イラン・ノビテックスハッキング事件の謎:ブロックチェーンデータが明らかにした「不審な」資金移動の痕跡
2025年6月に発生したイラン仮想通貨取引所ノビテックスのハッキング事件で、ブロックチェーン分析企業グローバル・レジャーのフォレンジック調査により、攻撃の数ヶ月前から組織的な資金洗浄の痕跡が発見されました。30BTC単位の規則的な資金移動や一時アドレスの使用など、専門家は「チップオフ」と呼ばれる資金隠蔽手法の証拠を指摘。さらに、ハッキング後に「救済ウォレット」と称して移動された1801BTC(約1億8750万ドル)のアドレスが実は以前から資金洗浄に使用されていた事実が判明し、事件の背景に新たな疑問が浮上しています。
イラン・ノビテックス、ハッキング前から行われていたユーザー資金洗浄?
グローバル・レジャーの分析によると、ノビテックスは2025年初頭から「ペイラダイン(peel chain)」と呼ばれる手法を用いて大規模な資金移動を行っていました。この手法は、大量のビットコインを小さな単位に分割し、短期間使用されるウォレットを経由して段階的に移動させることで、資金の追跡を困難にする特徴があります。
特に注目されるのは、ノビテックスが30BTCという一定量を規則的に移動させていた点です。ブロックチェーン上の記録では、複数のウォレット間で30BTC単位の取引が繰り返し行われており、このようなパターン化された動きは偶然の産物とは考えにくい状況です。専門家によれば、この手法は資金の出所を隠蔽する「チップオフ取引」の典型的な特徴で、マネーロンダリングで頻繁に利用されます。
さらに調査では、ノビテックスが一時的な入出金アドレスを多数使用していた事実も判明しました。これらのアドレスは一度きりの取引に使用された後放棄され、新しいウォレットへ資金を流入させる役割を果たしていました。こうした手法により、資金の流れを追跡することが極めて困難になっていたのです。
「救済ウォレット」の真実
6月18日のハッキング事件後、ノビテックスは残存資金を安全な場所に移動したと発表し、1801BTCが新規ウォレットに移されたことが確認されました。しかし、グローバル・レジャーの深掘り調査で、この「救済ウォレット」は実は新規作成されたものではなく、以前から資金洗浄に使用されていたことが判明しました。
ブロックチェーン上のデータを遡ると、このウォレットはハッキング発生以前から20-30BTC単位の資金を受け取っており、ノビテックスが使用していたのと同じ資金移動パターンが見て取れます。特に、2025年3月から5月にかけて、このウォレットは複数回にわたり、明らかに意図的な小分け送金を受け取っていました。
資金移動のタイミングも不自然で、取引所の通常業務とは考えにくい深夜や早朝の時間帯に集中していたことが記録から確認できます。こうした事実は、同社が公式に説明した「緊急避難的な資金移動」という主張に疑問を投げかけるものです。
ハッキング後の不審な活動継続
事件発生数時間後、ノビテックスは被害を受けたホットウォレットから内部アドレスへ資金を移動させました。一見すると危機管理対応のように見えますが、詳細な分析ではより複雑な実態が浮かび上がります。
6月19日には1783BTCが新たな宛先ウォレットへ再送金されましたが、このフローはハッキング対応というより、むしろ従来の資金移動パターンを継続したものと解釈できます。イスラエル系ハッカーグループGonjeshke DARandeが公開した内部文書によれば、ノビテックスのウォレット構造は以前から体系的な資金隠蔽を可能にする設計だったことが示唆されています。
長期間にわたる取引記録を分析すると、同取引所に関連する古いウォレット群が定期的に資金を新規ウォレットに移動させ、そこでさらに小額に分割して送金するプロセスが繰り返されていました。特に20BTCや30BTC単位での送金が目立ち、これが意図的な追跡困難化策であった可能性が高いと専門家は指摘します。
重要なのは、こうした手法がハッキング後に始まったものではなく、事件前から継続的に行われていた事実です。特定のウォレットアドレスは繰り返し出現し、多くのユーザー預金を集約した後、追跡が難しい形で資金を分散させていました。このパターンは、単なる資産保護を超えた、より組織的な資金操作の可能性を示唆しています。
ノビテックスハッキング事件に関するQ&A
ノビテックスで使用されていた資金洗浄手法の特徴は?
ノビテックスでは主に「ペイラダイン」と呼ばれる手法が使用されていました。この方法では、大量のビットコインを30BTC単位などの決まった量に分割し、短期間しか使われない一時的なウォレットを経由して段階的に移動させます。特に、資金を小分けにして複数のウォレット間で移動させる「チップオフ取引」が頻繁に行われており、これにより資金の流れを追跡することが極めて困難になっていました。
救済ウォレットの不審な点は何ですか?
ハッキング後に資金を保護するためとしてノビテックスが作成したと主張したウォレットは、実際には事件の数ヶ月前から活動していたことが判明しています。このウォレットは以前から20-30BTC単位の資金移動に関与しており、ハッキング事件後も同じパターンで資金を移動させ続けました。さらに、このウォレットへの資金流入は通常の営業時間外に集中しており、通常の業務プロセスとは異なる不自然な特徴が見られました。
ハッキング事件後の資金移動は適切でしたか?
ノビテックスはハッキング後、迅速に資金を移動させたと説明していますが、ブロックチェーンデータの分析では、これらの移動が従来の資金洗浄パターンを継続したものだった可能性が指摘されています。特に、1783BTCの再送金は、単なる資産保護というより、既存の資金隠蔽プロセスの一部として行われたと解釈できます。専門家は、こうした一連の動きがマネーロンダリングの特徴と一致すると指摘しています。
