ブラジル中央銀行へのサイバー攻撃で1億4,000万ドルが不正流出
6月30日、ブラジル中央銀行が関与する大規模なサイバー攻撃が発生した。
ブラジル中央銀行の関連インフラを提供していたサービスプロバイダー「C&Mソフトウェア」が標的となり、約1億4,000万ドル(約203.6億円)が不正に送金された。ハッカーはC&Mのインフラを通じてブラジル国内の金融機関6行の準備金口座にアクセスし、資金を引き出した。
この不正侵入は、C&Mの従業員がログイン認証情報を約2700ドル(約39万円)で売却したことが発端となった。その後、同従業員は追加報酬として約1,850ドル(約27万円)を受け取り、ハッキング支援のためのコマンド操作にも関与していた。ハッカーはこの情報をもとにソーシャルエンジニアリングを用いて企業インフラに侵入し、複数の銀行口座から資金を送金した。
オンチェーン分析家ZachXBTの報告では、盗まれた資金のうち少なくとも3000万~4000万ドル(約43.6億円~58億円)がビットコイン(Bitcoin/BTC)、イーサ(Ethereum/ETH)、テザー(Tether/USDT)に換金され、ラテンアメリカのOTC(Over The Counter:店頭取引)業者や取引所を通じてマネーロンダリング(資金洗浄)されたとされる。
内部不正が引き金に、サービス遮断と復旧作業へ
今回の攻撃は中央銀行の公式システムではなく、外部プロバイダーであるC&Mソフトウェアの業務システムが標的となっている。
攻撃発覚後、中央銀行は即座にC&Mへの接続を遮断。同銀行はPIX決済(※ブラジル中央銀行が提供するリアルタイム決済システム)インフラの一部機能を一時停止し、感染拡大防止と復旧作業を進めた。捜査の過程で、前述の従業員が社内情報を外部に提供し、さらに報酬を受け取ってシステム内で不正コマンドを実行していたことが明らかになった。容疑者との接触は3月から始まっていた。
また、ラテンアメリカのOTC(相対取引)業者を通じた資金洗浄の流れが判明しており、PIXの決済網を悪用した疑いも浮上している。すでに2億7,000万レアル(約72.4億円)相当の資産が凍結され、従業員1名が逮捕されている。
ソーシャルエンジニアリングの脅威拡大をセキュリティ専門家が警鐘
ZachXBTはブラジル当局と連携し、関係アドレスの追跡と資産の凍結に協力しており、認証情報の不正入手による侵入手口は、近年の仮想通貨関連犯罪の共通パターンとして浮上しており、今回の事件もその一例とされる。
サイバーセキュリティの専門家は、AI技術の進化により集中型システムがより標的になりやすくなっていると指摘。たとえ堅牢な技術的対策を施していても、内部からの漏洩に対しては無力であるというリスクが浮き彫りとなった。
ブラジル当局の対応と、仮想通貨業界全体への波紋
今回の事件を受け、ブラジル連邦警察はサイバー犯罪対策局のもとで捜査を開始し、関連資産の凍結や容疑者の逮捕を進めている。
中央銀行とC&Mは共同で調査中であることを発表したが、被害の詳細や対象となった金融機関の情報は明かしていない。関係者は、顧客への影響を最小限に抑えるため、セキュリティ対策の強化と信頼回復に努めていると説明している。サイバー攻撃の脅威が高まる中、Shield Technologies(シールドテクノロジーズ)のエラン・バラク(Eran Barak)CEO(最高経営責任者)は、ZKP(Zero-Knowledge Proof:ゼロ知識証明)などの分散型プライバシー技術の活用が今後の鍵になると強調している。
仮想通貨業界全体でも不正被害は拡大しており、業界監視機関CertiKによれば、2025年上半期だけでハッキングや詐欺による損失は25億ドル(約3,636.7億円)にのぼる。今回の事件はその象徴的な一件であり、仮想通貨インフラにおけるサードパーティリスクと規制の課題を浮き彫りにした。
なお、ブラジル当局は今回の事件を契機に国内外の関係機関と連携を強化し、仮想通貨犯罪への対策を一層進める構えだ。
