/>
私たちには報酬はありません。金持ちで追い詰められた犯罪者たちから、深刻な報復を受けるリスクを冒しています。このページでは、なぜ私たちがこの戦いに挑むことを選んだのか、何を証明しようとしているのか、そしてこの調査をどのように計画したのかについて説明します。
自立と能力
私たちは独立して活動しています。企業からのスポンサーも、助成金も、悪用される恐れのある資金的レバレッジもありません。この自律性のおかげで、従来のセキュリティ企業が責任問題や利益相反を理由に敬遠するような対象にも取り組むことが可能となっています。 13万件以上のフィッシングドメインを無力化しました。 長年にわたる実務経験。私たちは、詐欺のインフラ、プレッシャー下でのオペレーターの行動、プラットフォームの不正利用に関する報告の処理、および抑止キャンペーンの仕組みを熟知しています。
捜査がどのように始まったのか
運営者(「ナタリー・ロイ」)には直接、「嘘をつかないで、事態をエスカレートさせないで」と警告されていた。彼女には、静かに問題を是正する機会が何度もあった――GitHubの2つのイシューを削除して、その件から手を引くだけでよかったのだ。被害者から苦情がなければ、その件はそこで終わっていただろう。 しかし、彼女は脅迫し、嘘をつき、自身のレジストラを巻き込む道を選んだ。その結果、NameSiloは4つの独立して反証可能な虚偽の記述を含むツイートを投稿し、VirusTotalによってフラグが立てられたドレイナーを、1万1,000人のフォロワーを前に公然と擁護した。 その戦術的なミスが、本格的な鑑識捜査のきっかけとなった。
私たちの目的は、その名前に表れています: PhishDestroy。 NameSiloは、フィッシング詐欺を擁護し、虚偽の声明を発表し、証拠を隠蔽することで、この詐欺作戦に加担することを選んだ。対応策は手続き的なものである。すなわち、保護措置を記録し、詐欺を無力化し、法執行機関に通報することである。
当研究所の研究者の一人が執筆中です オンライン詐欺の犯罪学に関する法科学的研究論文. 本調査は主要な事例研究である。本論文では、盗難事件を調査するための方法論を構築し、 追跡不可能な仮想通貨(モネロ) — 従来のブロックチェーン分析では不可能な場合。
モネロには公開台帳がありません。 ブロックチェーンの分析だけでは、窃盗を立証することはできません。 Etherscanも、取引履歴も、ウォレットの特定もできない。これこそが、xmrwallet.comが10年間も存続できた理由だ――標準的なツールでは、被害額を定量化できなかったからだ。本論文では、資金の流れを追跡できなくても、以下の方法を通じて犯罪を立証できることを示している:
この調査は、この手法が有効であることを実証するものです。 ここで収集されたあらゆる証拠――抑制のパターン、同一の行動、CAPTCHAへの応答、2,100万件のログ記録――は、すべてこの論文に直接反映されている。この研究が存在するためには、この事例が存在する必要があった。彼らの傲慢さが、それを可能にしたのだ。
運用手法と対策
私たちは、彼らがとるであろうあらゆる行動を予測していた。私たちが、彼らが私たちのような人々に何をしているかを知っていることを、あえてツイッターには書き込まなかった――なぜなら 彼らはあまりにも傲慢だったため、自分たちが私たちを抑圧できていないことに気づかなかった。彼らはまさに私たちが望んでいたことをしていたのだ。
並行して、同時に:
我々は彼らを挑発したのか? いいえ。我々はいつも通り、虐待を報告し、調査結果を公表し、対応内容を記録しただけだ。 彼らは隠蔽することを選んだ。 彼らがそうするだろうと私たちは予感していたし、その様子を録画していた。
私たちは提出しました 11~12件の正式な虐待に関する苦情 NameSiloに――彼らを騙すためではなく、我々の仮説を検証するために。もし彼らが本当に運営者から独立しているのなら、VirusTotalによってフラグが立てられ、被害者が確認されており、運営者自身が管理していることを認めるメールが残っているサイトについて調査するはずだ。 彼らはそれらを一つ残らず無視した。 テスト対象となった他のすべてのレジストラは、何らかの措置を講じました。
マルチプラットフォームでの配布および抑制の追跡
