暗号犯罪対策のため警官を訓練し、1億ドル規模のダークウェブ麻薬市場を運営していたとされる

2カ月前、黒縁眼鏡をかけ、白いポロシャツを着た台湾人の若者、リン・ルイシアン氏は、セントルシア警察の紋章が飾られた演台の後ろに立ち、部屋いっぱいのカリブ海の小国から来た警官たちを前に、ほぼ流暢な英語で「サイバー犯罪と暗号通貨」と題するプレゼンテーションを行った。

セントルシア政府は後に、リン氏がIT外交専門家として勤務していた台湾大使館が主催したリン氏の研修コースの成功を称賛するプレスリリースを発表した。声明では、30人の警察官がリン氏から「ダークウェブのニュアンス」と仮想通貨追跡スキルを学んだと自慢し、リン氏は「自身の専門的経験と資格を活かして」サイバー犯罪対策の強化方法を指導したと述べている。

リン氏の「当該分野における専門的経歴と資格」が具体的にどのようなものであったかは、今週初めになってようやく明らかになった。台湾の雇用主も、セントルシアの法執行機関の研修生も、その事実を知らなかったようだ。米国司法省によると、23歳のリン氏は約4年間にわたり、「インコグニート」と呼ばれるダークウェブの麻薬市場を運営していた。当局によると、この市場ではMDMAからヘロインまで、少なくとも1億ドル相当の麻薬がビットコインやモネロなどの仮想通貨と交換されていたという。これは、リン氏が今年初めに自身のユーザーの資金を窃盗したとされる事件や、先週ニューヨークのJFK空港でFBIに逮捕される前のことだ。

リンは、台北のキャセイ・ファイナンシャル・ホールディングスで仮想通貨専門のインターンとして、その後セントルシアの台湾大使館で若手IT職員として働いていた数年間、ダークウェブの人物として二重生活を送っていたとされている。その人物の経歴は、秘密生活が当たり前のダークウェブでさえ、非常に奇妙で矛盾している。ファラオは、その短いキャリアの中で、インコグニートを立ち上げ、ダークウェブの優れた安全性とセキュリティ機能を備えた人気の仮想通貨ブラックマーケットに育て上げ、その後、いわゆる「出口詐欺」でマーケットの顧客と麻薬の売人の資金を突然盗み、特に悪質な新しい展開として、取引の詳細を漏らすと脅してユーザーをゆすった。

ファラオは多忙な時期に、暗号資産マネーロンダリング対策を突破するための「Antinalysis」というウェブサービスも立ち上げた。検察によると、ファラオのペルソナを操っていたのはリンであり、後に暗号資産に特化した法執行機関のトレーナーとして生まれ変わった。最終的に、リンは暗号資産追跡とデジタルプライバシーの専門家とされていたにもかかわらず、司法省の主張によれば、FBIが彼の正体を追跡するのに役立ったのは、リン自身の比較的ずさんな資金の流れだったという。

しかし、こうした矛盾の中でも、リンがセントルシアで仮想通貨犯罪の研修を行っている写真（リンは自身のLinkedInアカウントに誇らしげに投稿していた）は衝撃的だった。ブロックチェーン分析会社Ellipticの共同創業者で、長年リンの「ファラオ」という別人格を追跡してきたトム・ロビンソンは、「これはダークネットマーケットの管理者とされる人物が警察官の前に立ち、ブロックチェーン分析ツールを使ってオンライン犯罪者を追跡する方法を彼らに教えているというものです」とロビンソンは言う。「もし彼がFBIが言う通りの人物だと仮定すると、これは非常に皮肉で厚かましい行為です」

キングピン、そして恐喝者ファラオ

リンは麻薬共謀罪とマネーロンダリングの罪に加え、「継続的犯罪組織」の運営罪、いわゆる「キングピン法」の罪で起訴されている。これは、少なくとも5人の従業員を率いていたとされる組織犯罪のリーダーに適用される。この罪だけでも、終身刑に処される可能性がある。

