ニュースに戻る
調査報告書 — 最終版

xmrwallet[.]comの終焉: NameSiloは、200万ドルの窃盗犯を庇うために嘘をついた

10年間にわたりモネロの秘密鍵を盗み続けてきたこの組織は、ついに壊滅した。3つのドメイン登録業者は数日のうちに措置を講じた。4社目であるNameSiloは、詐欺師に連絡を取り、その話を信じ込み、彼の広報担当となってしまった。

2026年3月27日 PhishDestroy リサーチ 読了時間:12分
xmrwallet.com に関する調査 — NameSilo の実態が明らかに
調査の概要:xmrwallet[.]comの崩壊と、詐欺師を庇ったNameSiloの役割。
$2M+
盗難推定件数
10
活動期間
3/4
登録機関の業務停止
7
「NameSilo」説が誤りであることが証明された
8
PHPエンドポイントの盗難

xmrwallet[.]com が実際に何をしたのか

2016年以来、xmrwallet[.]comは、無料のオープンソースのモネロウォレットとして自らを宣伝してきました。当サイトの 2026年2月18日のライブネットワークキャプチャ 実際には、まったく異なる行為を行っていたことが判明した。それは、ログインのたびにMoneroのプライベートビューキーを盗み出し、サーバー側で取引を乗っ取っていたということだ。

Moneroのビューキー流出攻撃 — 盗まれたキーを詐欺師のサーバーへ送信するノートパソコン
スクリーンショット 1 — 盗難の手口:ウォレットへのログインが行われるたびに、被害者のモネロのプライベート・ビューキーがBase64エンコードされて詐欺師のサーバーに送信されていた。
盗難の根本的な仕組み

コードの挿入ではない — その コアアーキテクチャ. 8つのPHPエンドポイントにまたがるセッションシステムで、被害者のプライベートビューキーを送信する 1回のセッションにつき40回以上. ユーザーがXMRを送金した際、その取引は黙って破棄されていた(raw_tx_and_hash.raw = 0) を、詐欺師のものに置き換えてしまった。

ユーザーがウォレットを開く
漏洩した鍵を表示(Base64)
TXがサーバー側で乗っ取られた
詐欺師に送金されたXMR
ビューキーの盗用に利用された8つのPHP APIエンドポイント — GitHubの証拠リポジトリ
スクリーンショット 2 — 当社の GitHub 証拠リポジトリに記載されている 8 つの PHP エンドポイント。各エンドポイントは、session_key/view_key の情報漏洩チェーンに関与しています。

VirusTotalに登録されている6社のセキュリティベンダーが、これを悪意のあるファイルとして検出しました。Trustpilot、Sitejabber、BitcoinTalkには、計15件の被害報告が寄せられています。ある被害者は 590 XMR(約177,000ドル) たった1件の窃盗事件で。

VirusTotalのスキャン結果によると、93社のベンダーのうち6社がxmrwallet.comを悪意のあるサイトとして検知しており、その中にはFortinetのフィッシング検知機能も含まれている。
スクリーンショット 3 — VirusTotal:93社のベンダーのうち6社がxmrwallet.comを悪意のあるサイトとして検出しました。Fortinetはこれを「フィッシング」と分類しました。
ScamAdviserでは、xmrwallet.comが「非常に危険な可能性が高い」と表示されており、信頼スコアは100点満点中1点となっています。
スクリーンショット 4 — ScamAdviser:信頼スコア 1/100。「安全ではない可能性が非常に高い。」

3人の登記官が職務を全うした

私たちは、xmrwalletドメインをホストしている4つのレジストラすべてに、同一の内容の不正利用報告を提出しました。そのうち3社は直ちに対応しました:

登録業務の停止状態にある登録機関を表す3つの鍵のかかったドアと、NameSiloが対応を拒否していることを表す1つの開いたドア
スクリーンショット 5 — 3社のレジストラがドアに鍵をかけた。一方、NameSiloは詐欺師のためにドアを全開にしていた。

