供述書分析-FBIは、コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)をどのようにして押収したのか?

コロニアル・パイプライン社がランサムウエアに対して支払ったということは、私のブログでも紹介しています。パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)-Colonial Pipeline事件はこちらです。

米国の司法省が、 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収したと公表しています。

ロイターの記事は、こちらです。司法省のプレスリリース(Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside)は、こちら

まるちゃんこと丸山満彦さんのブログで、和訳がでています。ここ。 ポイントとなるところは、以下のところです

同供述書によると、ビットコインの公開台帳を確認することで、法執行機関は複数のビットコインの送金を追跡することができ、被害者の身代金支払いの収益である約63.7ビットコインが、FBIが「秘密鍵」(特定のビットコインアドレスからアクセス可能な資産にアクセスするために必要なパスワードのようなもの)を持つ特定のアドレスに送金されていることを確認しました。このビットコインは、コンピュータへの侵入によって得られた収益や、マネーロンダリングに関わる資産であり、刑事上および民事上の没収法に基づいて押収される可能性があります。

そうはいっても、どのようにして押収したのか?という問題があります。これは、どのような法的な手続を踏んでいるのかと、実際の方法という二つの質問があります。

法的な手続について

法的な手続といっても、この点については、二つの論点がありそうです。

ひとつは、まずは、押収は、連邦刑事手続法上、どのような手続になるのか。今、ひとつは、ビットコインアカウントの秘密鍵を有しているところに保持していることと執行管轄権との関係は、どうなるか?という問題です。

ここで、この押収の担当のエージェントの宣誓書が検索したらでてきました。アドレスは、こちらです

でもって、例によって面白そうなところを翻訳してみます。


没収の法的権限

7. 合衆国法典第 18 編 a )(1)(C)および 1030(i)は、合衆国法典第 18 編 1030(コンピュータ・ハッキング)の違反を構成する、または違反につながる収益に由来する財産、およびかかる違反を行うため、またはかかる違反を促進するために使用された、または使用することを意図した個人の財産の刑事上および民事上の没収を規定しています。

8 . 合衆国法典第 18 編 a )(1)( A ) および 982(a)( 1) は、「合衆国法律集第 18 編 1956 年(マネーロンダリング)の違反に関与した」不動産または動産、およ びその不動産を追跡できる財産の刑事および民事上の没収を規定しています。

9 . 18 U.S.C. 981(b)は、民事没収の対象となる財産の押収を規定しています。18 U.S.C. 981(b)(3)はさらに次のように定めています。

連邦刑事訴訟規則の第41規則(a)の規定にかかわらず、押収令状は、財産に対する没収訴訟がタイトル28の第1355条(b)に基づいて提起される可能性のある地区の司法官によって、本項に基づいて発行され、財産が発見された地区、または条約その他の国際協定に従って外国の国家機関の中央当局に送付され、執行される。本項に基づいて押収された財産の返還を求める申し立ては、押収令状が発行された地方裁判所または財産が押収された地区の地方裁判所に提出しなければならない。

10 合衆国法典第18編第1030(a)(2)(C)は、個人が意図的に無許可で、または許可されたアクセスを超えてコンピュータにアクセスし、それによって保護されたコンピュータから情報を取得することを犯罪としています。この犯罪は、商業上の利益や私的な金銭的利益を目的として行われた場合、重罪となります。

11. 合衆国法律集第 18 編第 1030 条(a )(5)(A)は、個人が故意にプログラム、情報、コード、またはコマンドの送信を引き起こし、その結果、保護されたコンピュ ータに許可なく意図的に損傷を与えることを犯罪としています。

12. タイトル18 U.S.C. 1030( a) (7) C)は、保護されたコンピュータへの損害に関連して、金銭またはその他の価値あるものを要求または要請する内容を含む通信を州間または外国間の商取引において送信し、かかる損害が恐喝を促進するために引き起こされた場合に、意図的にいかなる人に対しても金銭またはその他の価値あるものを恐喝することを犯罪としています。

13 タイトル18 U.S.C. 1956 ( a ) ( 1 ) では、特定の違法行為の収益を用いた金融取引に関与する、または関与しようとすることを犯罪としています。(1) 特定の違法行為の実行を促進する意図で、(2) 脱税の意図で、(3) 取引の全部または一部が、収益の出所、起源、性質、所有権、または支配を隠蔽または偽装するために設計されていることを知りながら、または、(4) 取引の報告義務を回避するために、取引の全部または一部が設計されていることを知りながら。

14 タイトル18 U.S.C. (h) は、18 U.S.C. 1956に規定された犯罪のいずれかを共謀して行うことを犯罪としています。

15. 没収の主な目的の 1 つは、犯罪者をその不正な利益から引き離すことによって、犯罪から利益を 排除することである。United States v . Newman, 659 F.3d 1235, 1242 ( 9th Cir. 2011); United States v . Casey , 444 F.3d 1071, 1073 (9th Cir. 2006)を参照のこと。そのため、財産が価値を高めたり、利息を得たりすると、その価値や利息は没収の対象となります。参照:United States v . Betancourt ,422 F.3d 240 , 250 (5th Cir. 2005); United States v. Hawkey, 148 F.3d920, 928 ( 8th Cir. 1998)