私たちは以下の日に公開しました 意図的に複数のプラットフォームに対応. Medium、dev.to、そして自社サイト。これらを1か所にまとめられなかったからではなく――むしろ、 各プラットフォームごとに個別にそれを抑制してもらう必要がありました. すべての抑制処理は、受信プラットフォームによってログに記録されます。記録される項目には、リクエスト元のID、IPアドレス、タイムスタンプ、メソッドが含まれます。 すべてのプラットフォームの記録は、標準的な法的手続きを通じて法執行機関が閲覧可能です。

Mediumの記事 — 304件の「クラップ」、15件のコメント、読了時間19分。私たちが意図的に記事を公開している複数のプラットフォームのうちの1つです。
ハニートークンと抑圧用おとり
私たちは彼らを「誘い出した」わけではありません。私たちは、フィッシング対策の研究者が皆行うのと同じことをしただけです。つまり、調査結果を公表し、不正利用を報告し、それに対する対応を記録したのです。 彼らは対応する代わりに、問題を隠蔽することを選んだ。 私たちはそうなるだろうと予想していた――これまで調査してきたすべての事業者に共通するパターンだからだ。違いは、今回、誰かがそれを監視し、記録していたという点だ。
弊社では NameSiloを中傷するつもりはない. 私たちは彼らの株価などどうでもいい。反応を見るために、ツイートを1つ投稿しただけだ。そして、その通りになった。彼らの投資家の一人が、ある研究者の個人情報を暴露しようとしたが、その後ツイートを削除した。NameSiloは、運営者と同じような、未熟で予測可能な行動を如実に示す、お決まりの定型文で返答してきた。 私たちの目標は、その名「PhishDestroy」に表れています。私たちはフィッシングを根絶します。 以上です。
捜査の要請があったため、私たちはTwitterアカウント――20万件以上のツイート、長年にわたる証拠――を犠牲にしました。削除されたツイート、削除されたリンク、検索インデックスから除外された記事のすべてが、検証の対象となる証拠そのものであるため、この手続きによって、削除されたものがすべて復元されることを願っています。 彼らが私たちを弾圧したすべてのプラットフォームには、記録が残っています。 彼らは10年間にわたり、検索結果から否定的な情報をすべて巧みに消し去ってきました。私たちのSEO分析がこれを裏付けています。彼らは自分たちに都合の良い情報だけを残したのです。
私たちは公開しました Mediumに掲載された2つの記事. 記事#1ではxmrwalletについてのみ言及されており、NameSiloについては触れられていませんでした。記事#2は、NameSiloを具体的にターゲットにしたSEO対策記事でした。 どちらもインデックスから削除されました。 当社のサイトでも状況は同じです。xmrwalletに関するコンテンツのみ、およびNameSiloに特化したコンテンツがあります。キーワードごとに20以上のリンクがありますが、すべて表示されなくなっています。もしNameSiloと運営者が無関係であるなら、誰がNameSiloの検索結果を削除しているのでしょうか?運営者が、自社のレジストラの評判を守るために削除しているのでしょうか? 無関係なエンティティは、そんなふうには機能しません。
私たちが公開したすべての分析記事には、そのレジストラに関する警告と、その行動の実態が盛り込まれていました。彼らはそれを快く思っていませんでした。しかし、彼らが「戦い」と見なしているもの――私たちの投稿と、彼らによる削除要請との対立―― それは決して戦いなどではなかった。それは計画された作戦だった。 それぞれの配置は、ただひとつの目的のために設計された。それは、彼らに自らを不利にする証拠を作らせるためだ。彼らは、攻撃への対応をしていると思い込んでいる。しかし、実際には、仕掛けられた罠にかかっていたのだ。すべての削除要請、すべてのインデックス削除、すべてのDMCA―― 自分たち自身に対してでっち上げた証拠。
モネロは追跡不可能です。ブロックチェーン上の記録は残らないため、従来の捜査手法はここでは通用しません。そこで、私たちは次のように対応しました: 資金の流れを追跡できない場合は、行動を追跡する。 我々は、彼らがその手口を実証するための標的となったのだ。狩人は、森の中で足跡も残さない獲物を追いかけたりはしない――罠を仕掛けて待ち伏せるのだ。彼らはその罠に、一つ残らずはまってしまった。
