NameSilo 1億ドルの仮想通貨を不正流用した容疑者を弁護した
— それから Twitterを停止しました
ICANN認定のレジストラが発表した 記録された4つの嘘 10年間にわたるモネロ盗難作戦を隠蔽するため、 盗難ツールが稼働中のうちにVirusTotalの記録を消去することを申し出、さらに有料のXゴールドチェックマークを利用して、 自分たちの主張が誤りであることを証明した研究者たちを封じ込めた。同社のDevOpsエンジニアは次のように述べている: ロシアの金融ネズミ講の元IT責任者 10年間。
この記事はプレビュー版です。完全な証拠、IPFSアーカイブ、およびすべての出典資料は、上記のリンクからご覧いただけます。
背景:xmrwallet.comとは一体何なのか
xmrwallet.com はフィッシングサイトではありません。これは サーバー側のバックドアを備えた、完全に機能するモネロウォレット 2018年に構築され、2026年5月まで稼働している――実に10年近くにも及ぶ。GitHubのリポジトリは単なる見せかけに過ぎない。盗用されたコードは本番サーバー上にのみ存在し、コミットされたこともなければ、監査されたこともない。
ユーザーによる操作が行われるたびに、プライベートビューキーがPOSTリクエストを介してオペレーターのサーバーに送信されます。このキーは、 session_key — およそ 1回のセッションにつき40回の送信. クライアント側のトランザクションは明示的に破棄されます(raw_tx_and_hash.raw = 0); サーバーは、盗み出した鍵を使って独自の鍵を生成する。
NewAlchemyの監査報告書はRedditで67の「いいね」を獲得し、長年にわたり信頼の指標として活用されてきました。その明確な対象範囲は以下の通りです: 「クライアントサイドのJavaScriptのみ。」 明示的に適用範囲外: 「多数のPHP APIエンドポイント。」 これらのエンドポイントが、実際の盗難の仕組みそのものです。この監査では、構造上、バックドアを発見することが不可能でした。
この窃盗は、意図的に標的を絞って行われています。少額の預け入れは長年にわたり手つかずのままにされ、信頼と正当な評価を築き上げます。一方、多額の資金は数分以内に盗み出されます。記録に残っているある被害者は590 XMRを預け入れましたが、2日以内にその全額が消え失せました。15人以上の記録された被害者を対象とした控えめな推計総額は以下の通りです: 5,000~50,000+ XMRが盗まれた (過去の価格換算で150万~1,500万ドル以上)。被害者の投稿の60%は、証拠の保存が行われる前に一斉通報され、削除された。
session_key セッションごとにオペレーターに。gtag を利用した鍵の流出を、サンドボックス環境でのデモで再現しました。DevTools を開き、[Network] タブを選択して、ウォレットを操作してください。ご覧ください session_key POSTリクエストはリアルタイムで送信されます。これが10年間稼働し続けていた仕組みです。これが、「セキュリティ監査」で一切検証されなかった部分です。これが、NameSiloが公に擁護していた点です。
NameSiloを説明した一文
2026年2月16日、xmrwallet.comの運営者はPhishDestroyにメールを送り、報告の削除を要求した。署名には「Nathalie Roy」とあり、GitHubアカウントは nathroy, ID 39167759。これに対し、当社は詳細な技術的分析と書面による警告を添えて回答しました: 「これからどうなるかは、あなたがどう行動するかによって決まります。」
翌日、彼はたった一文のメッセージを送ってきたが、その一文だけで、彼とNameSiloとの関係のすべてが伝わってきた:
NameSiloが彼を被害者だと名指しする3週間前
10年も前の排水機を稼働させている人は誰もいない $550/mo bulletproof Belize hosting…ロシアの「DDoS-Guard」の背後に身を隠しながら、彼は平然と、自分のレジストラに対して召喚状を出すよう促している――もっとも、彼がすでに答えを知っているのなら別だが。他の3つのレジストラ(PDR、WebNic、NICENIC)は、同じ証拠が提示されてから数日以内に彼のドメインの利用停止処分を下した。NameSiloは彼のためにプレスリリースを作成し、彼の記録をクリーンアップすることを申し出た。