相当な事実(probable cause)を裏付ける事実

A. 背景

23. FBIは、米国連邦法典第18編第1030(a)(C)項「情報取得のための保護されたコンピュータへの不正アクセス」、米国連邦法典第18編第1030(a)(5)(A)項「保護されたコンピュータへの意図的な損傷」、米国連邦法典第18編第1030(a)(7)(C)項「コンピュータを利用した恐喝」などの法令、および米国連邦法典第18編第1956項(マネーロンダリング)に違反した疑いがあるとして捜査している。

24. ランサムウェアとは、コンピュータ・システムに感染し、暗号化することで、そのシステムやシステム内のファイルへのアクセスを制限する悪意のあるソフトウェアです。これらのファイルやシステムは、身代金が支払われるまで暗号化されたままとなり、身代金が支払われると、復号化ツールが提供されます。一般的に、ランサムウエアを利用する脅威者は、ネットワークに侵入し、被害者のネットワークからデータを盗み出し、悪意のあるソフトウェアを仕込んでデータを暗号化し、身代金を要求します。身代金が支払われない場合、脅迫者は、盗んだデータを公開すると脅すことがよくあります。

被害者Xは、ランサムウエアの標的となった

25 被害者Xは、米国の重要インフラ部門に属しています。被害者Xは、2021年5月7日頃、FBIに対し、DarkSideと呼ばれるグループの個人が行った不正なネットワークアクセスおよび身代金要求の攻撃の被害に遭ったと報告しました。26. Victim Xによると、従業員の画面に身代金要求のメッセージが表示され、流出したデータのサンプルへのリンクがあるとするTorのウェブサイトのアドレスが提供され、約75ビットコイン(BTC)の身代金が要求されたとのことです。27. 詳細は後述しますが、米国政府の調査により、米国は、Victim Xが身代金として支払ったビットコインのうち約63.7枚の所在を確認することができました。被害者Xは、2021年5月8日頃、FBIに対し、身代金として約75BTC(当時の価値で約430万ドル)を暗号通貨アドレスに送信するよう指示があったことを伝えました。

29ビットコインの公開台帳を確認したところ、身代金支払アドレスXXXXXXXL6qeMLgX5VEAFCbRXjc9frは、2021年5月8日に2回、合計75.0005BTCの支払いを受けていました。私はblockchainexplorerを使って、2021年5月8日に75.0005BTCが1回の取引でransompayment addressから2つの異なるアドレスに送られたことを確認しました:0.00001693BTCがXXXXXXm9p48hx5yz5gcvmncu65w43wfytpsfに、75.00034246BTCがXXXXXXGA275Dに送られました。

30. そして、同じく2021年5月8日、75.00034246BTCがアドレスXXXXXXGA275Df729Bnujk6Xg7q5XからアドレスXXXXXXXXm9p48hx5yz5gcvmncu65w43wfytpsf(以前に0.00001693BTCが追加で送られたのと同じアドレス)とアドレスXXXXXXVa5ytth9NcwPhxbetKycsmに送られました。パブリックブロックチェーンエクスプローラーによると、74.99998307BTCがアドレスXXXXXXXXXm9p48hx5yz5gcvmncu65w43wytpsfに、0.00006748BTCがアドレスXXXXXXVa5ytth9NcwPhxbetKycsmに送信されたとのことです。

31. さらに、2021年5月8日には、74.9998307BTCが1回の取引で、追加の0.00001693BTCとともにアドレスXXXXXXXXXm9p48hx5yz5gcvmncu65w43wfytpsfから2つのアドレスに送られました:11. 24962019BTCはアドレスXXXXXXc65fsdd5kewcsfeagosljgfhz99zwtに、63.74998561BTCはアドレスXXXXXXj8kcqdqqenwzn7khcw4llfykeqwg45に送られました。

32. 2021年5月9日、blockchain explorerによると、アドレスXXXXXXj8kcqdqqenwzn7khcw4llfykeqwg45から63.74998561BTCが1つのトランザクションで2つのアドレスに送られました:0.4976631BTCがアドレスXXXXXXj8kcqdqqenwzn7khcw4llfykeqwg45に送り返され、63.70000000BTCがアドレスXXXXXXj8kcqdqqenwzn7khcw4llfykeqwg45に送られました。

33. 2021年5月27日、アドレスを集めて得た資金は、63.70000000BTCを含む合計69.60422177BTCとなりました。 2021年5月27日、アドレスXXXXXXXXXuRTNHQA8tNuG7S2pKcdNxBからアクセス可能な63.70000000BTCを含む合計69.60422177BTCがアドレスXXXXXXXXX950klpjcawuy4uj39ym43hs6cfsegq(以下、対象アドレス)に送金され、日以降は動いていません。

34対象アドレスの秘密鍵は、カリフォルニア州北部地区のFBIが所有しています。

おわりに

35. これまでの調査、私の訓練と経験、および共に働く他の特別捜査官との協議に基づき、私は、合衆国法典第18編981a(1)(A)および(C)、981(b)(1)および(2)、982(a)(1)および(b)()、ならびに1030(i)に基づき、前述の財産を差し押さえることができると信じる相当な理由があります。
私は、上記の内容が私の知る限りにおいて真実かつ正確であることを、罰則の下で宣言します。

————————————————

執行管轄権との関係は?