分散型インフラとリスク軽減
だって、私たちは一人じゃないから。 4名以上の研究者 この捜査に携わりました。被害者の方々も協力してくださいました。複数の国の法執行機関には状況説明が行われています。証拠はIPFS上に保存されており、改ざん不可能で分散型であり、自動監視機能も備わっています。万が一ミラーサイトがダウンしても、新しいものが自動的に展開されます。
彼らは、リンクを削除すれば証拠が消えると思っている。 そうではありません。むしろ、さらなる証拠を生み出すのです。 削除はすべて記録されます。削除の試みはすべて、事件ファイルの新たな証拠となります。

dev.toへの投稿 — 複数のプラットフォームにまたがって複数の抑制レコードを作成するために、複数のプラットフォームに同時に投稿されました。
オペレーターの脅威評価
そのオペレーターから、次のようなメールが届きました: 「弁護士と私立探偵を雇った。」 弁護士も現れず、私立探偵も現れなかった。現れたのは、DMCAに基づく削除要請、大量通報、njal.la(NameSiloの再販業者)からのDDoS攻撃、そして組織的なTrustpilotの評価操作だった。 あらゆる脅威、あらゆる行動、あらゆるタイムスタンプ――すべてが記録されています。

Google Search Console — ここに表示されているドメインはすべて、削除されるというただ一つの目的のために作成されました。そして、それらは実際に削除されました。一つ残らず。
そのスクリーンショットを見てください。Azureのすべてのサブドメイン、すべての記事のURL―― これらは、報告されて削除されるようにと、あえて作成したものです。 なぜ、同じコンテンツのミラーサイトを異なるプラットフォームに12個も作成するのでしょうか?それは、12件の別々の削除要請を提出する必要があったからです。各要請はプラットフォームによって記録されます。各記録には、要請者の身元、IPアドレス、タイムスタンプ、および方法が含まれています。 DMCAおよびGDPRに基づく削除記録は、プラットフォームによって数年にわたり保存されます。
彼らは考えもしなかった。否定的な内容を見かけると、すぐに「通報」ボタンを押した。NameSiloでもxmrwalletでも同じだった。同じパターン、同じスピード、同じプラットフォーム。彼らは一度も立ち止まって自問することなどなかった: なぜPhishDestroyは新しいリンクを作り続けているのですか? なぜ「狂ったボランティア」は、取り外され続ける鏡を作り続けるのだろうか? なぜなら、取り外されるたびにそれが一つの展示物となるからだ。DMCAに基づく通報のたびに、それは法医学的な指紋となる。そして、捜査当局がGoogle、Bing、Twitter、Trustpilot、Mediumに対して召喚状を発行したとき―― 両エンティティにおけるパターンは同一になります。 依頼主も同じ。手法も同じ。タイムラインも同じ。これは、無関係な2つの企業というわけではない。これは一つの組織による活動だ。
私たちはこれまでに、何百件もの詐欺事件を調査してきました。 どれもこんな風には見えなかった。 フィッシング攻撃の犯人の多くは、正体が露見すると逃走したり、身を隠したり、活動を停止したりする。しかし、彼らはそうしなかった。むしろ、その逆の行動をとった。
この点が、この事件を法医学的に興味深いものにしている。その NameSiloとxmrwalletの両方で全く同じ抑制パターンが見られる これこそが、私たちが捉えようとした「痕跡」です。メールや支払いの記録を通じてその関連性を証明する必要はありませんでした。行動を通じて証明したのです。私たちは彼らに標的を提示しました。彼らは両組織に対して、まったく同じ手法で標的を攻撃しました――同じプラットフォーム、同じスピード、同じ手法で。 その行動パターンこそが証拠なのです。 そして、それは彼らが削除できない唯一のものなのです。なぜなら、私たちを通報したすべての企業のプラットフォームログに記録されているからです。
データベースの汚染とテレメトリデータの汚染
