カナダのビットコインATMから不正に現金が引き出される、ゼロ承認取引が原因

カナダのカルガリー警察(CPS)のサイバー犯罪課はビットコインATMから不正に現金を引き出した容疑者4名の写真を公開し公開捜査に踏み切った。容疑者4名は、ビットコインATMが採用していたゼロ承認取引のセキュリティの弱点を突いたとみられている。

CPSによると、2018年9月16〜26日にカナダの複数の都市に設置されたビットコインATMから現金が不正に引き出されていた。

カルガリー、トロント、モントリオール、オタワ、ハミルトン、ウィニペグ、シャーウッド・パークの7都市に設置されたビットコインATMが被害に遭った。不正取引は合計で112回行われ、カルガリーのビットコインATMの51回、モントリオールの27回が最も多い。

CPSはそれぞれの都市の警察と協力し、今回の事件の捜査網をカナダ全土に広げた。ビットコインATMから不正に引き出された現金は19.5万ドルだ。

CPSは容疑者がビットコインATMのゼロ承認取引を利用してダブル・スペンディングを行ったとみている。このことから、容疑者はビットコインやブロックチェーンの仕組みを熟知している人物である可能性が高い。

ビットコインのATMサービスを提供する会社は一般的に、取引がブロックチェーンに取り込まれたことを確認した後に現金を引き出せるようにしている。一方、今回狙われたATMは、取引がブロックチェーンに取り込まれる前に現金を引き出すことができた。これはゼロ承認取引と呼ばれる。

ゼロ承認取引を採用しているビットコインATMは、ビットコインの取引がメンプールに追加された時点でユーザーが送金したビットコインを受け取ったことにする。ユーザーは取引がブロックチェーンに取り込まれるまで待つことなく現金を引き出すことができる。

しかし、取引がブロックチェーンに取り込まれる前であるため、ユーザーがこの取引の送金先を上書きした場合、ATMが受け取ったと認識したビットコインは別のアドレスに送金され、現金だけ引き出されるリスクがある。

容疑者はこの仕組を理解しており、まずビットコインを安い手数料で送金しATMがビットコインを受け取ったことを認識させる。現金を引き出した後容疑者は、同じビットコインをより高い手数料で自身のアドレスへ再送金し、マイナーにこちらの取引を優先的にブロックチェーンへ取り込むよう仕向ける。成功すればビットコインは自身のアドレスへ戻ってきて、かつATMから現金を引き出すことができる。

今回狙われたビットコインATMはユーザーの利便性を優先したため、ゼロ承認取引を採用していたがその代償は高く付いた。容疑者4名の行方はいまだに掴めていないことから、CPSは写真を公開し地域住民に捜査協力を求めた。


Tronto Police Service