司法省によるリン氏に対する刑事告発では、FBIがリン氏のメールから抽出した手書きの文書が指摘されている。この文書は、ダークウェブマーケットの仕組みをフローチャート形式で概説しているように見える。告発状に記載されたFBIの宣誓供述書によると、リン氏は2020年3月、当時19歳だったにもかかわらず、このフローチャートを自分自身にメールで送信したという。このフローチャートには、「販売者」と「購入者」がどのように登録し、購入を行い、配送先住所を暗号化するかといった機能が記載されている。7か月後、リン氏はインコグニートマーケットを立ち上げたとされている。

FBIによると、この市場が普及するまでに約1年かかり、その間、売上はほとんどゼロだった。しかし、2021年後半にはIncognitoがユーザーを獲得し始め、2022年半ばには十分な数のベンダーと販売業者が市場を惹きつけ、月間売上は150万ドルを超えるまでになった。

『The Darkest Web』などダークウェブをテーマにした著書を数冊執筆したアイリーン・オームズビー氏が2022年にIncognitoについて投稿したTwitterスレッドは、当時の市場にセキュリティと安全性を重視するユーザーの注目を集めるのに役立つ可能性のある機能が追加されていたことを示している。新規ユーザーは市場参入前に暗号化ツールPGPを使用できることを証明する必要があり、セキュリティクイズへの回答を促し、購入者はビットコインだけでなくプライバシー重視の仮想通貨モネロも利用できるようにした。ディーラーには自社製品が「フェンタニルフリー」であることを証明するためにフェンタニル検査の結果を投稿するよう促し、市場全体の決定のための民主的な投票も試みた。

2023年の夏までに、Incognitoは人気が急上昇し、月間売上高は500万ドルに迫っていました。しかし今年3月、サイトは突然オフラインになり、買い手と売り手のウォレットに保管されていた資金がすべて失われました。数日後、サイトはホームページに新たなメッセージを掲載して復活しました。「もう私たちの最後を聞きたくありませんか？」と書かれていました。「最後に、ちょっとしたサプライズを用意しました。」

メッセージには、インコグニートが事実上、元ユーザーを脅迫していると書かれていた。メッセージと取引記録を保存しており、さらに「ホワイトリストポータル」を作成し、ユーザーは料金（後に一部のディーラーには最高2万ドルに設定される）を支払ってデータを削除できると付け加えていた。今月末にすべての情報がオンラインに漏洩する前に削除されるという。「まさにこれは恐喝だ!!!」とメッセージは付け加えていた。

振り返ってみると、オームズビー氏は、サイトの見かけ上の使いやすさとセキュリティ機能は、おそらく数年にわたる詐欺行為であり、その最終目的、つまりダークウェブの薬物市場では前例のないユーザーからの恐喝行為の下地を敷いていたのかもしれないと語る。「もしかしたら、すべては偽りの安心感を与えるために仕組まれたのかもしれません」とオームズビー氏は言う。「恐喝行為自体は全く新しいものですが、人々に安心感を与えてしまえば、恐喝は容易になるのでしょう。」

インコグニート・マーケットは、買い手と売り手がデータダンプから削除するための費用を支払わなければ、合計50万件以上の薬物取引記録を漏洩すると約束した。検察によると、市場の管理者であるリン氏が恐喝キャンペーンを個人的に実行したとされているが、リン氏が脅迫を実行するつもりだったかどうかは依然として不明である。リン氏は、インコグニート・マーケットの脅迫の被害者に対して設定された期限前に逮捕されたようだ。

「アンチマネーロンダリング」の専門家

FBIによると、リン氏はこの裏切りの布石を敷いていたとされている一方で、全く異なる計画を短期間企てていた可能性もある。2021年夏、インコグニート・マーケットが比較的静かだった最初の1年、リン氏の別人格とされるファラオ氏は、「Antinalysis」というサービスを立ち上げた。これはブロックチェーンを分析し、ユーザーが自分の仮想通貨が犯罪取引に関連しているかどうかを有料で確認できるウェブサイトだ。

ダークウェブマーケットフォーラム「Dread」への投稿で、ファロア氏はAntinalysisはマネーロンダリング対策の捜査官を支援するためではなく、捜査を回避しようとする人々（おそらく彼自身のダークウェブマーケットのユーザーも含まれる）を支援するために設計されたと明言した。ファロア氏の投稿には、「私たちの目的は、国家支援機関による監視独裁体制を支援することではありません」と記されている。「このサービスは、ブロックチェーン上で完全なプライバシーを確​​保する必要がある個人を対象としており、独裁的な違法行為によって資金が摘発される可能性をユーザーが理解できるよう、相手の視点からの視点を提供するものです。」