パブリックドメインレジストリ

xmrwallet.cc
停止中

インド・行動までの日数

WebNic

xmrwallet.biz
停止中

マレーシア・行動までの日数

NiceNIC

xmrwallet.net
DNSがダウン中

中国・行動を起こすまでの期間

NameSilo

xmrwallet.com
拒否された

米国・詐欺師を擁護した

3カ国。3つの独立した結論。

インド、マレーシア、中国――証拠を精査し、不正行為を確認した上で、ドメインの利用を停止した。何の質問もなかった。

NameSiloは別の道を選んだ

4人目の登記官―― NameSilo, LLC(米国) — 証拠が最も多く、被害者も最も多い主要ドメインを管理していた — にもかかわらず、彼らは正反対の行動をとった。彼らは詐欺師に連絡を取り、その話を信じ込み、彼を擁護する公式声明を発表した:

NameSiloがX(Twitter)上で、xmrwallet.comの運営者が「ドメインが乗っ取られた」と主張している件について擁護する声明を発表した
スクリーンショット6 — 2026年3月12日、NameSiloがX(Twitter)で発表した声明。この投稿に含まれる主張はすべて虚偽であった。
「当社の不正利用対策チームがこの件について詳細な調査を行ったところ、当該ドメインは数ヶ月前に乗っ取られていたようです……徹底的な調査の結果、当社のチームは、登録者とは無関係に乗っ取りが行われたことを示す証拠を発見しました……また、登録者側も、VTレポートから当該ウェブサイトを削除するよう取り組んでいます。」

— NameSilo、X(Twitter)より

この記述を1行ずつ分析しました。 その主張はすべて虚偽だった。

オペレーター自身の言葉

NameSiloが介入する前、運営者は当社の不正利用報告に対して直接回答していました。そのメールからは、彼が事態を認識しており、意図があったことが確認できます:

xmrwalletの運営者からのメール返信によると、これはフィッシングではなく、8年間運営されているとのこと
スクリーンショット 7 — オペレーターの回答:「これはフィッシングではありません。当社は8年以上運営を続けています。」
xmrwalletの運営者によるメールでの回答:盗難疑惑を否定し、データ収集の慣行を擁護
スクリーンショット 8 — オペレーターの 2 回目の回答:「このサービスを提供するには、このデータが必要です。」この「データ」とは、被害者のプライベートビューキーのことだった。

7つの嘘、その正体

嘘その1:「そのドメインが乗っ取られた」

盗難の仕組みは中核となるアーキテクチャであり、8つのPHPエンドポイント、Base64キーの流出、a GitHubのコミット間隔が5.3年. このシステムは、数年かけて構築されたものであり、急ごしらえで導入されたものではない。

嘘その2:「これまで虐待の通報は一切受けていなかった」

VirusTotalのベンダー6社、数年前から続くTrustpilotへの苦情、BitcoinTalkの警告スレッド、運営者 2018年にr/Moneroから追放された. Googleで一度検索すれば、すぐに分かったはずだ。

嘘その3:「登録者を巻き込まない」

オペレーターが登録されました 4つのレジストラにまたがる4つのエスケープドメイン (それぞれ5~10年の前払い) 以前 調査結果が公表された。GitHubのイシューを21件以上削除した。キャプチャシステムの開発者を採用した。あれは被害者なんかじゃない――あれは作戦だ。

嘘その4:「彼らは直ちに是正措置を講じた」

その盗難防止コードは本番環境で実行されていた NameSiloの声明の中で. どのインシデントに対しても、GitHubへのコミットは一切行われていない。何も元に戻されていない。

嘘その5:「VirusTotalからの掲載削除に向けて取り組んでいる」

NameSiloは、フォーティネットの「フィッシング」検知機能を削除するよう働きかけた詐欺師を称賛した―― フィッシングコードを削除せずに. それは誠実な対応とは言えません。セキュリティ警告を隠蔽しているのです。

嘘その6:「その虐待は最近のことですか?」

事件を打ち切れるように、立証責任を記者側に転嫁した。証拠は報告書に記されていた。3人の同僚登録官がわざわざ尋ねる必要などなかった。

嘘その7:「捜査を再開する」

「再開」という言葉は、かつて営業していたことを示唆している。彼らの「調査」とは、詐欺師に電話をかけ、その発言を書き留めるだけだった。それは調査などではなく、単なる口述筆記に過ぎない。

インフラに関する証拠

調査前に登録された、停止中のxmrwalletドメインおよびエスケープドメインを示すドメインネットワーク図
スクリーンショット 9 — ドメインエスケープネットワーク:4つのレジストラにまたがる4つのドメインが、すべて同じサーバーを指している。そのうち3つを無力化した。
複数のTLDにわたってxmrwalletドメインが同じIPアドレスに解決されることを示すURLScanの結果
スクリーンショット 10 — URLScan のデータ:すべての xmrwallet ドメイン(.com、.cc、.biz、.net、.me、.app)が、同じインフラストラクチャに解決されている。
盗難の証拠として記録されたエンドポイントやネットワークキャプチャを掲載したGitHubの証拠リポジトリ
スクリーンショット 11 — ネットワークキャプチャの分析結果をすべて収録した、当社の GitHub 証拠リポジトリ。1回のセッションで、109件のリクエストと43件のビューキー送信が記録されています。

年表:xmrwalletの崩壊

2016
xmrwallet[.]comがサービスを開始、「無料のオープンソースMoneroウォレット」として宣伝している
2018
オペレーター r/Moneroから追放された. Trustpilotに最初の被害報告が掲載される
2026年2月4日
ドメイン「xmrwallet.cc」が登録されました(8年分の前払い) — 調査結果の公表前
2026年2月13日
第35号が発行されました — TXハイジャックの仕組みが完全に明らかになった
2026年2月18日
第36号 — ライブキャプチャ:1回のセッションで109件のリクエスト、43件のビューキー送信
2026年2月23日
xmrwallet.cc サービス停止中 (PDR)。 xmrwallet.biz 停止中 (WebNic)。オペレーターがパニック状態でIssue #35 および #36 を削除
2026年2月26日
さらなるパニック:xmrwallet.net と .me が登録された(10年分の前払い、停止されたドメインと同じIPアドレス)
2026年3月8日
xmrwallet.net の DNS がダウン中 (NiceNIC)。4つのエスケープドメインのうち3つが不活性化された
2026年3月
NameSiloが声明を発表: 「登録者が被害者である。」 VirusTotalによる検出を抑制するのに役立ちます
2026年3月27日
ICANNへの正式な苦情が提出された (RAA第3.18条)。法執行機関に提出された証拠。本報告書が公表された。

結論

NameSiloは証拠を無視したわけではない。彼らはその証拠を読み、詐欺師に電話をかけ、彼の言葉を信じ、彼を無実だと宣言し、セキュリティ警告の公表を阻止する手助けをした。そして、研究者たちに、その悪用が「最近のもの」であることを証明するよう求めた。

それは怠慢ではありません。それはパートナーシップなのです。

ドメインは停止した。詐欺は終わった。しかし、米国のレジストラが、200万ドル相当の仮想通貨を盗んだ犯人を庇うために、公然とでっち上げの口実をでっち上げたという事実――それは、NameSiloにとって今後長い間付きまとうことになるだろう。同社の声明は、今後提出されるあらゆる訴訟書類において、証拠書類Aとして提出されることになるだろう。

泥棒を擁護すれば、その代償も一緒に背負うことになる。

証拠と資料

関連する調査

本調査は、公開されている証拠、リアルタイムのネットワークキャプチャ、OSINT、公開レビュープラットフォーム、およびNameSilo社自身の公式声明の原文に基づいています。不正アクセスは一切行われていません。すべての調査結果は、独立して再現可能です。

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

xmrwalletの真相:10年間にわたる秘密鍵の盗難
徹底調査
xmrwalletの真相:10年間にわたる秘密鍵の盗難
NiceNICの調査:ICANN登録機関がサイバー犯罪を助長
徹底調査
NiceNICの調査:ICANN登録機関がサイバー犯罪を助長
NameSilo、Webnic、NiceNIC:詐欺を助長するレジストラ
調査
NameSilo、Webnic、NiceNIC:詐欺を助長するレジストラ