2026年1月21日 — xmrwalletは、PR Newswireに料金を支払い、次のようなプレスリリースを配信した: 「秘密鍵は中央サーバーには一切送信されません。」 その session_key この期間中、本番サーバーへのすべてのユーザーセッションでPOSTリクエストが送信されていました。PR Newswireは有料の配信サービスであり、各企業が自ら記事を作成・資金提供しており、編集上の審査は行われません。出典: PR Newswire、2026年1月21日
NameSiloの「4つの嘘」、公式記録より
2026年3月13日、NameSiloの公式アカウントが、当サイトの調査スレッドに投稿を行いました。スクリーンショットを撮る前の閲覧数は11,300回でした。以下に永久保存されています。 ghostarchive.org/archive/CXXZ0. どの文も一次資料によって反証されている:
-
1「このドメインは数ヶ月前に乗っ取られました(その間、ウェブページのコピーがクリプトドレイナーに置き換えられていました)。」SHA-256ハッシュ値から、コードに変更がなかったことが確認された。運営側は、そのことを当方に確認した。 2018年に作成された、独自のPHPバックエンド。何も注入されていなかった。「ハッキング」の話は事後にでっち上げられたものだ。✗ 捏造
-
2「それ以前は、このドメインに関する不正利用の報告は一切受けていませんでした。」PhishDestroyからの送信のみ NameSiloのポータル経由のレポート20件以上(2023年~2026年)、配送受領証付き。2018年以降、BitcoinTalkやRedditには100件以上の一般からの苦情が寄せられています。この虚偽の主張以来、私たちが提出するすべての報告書には、提出前のタイムスタンプが記載された状態で公開されています。✗ 領収書と矛盾している
-
3「登録者を関与させない形で……徹底的な検討を行った後。」その運営者は、NameSiloのツイートが投稿される前の2月17日、そのコードが自身の作品であると主張する書面を当社に送ってきました。彼はハッキング被害を受けたとは一度も主張していません。同社の「徹底的な調査」による結論は、自社の登録者による書面での陳述と矛盾するものでした。✗ 自己矛盾
-
4「登録者と連携し、VirusTotalのレポートから当該ウェブサイトを削除する。」不正利用への対応ではない — 「ドレイナー」がまだ稼働中の間に、常習的な詐欺師がセキュリティ警告を消去するのを手助けした. PDR、WebNic、NICENICはいずれも、同じ証拠が提示されてから数日以内にドメインの利用停止措置を講じた。NameSiloは、記録の削除を申し出た。✗ 被害者への積極的な危害
NameSiloとは:米国の郵送先住所を持つCISアウトソーシング事業
NameSilo LLCはアリゾナ州フェニックスに登記されています。カナダ証券取引所(CSE)にはBrisio Innovations(CSE:BZI)として上場しており、2025年の売上高は6,550万カナダドルでした。実際のエンジニアリングチームは各地に分散しており、 ロシア、ベラルーシ、ウクライナ、セルビア、アルゼンチン、ラトビア。少なくとも13人のロシア語を話す従業員が特定された。DevOpsインフラへの完全なアクセス権限を持っていた人物は、NameSiloに入社する前、10年間にわたりロシアの金融ネズミ講のIT運用を担当していた。
アレクセイ・ポダシェフスキー (フロントエンド)— ベラルーシ(制裁対象国)。米国に登録され、ICANN認定を受けたレジストラに勤務。ロシア、ベラルーシ、セルビア、アルゼンチン、ラトビアの各国で、ロシア語を話す従業員が計13名以上確認されている。xmrwalletのインフラチェーンには、欧米のホスティングサービスは一切含まれていない。
518万以上のドメイン NameSiloの全ポートフォリオを対象に分析を行い、それぞれについてVirusTotal、URLhaus、PhishTank、abuse.ch、OpenPhish、およびSURBLとの照合を行いました。
xmrwallet PHPバックエンド クライアント側の動作トレースのみを基に完全に再構築された――サーバーへのアクセスも、ソースコードも、協力も一切ない。盗難の仕組みは、観測可能なネットワークパターンだけから解明された。