他国の領域にあるデータに対して、法執行の権限のために、強制的にアクセスすることは、一般的には、そのデータ所在国の主権侵害となると解されています。たとえば、中谷ほか「サイバー攻撃の国際法」は、

刑事訴追の証拠取得のため、他国に所在するC2サーバーを同意なしに乗っ取ってボットネットを掃討する法執行活動をおこなった場合には、政府の機能を侵害するため主権侵害となる。

としています(同書8ページ)。図のイメージだとこんな感じでしょうか。

 

ちなみにここで「同意なしに」とあって、同意あった場合は、主権侵害とはならない(そのようにはっきりはいっていないけど)というのは、平成30年(あ)第1381号 わいせつ電磁的記録記録媒体陳列,公然わいせつ被告事件 令和3年2月1日 第二小法廷決定(いわゆるFC2事件)です。最高裁は、

刑訴法99条2項,218条2項の文言や,これらの規定がサイバー犯罪に関する条約(平成24年条約第7号)を締結するための手続法の整備の一環として制定されたことなどの立法の経緯,同条約32条の規定内容等に照らす
と,刑訴法が,上記各規定に基づく日本国内にある記録媒体を対象とするリモートアクセス等のみを想定しているとは解されず,電磁的記録を保管した記録媒体が同条約の締約国に所在し,同記録を開示する正当な権限を有する者の合法的かつ任意の同意がある場合に,国際捜査共助によることなく同記録媒体へのリモートアクセス及び同記録の複写を行うことは許されると解すべきである。

としています。

では、この事件の場合は、どうか。この場合、すでに、FBIは、ビットコインアドレスに対するアクセスを取得しているので、「強制的に」押収するわけではありません。なので、この執行管轄権との問題というのは、生じないと解されているのだと思います。(さすがにこのあたりは、米国法の刑訴法の解釈を細かいみないと自信はないですが)

実際にどうやって秘密鍵を取得したか?

法的には、上のような根拠で、押収の根拠が与えられたとしても、一番の疑問点は、FBIは、どうやって、このアカウントの秘密鍵を取得したのか、ということです。

この点について、注目すべき記事としては、二つあります。”How A New Team Of Feds Hacked The Hackers And Got Colonial Pipeline’s Ransom Back“とThe FBI likely exploited sloppy password storage to seize Colonial Pipeline bitcoin ransomとがあります。

前者は、秘密鍵の入手方法は、次の3つのうちのいずれかであると考えられるとして。

  1. FBIが攻撃に関連する人物から情報を得た可能性です。(この計画の背後にいる人物やグループ、あるいはロシアを拠点とするランサムウェア開発者で、マルウェアを他の犯罪者に貸し出して手数料や収益の一部を得ているDarkSide社の関係者のいずれか)
  2. FBIが不注意な犯罪者のおかげで鍵を発見した(FBIが昨年からDarkSideを調査している)(監視の中で、当局が捜査令状を持っていて、スキームに参加した1人以上の人間による電子メールやその他の通信にアクセスできた可能性がある)
  3. FBIがビットコインから得た情報や、お金が最初に支払われてから口座間を行き来していた暗号通貨取引所から得た情報を活用して、鍵を探し出した

をあげています。

後者は、考えられるシナリオはいくつかありますとして

コロニアルを標的にしたサイバー犯罪組織「DarkSide」は、資金の回収に決済サーバーを利用したと報じられています。このような集中型のプラットフォームは、FBIにとって比較的追跡しやすいものです。

としています。

より可能性が高いのは、ハッカーが秘密鍵の情報を保存しているサーバーにアクセスできたということです。それは、ビットコインのセキュリティに根本的な欠陥があったということではなく、犯罪組織のIT衛生が悪かったということなのです。

要は、この集中型の減殺サーバーのID・パスワード等を取得できたということをいっているようです。

関連記事

  1. 自衛隊、サイバー反撃能力保有へ…武力伴う場合
  2. サイバー攻撃にも集団的自衛権 政府「武力行使しうる」
  3. サイバー犯罪に対する法執行のシステム的対応
  4. サイバー影響工作の定義-CSS CYBER DEFENSE “C…
  5. GCSC スタビリティ報告書 分析2
  6. リーガルマルウエアの法律問題(続)
  7. 総務省 「IoTセキュリティ総合対策」の公表 (その2)
  8. CyConX travel report Day One Key…
PAGE TOP