なぜなら 私たちの目標は、人々を守ることです — そして、xmrwallet.com が稼働している限り、人々は資金を失い続けていました。 そこで私たちは、Cloudflare Workersのスクリプトを作成し、xmrwalletのすべてのドメイン(.com、.me、.cc、.biz、.net)に対して、実際の被害者が自分の鍵を入力するのと同じ入力フィールドに、継続的にウォレット情報を入力するようにしました。もし(彼らが主張するように)正当なクライアントサイドウォレットであるならば、これによって何の影響も生じないはずです。 正規のウォレットでのシードフレーズの入力は、ローカルで処理されます。 「攻撃」すべきものは何もない。
しかし、xmrwallet.com は入力されたすべてのシードフレーズを盗み出しています。私たちは体系的なデータポイズニング作戦を実行し、2,100万個の暗号学的デコイを注入して 盗まれたデータセットを実用上無用のものにする。 私たちは決して立ち止まることはなかったでしょう。そのサイトが完全に機能しなくなるまでは。彼らがhCaptchaやCloudflare Turnstile、あるいはその他の対策を講じたとしても、私たちはウォレット情報を入力し続け、人々を彼らから守り続けたはずです。それがまさに、私たちの名称が意味するところなのです。
私たちのウォレットは、単に承認して終了しただけではありません。各セッションで リアルなユーザー行動のシミュレーション — リンクのクリック、ページ間の移動、さまざまな間隔での待機、さまざまなユーザータイプ(探索型、送信型、パワーユーザー、初心者、過度に警戒するユーザー)の模倣など。私たちは分析システムの仕組みを理解しており、xmrwallet.com では Google アナリティクス、Google タグ マネージャー、および Google トラッキング ピクセル 「匿名」のウォレット上で。セッションは高度なランダム化が施されていたため、オペレーターは 私たちの投稿を実際の被害者と見分けることができなかった セッションの挙動、タイミング、あるいはナビゲーションパターンによって。彼らのログに記録されている盗難ウォレットは、すべて私たちのログという「干し草の山」の中に埋もれているのです。
当社のツールが数週間稼働した後、オペレーターがCAPTCHAを追加しました。これは、Pythonを使えば約0.1秒で解けるような、粗末な二次方程式によるブルートフォース攻撃対策でした。 正規のウォレットであれば、シードフレーズを入力する際にCAPTCHAは必要ありません。 Ledgerにはありません。Trezorにもありません。MyMoneroにもありません。正規のウォレットにはどれもありません――なぜなら、正規のウォレットはシードをローカルで処理するからです。CAPTCHAを追加する唯一の理由は、もしあなたが サーバー側ですべての入力を収集し、記録する. CAPTCHAそのものが、盗難の手口を示す証拠となっている。
私たちは、彼らが本格的なソリューション――hCaptchaやCloudflare Turnstileといった、信頼できるものを導入するだろうと期待していました。しかし、彼らはそうしませんでした。導入されたのは、0.1秒で解けるような、単純な二次関数型のブルートフォース攻撃で突破可能なものでした。これだけで、彼らの技術レベルがすべて分かります。 彼らはユーザーを守るのではなく、自分たちの不正取得ルートを守っていたのだ。
xmrwallet.com:4,743 セッション · xmrwallet.me:114,031 セッション。 1回の実行からのログ例。 このツールは、ドメインが削除されたり変更されたり、あるいはCAPTCHAが導入されたりするたびに、再起動や更新が何度も行われました。すべての実行にわたる完全なログの総量は、およそ 2,100万件の有効な応募 2026年2月から4月にかけて、すべてのxmrwalletドメインを対象としたもの。完全なデータセットは、法執行機関からの要請に応じて提供可能です。
5.4 すべてのアクションにおけるRPSの合計 — ただし 7~10秒ごとに1回までの認証。 クライアント側で動作するウォレットなら、これは問題にならないですよね? サーバー側で動作している場合を除いては。すべての入力を一つ残らず記録している場合を除いては。すべてを盗み出し、完全なログを書き込んでいる場合を除いては。そして、まさにそれが彼らのやっていることなのです。