13名のチームメンバー LinkedIn、GitHub、HeadHunter、Telegram、企業登記簿、および6カ国の裁判記録を横断して照合した。 Trustpilotにおける削除の傾向 体系的な削除の頻度を特定するため、数ヶ月にわたって追跡調査を行った。 CSE:BZIの四半期報告書 ドメインポートフォリオのデータと照合し、収益の異常を特定した。 518万ドメイン 6つの脅威インテリジェンス・フィードと照合して分析しました。すべての生データは、以下のURLで公開されています。 github.com/phishdestroy/namesilo-evidence. ICANN、EUの法執行機関、および3カ国のサイバー犯罪対策部門に提出した。
ドメインの異常:32.2%が一度もアクティベートされていない――統計的な煙幕
私たちはデータを抽出して分析しました すべてのドメイン NameSiloのポートフォリオに含まれる全518万件について。それぞれについて、VirusTotal、URLhaus、PhishTank、abuse.ch、OpenPhish、SURBLによるチェックが行われました。生データ、調査方法、およびドメインごとの調査結果は公開されています: github.com/phishdestroy/namesilo-evidence. 結果: ドメインの32.2%は、一度も有効化されたことがない — これに対し、同業他社の登録業者では14.7~22.8%です。1日あたり10,000~17,000件の一括登録(ピーク時:2025年7月19日の17,180件)。 一度もアクティベートされていないドメインに1,200万ドルが費やされており、何の役にも立たないドメインへの年間支出は320万ドルに上る。2024年、NameSiloのパートナーであるShortDotが新しいTLD(.sbs、.cfdを卸値約0.50ドルで仕入れ、小売価格14.95ドルで販売= 22~31倍の価格設定)、デッドドメインの登録数が急増した 615% たった1年間で。
PrivacyGuardianは、300万以上のドメイン(登録先が pw-{hex}@privacyguardian.org). ビットコイン利用可。本人確認(KYC)不要。ファントムドメインが増えるたびに、不正利用の割合が全体に占める割合が小さく見えるようになる。
「ほとんど何もない」
43サイトごとに
正規のメール2.5通につき、フィッシングメールが1通
NameSiloは、2025年の売上高が6,550万カナダドルだったと報告している。PER: 143.8倍 対 業界平均 21倍. 実際の(稼働中の)ドメイン1件あたりの収益:68カナダドル(業界平均は10~15ドル)。95社のICANN登録事業者が、.comドメインをより安く販売している。 もし、大量の架空ドメイン登録が収益の洗浄(BTCからドメインへの変換で22~31倍のマークアップ)を目的としている場合、それらはカナダ証券取引所に提出される四半期報告書において「正当なレジストラ収益」として計上される。このパターンは記録されており、法執行機関に通報されている。
prnewswire.com — Reach Systems/NASAからの受注、2026年6月23日
newswire.ca — SewerVUEの買収、2025年9月12日
prnewswire.com — xmrwallet「秘密鍵はサーバーに送信されることはありません」、2026年1月21日
掲載後の展開
私たちの報道が公開された後、PhishDestroyが活動していたあらゆる主要なプラットフォームを対象に、法的な措置とプラットフォームによる削除を組み合わせた組織的なキャンペーンが展開されました。3つの措置――それぞれが記録・保存され、現在はICANNへの苦情申立第1479号の一部となっています。
ロックが解除される前に、私たちはNameSiloが詐欺師の「抑圧戦術」を用いるだろうと予測するツイートを投稿し、GhostArchiveにタイムスタンプを記録しました。彼らは、私たちが予測した通り、予定通りにその通りに行動しました。 このタイムスタンプ付きの予測――つまり、その戦術が使用される前に私たちが予見していたことを証明するもの――は、NameSiloに対するICANNへの苦情申立書(ICANN #1479)に含まれています。