独立系サイバーセキュリティ記者のブライアン・クレブス氏が2021年8月にAntinalysisのサービスについて「詐欺師のためのアンチマネーロンダリングサービス」と評した後、ファラオ氏は別のメッセージを投稿し、Antinalysisがブロックチェーンデータソース（クレブス氏はアンチマネーロンダリングツールAMLBotと特定）へのアクセスを失い、オフラインになると訴えた。ファラオ氏は「LE（法執行機関）」の略語を使って「最新情報を見逃さず、LEなんかクソくらえ」と書いた。しかし、Antinalysisは最終的に復活し、昨年、ビットコインとモネロの交換サービスへと方向転換した。

一方、リン氏は仮想通貨の追跡とブロックチェーン分析への執着を続けているようだ。ニューヨークで逮捕される前の先週、LinkedInに最後に投稿した投稿では、ブロックチェーン分析企業Chainalysisが販売する仮想通貨追跡ツール「Reactor」の認定ユーザーになったことを発表していた。「Chainalysisの新しい資格、Chainalysis Reactor Certification（CRC）を取得したことをお知らせできて嬉しいです！」とリン氏は中国語で綴っている。彼の最後のX投稿には、ダークウェブ市場と仮想通貨取引所間の資金の流れを示すChainalysisの図が描かれている。

リン氏がChainalysisの認定資格を取得したのが、ブロックチェーン分析の法執行機関向け研修という新たなキャリアを築くためだったのか、それとも米国検察の主張を信じるならば、ダークウェブ犯罪者としての以前の経歴を発展させるためだったのかは定かではない。しかし、エリプティックのトム・ロビンソン氏によると、かつてのダークウェブの首謀者――今もなお自身のユーザーから金銭をゆすり取っている――が、暗号資産追跡ゲームの両面で活動していた可能性を示唆しているという。

「悪意のある人物がブロックチェーン分析ツールにアクセスするという、より大きな問題があります」とロビンソン氏は言います。「これは潜在的に危険な状況です。犯罪収益のロンダリングを行っている者が、市販のツールで、犯罪を逃れるためにロンダリングされているかどうかを確認できるのです。」これらのツールに特定のチェックを実行することで、法執行機関による捜査を受けているかどうかを判断できる可能性もあるとロビンソン氏は言います。

WIREDはChainalysisに連絡を取り、リン氏のReactor認証について、また犯罪者が同社のソフトウェアを使用するのを防ぐための安全策について質問したが、同社はコメントを拒否した。

リンが暗号資産追跡の専門家になることで法執行機関の目を逃れようとしていたとしても、ブロックチェーンの証拠を残すことを避けるには遅すぎた。今年1月、FBIは中央のシークレットサーバーを何らかの方法で特定し、その内容の捜索令状を取得したと述べている。これにより捜査官はそこに保管されていたビットコインウォレットを特定することができた。FBIによると、リンはまた、ウェブレジストラのNamecheapに4つのウェブドメイン（ダークウェブ市場の稼働状況を追跡するものも含む）を不用意に支払い、自身の名前で登録していたという。

FBIはリン容疑者がビットコインを、追跡がより困難なモネロに交換してから取引所で換金しようとしたと主張しているが、告発状では、タイミングと金額の相関関係が指摘されており、FBIはリン容疑者の資金を追跡して、不正資金を換金したとされる仮想通貨取引所まで辿り着くことができた。司法省によると、その取引所の口座もリン容疑者の実名で登録されていた。

FBIが指摘するセキュリティ運用上のミスは、リン氏が仮想通貨をめぐるいたちごっこのどちらの側に属するつもりだったにせよ、彼が犯罪の天才とは程遠い存在だったことを示唆している。いわゆる首謀者から仮想通貨犯罪の専門家へと至った、彼の短くも奇妙な道のりは、最終的に犯罪者と法執行機関の両方に多くの教訓を与えている――おそらくそれは彼自身が意図したものではなかっただろうが。