元の仮想通貨アドレスなどを含むデータ、以下トランザクションと記す)が、送金したノードから別のノードに送信される
・ZaifのホットウォレットからMonacoinを不正出金した犯人の仮想通貨アドレスはブロックチェーンに記録されており、誰でも確認することができる
・Monacoinネットワークを構成するP2Pノードは、立ち上げ直後はまず日本のノードに接続するが、その後は一番レスポンスの早い、ネットワーク的に(つまり地理的に)近場のノードを自動で検出、接続し続ける
以上をふまえると、“罠”となる多数のノードを世界中に分散配置しておけば、犯人が仮想通貨アドレス(盗み出したMonacoinのある口座)を使ってMonacoinを別口座に動かそうとしたタイミングで、罠ノードがそのトランザクションをキャッチできる可能性が生まれる。トランザクションをキャッチできれば、少なくとも犯人が使ったノードのIPアドレスを割り出すことができ、しかもキャッチした罠ノードと地理的に近い場所にいることも推定できる。
ただし、多数のノードをホップ(経由)したトランザクションをキャッチしても、送信元IPアドレスの洗い出し作業が難しくなる。送信元の特定という観点では、犯人の使うノードと罠ノードが1ホップ(つまり直接)または2ホップでつながることが望ましい。
そのため追跡プロジェクトでは、Monacoinネットワークのノード数の過半数を占める222インスタンスの罠ノードを用意することに決めた。さらに、これらの罠ノードはソフトウェア(monacoind、Monacoinのやりとりを行うミドルウェア)の改修によって通常ノードの100倍の接続能力を持たせ、犯人の使うノードと2ホップ以内で接続される可能性を高めている。これを、地理的分散も加味しながらMonacoinのP2Pネットワークに一気に追加した。ノードの急増で犯人に気付かれる可能性もあったが「犯人がノードの増減をウォッチしていない可能性にかけた」(杉浦氏)という。
犯人の動き(他口座への送金)をキャッチする仕組み。青地部分は新規開発/改修したモジュール(JDDプレスリリースより)
大量の“罠”ノードをAWS上に分散配置した
収集したトランザクションのデータを集計/分析可能にした
この罠ノードのソフトウェア(改修版monacoind)では、キャッチしたトランザクションはすべてMQTTサーバーに送信するようになっており、そのデータを記録したCSVファイルをBigQueryに取り込むことで集計や分析ができる。これらの仕組みは、TokyoWesternsのメンバーが中心となって開発を進めた。TokyoWesternsの市川氏は、開発において強く意識したのは「効率」だと語る。
「たとえばBigQueryに取り込むトランザクションの数が非常に多かったため、同時並行で処理できるよう効率化する必要があった。また、1つの罠ノードで受け取るトランザクションがたとえ小さくても、同じトランザクションを他の罠ノードでも受け取ればそれを記録するため、記録される情報量は膨大。それをBigQueryでいかに効率よく検索できるかは考えなければならなかった。(同じくTokyoWesternsの)薮くんが出した原案に徳重くんや僕の案を付け足しながら全員で案を揉みつつ、開発を進めた」(市川氏)
また罠ノードの配置や集計/分析環境の構築、展開といったクラウドインフラ周辺の整備については、JDDの楠氏、小野氏が担当した。罠ノードの設置にはAmazon Web Services(AWS)を、また集計/分析環境にはGoogle Cloud Platform(GCP)を採用している。罠ノードの設置にかかる費用はJDDが負担した。
罠ノードを仕掛けてからおよそ1か月後の10月20日と22日、犯人の仮想通貨アドレスから別口座への送金が行われた。追跡プロジェクトでは送金指示を出したノードを特定し、そのノードに対する該当トランザクションの最初の送信元(送金指示元)IPアドレスの特定に成功した。送金指示元の5件中4件はフランス、1件はドイツだった。また犯人が使用したノードが、不正出金発生の10日ほど前の同時期に立ち上げられていることもわかっている。