すべてがオンになっています IPFS (phishdestroy.eth)、Arweave、GhostArchive、Wayback Machine. SHA-256で検証済みのスクリーンショット61枚。いかなる主張に対しても、法的な異議申し立てが成功した事例はゼロ。運営者やNameSiloからの技術的な反論もゼロ。事実に基づく反論は一切なく、法的脅迫、個人攻撃、そして削除されたツイートのみ。生データ、チームに関する資料、資金洗浄分析、被害者向けリソースを含む調査の全容は、以下のURLに掲載されています。 phishdestroy.eth.limo — IPFS、Arweave、GhostArchive、Wayback Machineにミラーリングされています。いずれにも「ゴールドチェックマーク」は付与されていません。
エスケープ・ドメイン・ネットワーク:閉鎖の数ヶ月前から準備が進められていた
開始 2026年2月4日 — 運営者がPhishDestroyに初めて連絡を取ったのと同じ週に — 彼は4つの異なるレジストラを通じて密かにエスケープドメインの登録を開始し、それぞれ5~10年分の料金を前払いした。このインフラは、個別の取り締まりには耐えられるように設計されていた。しかし、捜査には耐えられなかった。
完全な証拠を伴う初期の技術的分析: github.com/phishdestroy/DO-NOT-USE-xmrwallet-com
| ドメイン | 登録担当者 | プリペイド | IP | ステータス |
|---|---|---|---|---|
| xmrwallet.cc | パブリックドメインレジストリ | 8年 | 185.129.100.248 | 停止中 |
| xmrwallet.biz | WebNic.cc | 5年 | 190.115.31.40 | 停止中 |
| xmrwallet.net | NICENICインターナショナル | 10年 | 190.115.31.40 ← | DNS ダウン |
| xmrwallet.me | Key-Systems GmbH | 10年 | 185.129.100.248 ← | ACTIVE — 不正利用の報告あり |
IPクラスタリング: 185.129.100.248 .cc と .me で共有 — ホストは同じです。 190.115.31.40 .biz と .net で共有 — ホストは同一。4つのレジストラ、2つのIPクラスター。33年分の前払い登録。すべて、捜査官との最初の接触後に秘密裏に登録された。
金で買った評判:ウィキペディア、フォーブス、および15件以上のスポンサー記事
NameSiloの社会的評価は捏造されたものです。ウィキペディア:有料/宣伝記事のフラグ。フォーブス:「当サイトはアフィリエイト報酬を得ています」という開示。SmartCustomer:1.8/5 — Googleでのネガティブな検索結果はゼロ。
NameSiloにはウィキペディアの記事があります — 編集者により「有料記事/宣伝記事」としてマークされています、中立的な編集記事ではない。編集履歴(アーカイブ): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
NameSiloは、明確なアフィリエイト開示を伴って『フォーブス・アドバイザー』に掲載されています: 「Forbes Advisorは、厳格な編集上の誠実性の基準を遵守しています……当サイトは紹介料を受け取っています。」 「Forbes Advisor」は、ユーザーが同サイトのリンク経由で登録すると報酬を得ることになるため、好意的な報道を行うことに対して直接的な金銭的インセンティブが生まれている。出典: forbes.com/advisor/business/software/namesilo-review/
NameSiloは、 SmartCustomerでの評価は1.8/5 — 出典: smartcustomer.com/reviews/namesilo.com。これまでに数十件もの否定的なレビューが記録されているにもかかわらず、Googleで検索しても否定的な記事は1件もヒットしない――これは、私たちの調査に対して適用されたのと同じGDPRやDMCAのツールを用いた、積極的な情報隠蔽である。
NameSilo Technologies Corp.(CSE:BZI / OTC: URLOF — NameSilo LLCの上場親会社)は、企業発表にPR Newswireを利用しています。PR Newswireは有料の配信サービスであり、同社が文章を作成し、掲載料を支払っています。NameSilo Technologiesの有料プレスリリースの例:
- SewerVUE Technology Corp.の買収 — newswire.ca、2025年9月12日
