国内セキュリティー技術者や三菱UFJ系企業の技術者らは2018年11月5日、仮想通貨交換所「Zaif」から同年9月14日に流出した仮想通貨「Monacoin(モナコイン)」の移動を検知し、送金指示を発信したサーバーノードのIPアドレスを検出したと発表した。犯人特定の手がかりになる可能性がある。10月25日に関係当局に情報提供した。

 Monacoinの追跡プロジェクトに参加したのはエルプラス杉浦隆幸社長と、都内の大学生を中心としたCTF(セキュリティー競技)チーム「TokyoWesterns」の徳重佑樹氏、藪雅文氏、市川遼氏、三菱UFJフィナンシャル・グループ子会社Japan Digital Design(JDD)の楠正憲氏、小野雄太郎氏。杉浦氏がプロジェクトを企画し、CTFチームが追跡ソフトなどのコーディングを、JDDがITインフラの準備などを担当した。

Monacoinの取引データを収集・解析

 Zaifはテックビューロが運営する仮想通貨交換所。テックビューロは仮想通貨流出事件が発生した後の10月10日、フィスコ仮想通貨取引所にZaif事業を譲渡することを決めた。事業譲渡は2018年11月22日に実施する予定だ。

 Zaifから流出した仮想通貨はBitcoin(ビットコイン)、Bitcoin Cash(ビットコインキャッシュ)、Monacoinの3種類で、当日の日本円換算で約70億円相当。Monacoinは6億7000万円相当が流出した。

 追跡プロジェクトのメンバーは流出直後の9月23日から24日にかけて、Monacoinの追跡を目的とするハッカソンを実施。その成果を基に、Monacoinブロックチェーンの全取引履歴を共有・管理するサーバー(フルノード)を世界各所に222台設置した。これは当時稼働していたMonacoinのフルノードの数に近く、稼働ノードの半分ほどを管理下に置いたことになる。通常は起動時に8ノードとしか接続しないところ、数百ノードと同時接続できるようノード用ソフトウエア(monacoind)を改修した。

 このノードにログ収集プログラムを組み込んで一種のセンサーとして使い、9月24日夕方からMonacoinのPtoPネットワークを流れる取引データを収集・解析した。

各ノードは受信した取引データの接続元IPアドレスなどの情報をMQTTプロトコルで出力し、MQTTサーバーに集約する
(出所:Japan Digital Design)
[画像のクリックで拡大表示]

 個人がMonacoinを含む仮想通貨を送金する際は、ウォレットアプリから送金指示の取引データをフルノードに送る。そのノードは近隣のノードへ次々に取引データを送り、共有する。最終的に、あるノードが取引データを検証してブロックに格納することで送金が成立する。

 9月24日時点で、Zaifから流出したMonacoinが存在するアドレス(口座)は判明していた。そのアドレスからMonacoinを別のアドレスに移す動きがあれば、取引データは犯人が自ら発信した可能性が高い。その送金指示を検知し、取引データがPtoPネットワーク上で拡散する様子を時系列で捉えれば、どのノードが発信の起点になったかを推定できる。

欧州のノードが送金指示の取引データを発信

 プロジェクトメンバーが1カ月近くMonacoinの取引を監視したところ、10月20日から22日にかけて、流出したMonacoinが計5回の取引に分けて別のアドレスに移動したことが分かった。センサーノードのログを解析したところ、いずれも欧州に設置されたノードが送金指示の取引データを発信していた。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら