チームの真正な身元をめぐるフォレンジック・アンカーチェーン — 多源指紋の合成
確度 概ね確度あり
更新 2026-05-26
要再確認 2026-09-22
出典 3
機械翻訳 #security/forensic#security/identity#security/dd
ウィキ上の位置づけ
この項目は FinWiki index 配下にある。関連する比較文脈は スマートコントラクト bytecode フォレンジック — 三層 verify 技術、より広いインフラ境界は システム基盤 とあわせて読む。
[!info] 要約 表向きの体制(LinkedIn企業ページ / 公式サイトabout / PRリリース)と実際にコードを書いている人物が一致しない場合、6つの独立した指紋源を合成 → 単一論点の身元チェーンを構築 → 「表向きvs実チーム」の分離構造をロックする。グローバル暗号資産フォレンジックベンダー層 — Chainalysis / Elliptic / TRM / Crystal 比較 のclusterラベルと組み合わせれば、完全なattributionを形成可能。
6つの独立指紋源
- TLS証明書のSAN — ドメイン証明書内のSubject Alternative Names。同一ops拠点なら同じ証明書または発行機関を共用する傾向がある
- GitHubアカウント登録時刻の集中度 — 複数アカウントが1時間以内に連続登録 = sock-puppetシグナル
- Email ドメイン選好 — ProtonMail / iCloud / 自前ドメイン vs Gmail。チーム全体としての選好は揃いやすい
- LinkedIn企業ページの氏名言語 — 西アフリカ / 東南アジア / インド / 中国系 / 日本系の氏名が混在
- GitHub commit author nameの言語 — 実際のcommitのnameフィールド(LinkedIn上の表向きの氏名と対比)
- CLI / configパスからの露出 — ホームディレクトリのconfigパス、SSH known-hostsの残骸、ドキュメントmetadata、PDFのauthorフィールド
合成ロジック
- 表向き vs 実チーム判定:source 4(LinkedIn氏名)≠ source 5(commit author name)+ source 3(emailドメイン選好)→ 二元分離
- Sock-puppet判定:source 2(登録時刻の集中度)+ source 5(「独立」アカウント間でemailが重複)→ 同一人物の複数アカウント — DMM Bitcoin 流出事件 詳細分析 (2024-05) — Lazarus 帰属 4,502.9 BTC のような大型取引所事件の帰属推定は、まさにこの種の複数アカウントcluster重複分析に依存する
- 個体身元アンカー:source 1(TLS)∩ source 6(CLIパス)→ 単一論点のdev身元 — この層の結果は チェーンレベルOFAC freeze = 米ドルのチェーンレベル覇権 の制裁名簿マッチング処理と直結できる
アンチパターン
単一論点で身元を断定しない(例:LinkedIn1件のみで結論)。必ず3つ以上の独立sourceで交差照合すること。
使う場面
- プロジェクトが「グローバル・チーム」と謳いながら、コードスタイル / コメント言語が一貫しないケース
- 複数の「独立企業 / アウトソース」のcommitに同一emailが出現するケース
- LinkedIn氏名とWhitepaper author / commit authorの氏名が完全に異なる言語のケース
使わない場面
- プロジェクト側が公開かつ透明(GPG署名 / 公的身元あり)
- 個人のオープンソース・プロジェクト(表向きとの対照が不要)
- code quality DDのみを行いチームの真正性を検証しないケース
来歴
- ケーススタディ(vaporware audit):複数のGitHubアカウントが短時間に集中登録 + LinkedIn企業ページの氏名言語 vs commit author nameの言語が不一致 + Whitepaper PDFのmetadata author + CLIパス残骸 + 自前ドメインemail。複数アンカーの交差照合により表向き / 実チームの分離をロックした
- 同種技術は事後の帰属推定にも応用される:Coincheck NEM 580 億円流出事件 詳細分析 (2018-01) や 国内 VASP 暗号資産流出事件史 (2014-2026) における攻撃者追跡の手がかりを参照
Discovery
続けて読む
次に読む
- Git 履歴改竄の検出 — スカッシュおよび force-push された状態の復元 このエントリは security domain の配下にある。これは Wayback Machine as a forensic tool(公開停止された web コンテンツを復元する)のソースコード版に相当し、書き換えが消去しようとしたコミッターのメールアドレスやタイムスタンプを復元することで、forensic identity anchor chain における peopl... security/git-history-rewrite-detection
- プロキシ・アップグレード可能コントラクトの rug パターン — admin のアップグレード権限がバックドアになる このエントリは security domain の配下にある。依存するオンチェーン検証の仕組みについては bytecode forensic three-tier verify と併せて読み、アップグレード可能プロキシが現在デフォルトのデプロイ形態となっている、より広いスマートアカウントの文脈については ERC-4337 overview と併せて読むとよい。 security/proxy-upgrade-rug-pattern
- タイポスクワッティング・パッケージ検出チェックリスト — npm / PyPI / Go の名前混同トリアージ このエントリは security domain の配下にある。module path confusion + LICENSE strip supply chain attack における具体的な攻撃を、再利用可能でレジストリ非依存のトリアージチェックリストへと一般化したものであり、スクワットされたパッケージを発行者へ結びつける必要がある場合には、forensic identit... security/typosquatting-package-detection-checklist
ここへリンク
- DeFiと伝統的金融を橋渡しするエージェントアイデンティティ · KYA、Skyfire、Lit PKP、mDL、MiCA、GENIUS 2026 におけるエージェントアイデンティティは、DeFiネイティブなプリミティブ(スマートコントラクトウォレット、オンチェーンのアテステーション、Lit PKPのしきい値鍵またはセッション鍵で制御されるERC-4337 /ERC-7702 ウォレット)と、伝統的なデジタルアイデンティティのプリミティブ(mDL ISO/IEC 18013-5 モバイル運転免許証、EU eIDA... agent-economy/agent-identity-defi-and-traditional-finance-bridge
- Bybit Lazarus $14.6 億 ハック詳細分析 (2025-02) — 史上最大の暗号資産流出 本項目は exchanges index の配下に位置する。ピア比較・対照の文脈では DMM Bitcoin 流出事件 詳細分析 (2024-05) — Lazarus 帰属 4,502.9 BTC とあわせて読み、より広いシステム・規制境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 を参照する。 exchanges/bybit-lazarus-hack-detailed-analysis
- CEX matching engine + cold/hot ウォレット内部架構 本項目は exchanges index 配下に位置する。比較・対照の文脈では 国内 VASP コールド保管 95% + 分別管理制度、より広いシステム上・規制上の境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 とあわせて読む。 exchanges/cex-matching-engine-wallet-architecture
- Coincheck NEM 580 億円流出事件 詳細分析 (2018-01) この項目は exchanges index 配下に位置する。DMM Bitcoin 流出事件 詳細分析 (2024-05) — Lazarus 帰属 4,502.9 BTC とあわせて読むと同業比較・対照の文脈が分かり、FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 とあわせて読むとより広い制度・規制境界が分かる。 exchanges/coincheck-nem-hack-detailed-analysis
- DMM Bitcoin 流出事件 詳細分析 (2024-05) — Lazarus 帰属 4,502.9 BTC このエントリは exchanges index の配下に位置づけられる。ピア比較・対照の文脈では Coincheck NEM 580 億円流出事件 詳細分析 (2018-01)、より広いシステムおよび規制境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 とあわせて読む。 exchanges/dmm-bitcoin-lazarus-hack-detailed-analysis