- 子会社のリーチ・システムズがNASAから受注 — prnewswire.com、2026年6月23日
同じ手口だ。xmrwalletは、バックドアが稼働している最中の2026年1月21日、PR Newswireを利用して特集記事(「秘密鍵は中央サーバーに一切送信されない」)を公開した。これは、運営者が作成した文章をニュース価値のあるコンテンツとして装い、有料配信したものである。
3つの部署。1つの会社。そのどれ一つとして、互いに接触しても存続できない。
NameSiloは一貫した主張を貫き通せなかった。彼らは、その時点で直面している法的リスクの大きさに応じて、「自信に満ちた専門家」、「脅威にさらされた被害者」、「謙虚な公務員」という、互いに矛盾する3つの立場を次々と取り続けた。
「あなたの主張は虚偽であり、誹謗中傷および名誉毀損にあたります。NameSiloでは、寄せられたすべての不正利用報告について調査を行い、適切な措置を講じています。 そのような事例がある場合は、abuse@namesilo.com までご報告ください。それ以外の場合は、ウェブサイトのホストまたは登録者に直接ご連絡ください。また、当社に対する虚偽の主張を直ちに中止してください。さもなければ、当社は法的措置を講じざるを得なくなります。」
もしあなたの虐待対策チームに、その能力があったなら…… 徹底的な調査を行い、当該ドメインがハッキングされたことを確認し、登録者が被害者であることを特定した上で、VirusTotalでの検出結果の削除を支援し始める — それなら、あなたはこのドメインを悪意のあるものとして検知したすべてのウイルス対策ベンダーよりも、権威があり、技術的にも優れていると明言していることになります。
後で「自分は……」などと主張することはできません。 レポートを簡単に処理する そして フィッシングを見分けるための専門知識が不足している. ICANNへの苦情は、あなたが持っていない能力を求めているわけではありません。それは、あなたが明らかに持っている能力を、なぜ被害者ではなく詐欺師を助けるために使ったのか、と問うているのです。
Trustpilot:ボットファーム同士の競争
NameSiloへの5つ星評価1件(2026年1月): 「レオニードさんはとても親切でした… 5つ星!」 もう一つのレビュー:Otriumについて――詐欺や金銭の横領が指摘されている企業だ。ボットアカウントが1つ、詐欺に近い事業が2つ。共通点:実在するサポート担当者の名前が挙げられ、対応の速さが称賛され、定型文が使われている。実際のドメイン購入者は価格やパネルのユーザー体験についてレビューしている。ボットによるレビューでは「レオニード」が称賛されている。
データ分析 — NameSilo(2,280件)対 Namecheap(2,480件)のレビュー
| メートル法 | NameSilo | Namecheap |
|---|---|---|
| 5つ星のレビュー | 88.9% | 74.0% |
| 1つ星のレビュー | 7.2% | 16.7% |
| 単一レビューのアカウント | 62.4% | 59.6% |
| アバターなし(新規アカウント) | 67.3% | 51.5% |
| サポート・サービスに関する口コミ | 70.0% | 60.2% |
| 価格・費用に関するレビュー | 9.8% | 37.5% |
| コードネーム「レオニード」 | 5.7% | 0.0% |
| 米国の位置情報 | 35.1% | 26.5% |
レオニードは2025年4月13日に登場した。それ以前は一切言及されていなかった。その後、最初の2ヶ月間で65件のレビューが寄せられた。 2025年5月:レビュー数106件(通常の5倍)、5つ星が95%、1つ星は0件。 .comドメインの価格ランキングで96位にランクインしたこのレジストラに対する106件のレビューのうち、不満を述べた顧客は1人もいませんでした。
レオニドに関するレビューの43%は80文字未満です。そのうち4件はタイトルだけが 「レオニード」. あと3つ: 「レオニードはとても親切でした。」 レビュアーには、「サトシ・ナカモト」、「著者」、「Виктор -」、「アンナ・コロレヴァ」、「ボリス・マーティン」、「アンドレイ・ドブレスク」といった名前が、「ブラッド」、「ラトーヤ」、「パティ・ジョンソン」といった名前と混在している。 大陸を巡るように名前が入れ替わる名前生成ツール。「レオニード」という名前はロシア名である。