これは攻撃なのでしょうか? いいえ。 私たちは公開されているウェブフォームにデータを入力しただけです。それだけのことです。 認証を迂回したわけでも、脆弱性を悪用したわけでも、アクセスすべきでないシステムにアクセスしたわけでもありません。私たちはそのサイトを、まさに意図された通り――「ウォレット」として――利用しただけです。もしそのサイトが宣伝通り(クライアントサイドのみ)に動作しているなら、私たちの入力は意味をなしません。もし私たちの入力が彼らにとって重要であるならば―― これは、盗難の仕組みが存在することを証明している。
私たちは、DDoS-Guard(彼らのホスティングプロバイダー)に対し、私たちの活動の性質について正式に通知し、シードフレーズの収集メカニズムを説明し、サーバーのIPアドレスを提供しました。彼らからは一度も連絡がなく、異議も唱えられず、中止を求めることもありませんでした。沈黙は「問題なし」を意味します。 当社のスクリプトは50MB未満のRAMを消費し、1秒あたり5.4リクエストのペースで実行されました — サーバーの容量の1%未満。 彼らがどのサーバーを使ったかは、おおよそ把握しています。私たちのトラフィックは検知されませんでした。
さて、ここが素晴らしい点です。「プライベートなクライアントサイドウォレット」として、xmrwallet.comはログを保持しないと主張しています。しかし、もし彼らが do (彼らが情報を盗むため)ログを記録しているが、現在、その記録件数は私たちとほぼ同じ数になっている―― 2,100万。 もし彼らが、それぞれのウォレットを処理し、評価し、資金を引き出そうとしているとしたら? つまり、2,100万個のモネロウォレットをスキャンし、読み込み、残高を確認する必要があるということです。 2,100万個のウォレットを評価するための計算コストは莫大です。空のウォレットを1つ調べるごとに、時間とリソースが無駄になります。実際の被害者のウォレットは、膨大な数のエントリの中に埋もれてしまっています。 それこそがまさに肝心な点だったのです。
私たちを攻撃したとして非難したいのですか? 当社のログをご請求ください。 私たちは、あなたの「正規のクライアントサイドウォレット」に入力された2,100万件のシードフレーズを示すギガバイト単位のデータを提供します。クライアントサイドウォレットが、なぜそれらすべてを記録し、処理し、使用しようとしたのか、裁判所に説明してください。
すべてのxmrwalletドメイン(.com、.me、.cc、.biz、.net)において、当社のツールは約 2,100万件のウォレット登録が成功しました。「成功」とは、xmrwallet.com がシードフレーズを受け入れ、サーバー側で処理を行い、ウォレットへのアクセスを試みたことを意味します。これは、実際の被害者に対して行われているのと同じ手順です。これらすべての操作について、ログを記録しています。 どのエントリも、このサイトがサーバー側でシードフレーズを収集・処理していることを示す証拠となっています。 もし本当に「クライアントサイドのみ」であるなら、ログに記録すべきものも、処理すべきものもなく、私たちを阻止するためにCAPTCHAを追加する理由も存在しないはずだ。
皮肉なことに: 彼らは自分たちの身を守るのではなく、盗みの仕組みを守ろうとした。 彼らは盗みを続けるためにCAPTCHAを導入した。本来なら法的防御策を講じておくべきだった。CAPTCHAの解答、DDoS-Guardのチャレンジ、サーバー側のセッションのすべてが、ログに記録され、タイムスタンプが付けられていた。彼らは人々から金を巻き上げる能力を守ることに夢中になりすぎて、誰かがすべてを記録していることを忘れていたのだ。
Moneroのシードフレーズには、ウォレットの作成日(リストアハイト)は保存されません。これにより、攻撃者にとっては重大なジレンマが生じます。つまり、最近のブロックだけをスキャンすると、それより古い、潜在的に膨大な資産を保有するウォレットを見逃してしまうからです。 詐欺師は欲深い。 長期保有者を見逃さないようにするため、彼らは2014年のジェネシスブロックから現在に至るまでのモネロのブロックチェーン全体をくまなく調べ、すべてのシードフレーズを洗い出さざるを得ない。
インフラストラクチャやローカルノードが最適化されていても、フルチェーンの暗号スキャンにはおよそ ウォレット1つにつき、2~5分間の高いCPU負荷が発生します。
