TRM Labsは12月24日(米国時間)、「TRM Traces Stolen Crypto from 2022 LastPass Breach — On-chain Indicators Suggest Russian Cybercriminal Involvement|TRM Blog」において、2022年に発生したLastPassの機密流出に関連する複数の暗号資産窃取がロシアのサイバー犯罪者に関係することを特定したと報じた。

これら事案で窃取された暗号通貨はコインミキサーを通じて資金洗浄されたが、独自のデミックス技術を用いてクラスターを特定。ミキシング前のブロックチェーンのフィンガープリントとミキシング後のウォレット関連情報が、ロシアを拠点とする犯罪組織の運用管理を示唆したという。

  • TRM Traces Stolen Crypto from 2022 LastPass Breach — On-chain Indicators Suggest Russian Cybercriminal Involvement|TRM Blog

    TRM Traces Stolen Crypto from 2022 LastPass Breach — On-chain Indicators Suggest Russian Cybercriminal Involvement|TRM Blog

ミキシングを分離するデミックス技術の確立

TRM Labsの調査によると、攻撃者はLastPassから流出した認証情報を使用して非暗号資産を窃取。これら資産をビットコインに変換すると、使い捨てアドレスを介してWasabiウォレットなどに入金したという。その総額は3500万ドル以上とみられている。

暗号資産のミキシングは2つのパターンが特定されている。初期(2800万ドル)はCryptomixer.io(閉鎖済み)を経由し、Cryptex(ロシアの取引所、米国の制裁対象)へ流入。2025年9月以降(700万ドル)は、Wasabiウォレットを通じてAudi6(ロシアの取引所)に流入したとされる。

  • 窃取された暗号資産の流れ - 引用:TRM

    窃取された暗号資産の流れ 引用:TRM

TRM Labsはロシアの暗号資産取引所が、世界中のサイバー犯罪者の資金洗浄に悪用され続けていると指摘。犯罪を助長する存在だが、これらインフラおよび地理的エコシステムに依存したミキシングは、新しいデミックス技術により活動の分離(帰属の表面化)が可能としている。

近年は暗号資産に関連した犯罪の特定および検挙の事例が報告されている。これら捜査には同様の技術が活用されているとみられ、新しい技術がサイバー犯罪の抑止力として働く可能性がある。いたちごっことの指摘もあるが、被害の減少につながることが期待される。