4つ星はゼロ。3つ星もゼロ。その他もゼロ。91%が1件のみのレビューアカウント。7年以上にわたる。中国:5つ星が94%、1件のみのレビューが80%。シンガポール:5つ星が95%。中国語圏市場からのレビュー計168件――そのほぼすべてが捏造である。
なぜ中国なのか? NameSiloは中国で積極的にマーケティングを展開しています: namesilo-china.com, bcbay.com/namesilo、中国の有料ブログ記事、中国語版ウィキペディアの記事。調査員が「422万件もの使用されていないドメインを誰が購入するのか?」と問うと、NameSiloは中国を指摘する。Trustpilotのデータによると、同社は2019年から、偽のレビューを一つずつ投稿することで、このアリバイを作り上げてきたことがわかる。
独立系 Claude API フォレンジック分析 — ブラインドテスト
Claude APIに投稿されたNameSiloのレビュー2,480件とNamecheapのレビュー2,480件は、「A社」(NameSilo)および「B社」(Namecheap)として匿名化されました。AIには、どちらがどちらであるかという情報は一切与えられていませんでした。
| 法医学的指標 | NameSilo (A) | Namecheap (B) |
|---|---|---|
| 5つ星の割合 | 89.1% | 74.0% |
| 1つ星の割合 | 7.1% | 16.7% |
| 5つ星の評価をつけた使い捨てアカウント | 92% | ~65% |
| 価格について言及しているレビュー | 11.2% | 39.2% |
| レビューで唯一の候補として挙げられた | レオニード:168 | なし |
| 5つ星の語彙の多様性(TTR) | 0.073 | ~0.15 |
| HK:100%が5つ星 | 57/57 | 該当なし |
| 2025年5月~6月の急増(平時の5倍) | 215件のレビュー | なし |
| AI操作に関する判決 | 92% | 15% |
「A社は、組織的な操作による人工的な生成を通じて、体系的なレビュー操作が行われたことを示す、広範かつ多角的な証拠を示している。こうしたパターンが自然発生的に生じる確率は、ほぼゼロに近い。」
詳細な分析: phishdestroy.eth.limo/namesilo-trustpilot.html ・生データ: trustpilot-forensic-report-final.txt
調査の成果
PhishDestroyによる調査と報道の後、xmrwallet.comは運営を停止した。運営者は別れのメッセージを送ったが、注目すべきは、その署名に「ナタリー・ロイ」という名前がなくなっていたことだ。長年にわたりxmrwalletの顔として知られていたこの人物は、ひっそりとその立場を去った。説明は一切なされなかった。
xmrwallet.com は最終的に、その GitHub リポジトリにリダイレクトされた。このリポジトリこそが、10年間にわたり「オープンソース」という口実として機能してきた、あの公開された表向きの顔そのものだった。3回の試行を経てようやくたどり着いた。このリポジトリは、 5年 リダイレクトの前は、コミットも更新もメンテナンスも一切行われていなかった。これは、実際のコードが監査されていない本番サーバー上にのみ存在し、一般公開を意図していなかったプロジェクトの性質と一致している。
xmrwallet.com は 2026年5月に Namecheap に移管され、2036年まで登録されています。NameSilo はこの件は解決済みと見なしているようです。 そうではありません。
「あらゆるウイルス対策ソフトメーカーを上回る実績を持つ専門家たちは、ドメインが移転した時点で手を引くだろう」とでも思ったのか? この調査はIPFS上で行われています。Arweave上でも行われています。ICANNの正式な苦情処理システムでも行われています。EUの法執行機関でも行われています。3つの国のサイバー犯罪対策部門でも行われています。 法的脅迫により、そのファイルには新たなタイムスタンプが1つ追加された。ドメインの移管により、証拠資料が1つ追加された。この調査を妨害するために行われたあらゆる行動は、それ自体が、私たちが説明したパターンを裏付ける記録された証拠となっている。
この状況において、君たちが一番賢かったわけではない。ただ、一時期だけお金を持っていただけだ。