私たちは作成しました 絶対的な計算上の非対称性: 有効なおとりデータを生成して注入するのにかかるのは、私たちにとってはミリ秒単位の時間だけですが、相手側にとっては、それを評価するために実質的なインフラコスト、数千ドルものサーバー費用、そして莫大な運用リスクを負担することになります。私たちは単に相手のデータベースを汚染しただけではありません―― 彼らは、相手の貪欲さを利用し、相手の計算リソースを機能不全に陥らせた。
だからこそ、私たちのやり方を「強引だ」と考える人もいるのです。私たちはそれを 比例的かつ完全に倫理的である。 プロキシも、ボットネットも、有料の攻撃サービスも、違法なインフラも、グレーマーケットのプロバイダーとの提携もありません。すべては標準的なCloudflare Workers上で動作しており、軽量で、合法的、かつ透明性があります。人々を守るために、高価なツールや違法なツールは必要ありません。 シンプルで合法的な解決策の方が効果的であり、法廷でも通用する。

Google Search Console — phishdestroy.github.io/DO-NOT-USE-xmrwallet-com のインデックス登録およびパフォーマンスデータ。
この件に関しては、妥協の余地はない。
サイトは詐欺か、そうでないかのどちらかだ。中途半端なものは存在しない。誰が利益を得ようが、いくら支払おうが、誰が彼らを守ろうが、我々には関係ない。 その運転手は犯罪者だ。 登記官は、知らなかった(過失)か、あるいは知っていた(共謀)かのどちらかである。証拠は後者を示唆している。
わざと間違えたのですか?
はい。私たちは 意図的にAIマーカーを表示したままにした そして、他の調査から行動パターンを借用した――こうした些細な誤りが、オペレーターや登録担当者に、私たちの活動を封じ込める作戦に自信を持たせたのだ。私たちは彼らに、私たちを過小評価させたかった。彼らが「通報」ボタンを、それが確実に機能すると確信して、私たちがすぐに諦めてしまう素人だと信じて、迷いなく押すように仕向けたかったのだ。 彼らが自信を持って行ったあらゆる抑圧措置は、今やタイムスタンプ付きの証拠資料となっている。 その詳細は、オンライン詐欺のフォレンジック、特に詐欺業者の行動フィンガープリントに関する、近日発表予定の学術論文で公表される予定です。
最終的な目的は何ですか?
その証拠は、以下の機関に提出されました。 ICANN契約遵守 そして 連邦法執行機関。公式ルートを通じた調査は現在も続いている。このアーカイブは、いかなる情報も削除、改ざん、または隠蔽されないようにするために存在している。 すべての主張には裏付けがあります。すべてのスクリーンショットにはハッシュ値が割り当てられています。すべてのアクションは記録されています。
もし彼らがレビューの削除を否定するなら――私たちは「ウェイバックマシン」のアーカイブデータを提示する。もし彼らが苦情を無視したことを否定するなら――私たちは配信確認書を提示する。もし彼らが関連性を否定するなら――私たちはPR Newswireのタイムスタンプ、情報隠蔽のパターン一致、およびドメイン購入記録を提示する。
彼らは取り除いた 検索結果からのリンクが30~50件以上 Google、Bing、そして複数のプラットフォーム全体で――両者とも。これは、次の2つのうちのいずれかを証明している。すなわち、彼らが並外れて愚かで、すべての削除要請が記録され、フォレンジック上の痕跡が残ることに気づいていないか、あるいは 彼らは、ネガティブなコンテンツを削除してもらうよう、ある人物と恒常的な取り決めを結んでいる. いずれにせよ、ログは存在しており、両社でパターンは全く同じであり、そのすべてが召喚状の対象となる。この調査全体は、学術論文のためにも、法執行機関のためにも、まさにこのデータセットを生み出すことを目的として設計されたものである。
これは決して口論などではなかった。 これは事件ファイルです。

PhishDestroy Medium プロフィール — 証拠を記録・公開するために利用されている複数の公開プラットフォームの一つ。
上記の主張にはすべて、公開されている証拠資料があります。まずは代表的な事例から見ていきましょう:
PhishDestroy リサーチチーム
独立系フィッシング対策イニシアチブ — 2019年発足