仮想通貨取引所のコンプラが解説するTornado Cashに対するOFAC制裁【前編】

はじめに

8月に入って、クリプト領域の話題をさらった事件として、OFACによるミキシング「Tornado Cash」（以下「TC*1」）に対する制裁指定がありました。

U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash

米当局による措置は、クリプト界隈において抱かれていたであろう、分散的に運営される組織（DAO）やそこで開発される機能・技術に対しては規制はかからないだろうとの期待を裏切ったという意味で象徴的な事案になるように思います。

以下では、あまりこの業界に馴染みのない方でもなるべく雰囲気が伝わるように、今回のOFAC制裁のインパクトを分かり易くご紹介したいと思います。

本稿前編では、OFACの制裁の背後にあった動きを中心にTCへの制裁について解説し、後編では、制裁の問題点や今後の影響について検討したいと思います。

【Key Takeaways】
・OFACのTCへの制裁の背後には、活発化する北朝鮮のサイバー犯罪があり、クリプト領域における被害規模は2022年上半期で1300億円を超える。仮想通貨の窃取後はミキサーが利用される傾向が年々高まっている。
・TCの制裁を通して、OFACによって、ノンカストディアルな「サービス」であっても、状況によってはAMLが必要であることが示唆された。ただ、OFACとFinCEN間の考え方の違いが明らかになった。
・OFACはTCの機能を理解し、内部で議論したうえで、制裁の効果を高めるため、コントラクトアドレスのブラックリスト化に踏み切ったのではないか。

*1　TCとは、スマートコントラクトを用い、利用者の仮想通貨を管理しない方式（ノンカストディアル）により、仮想通貨の出所を隠すことで、金融プライバシーを担保するための技術・機能＝ミキシングの代表的なサービスです。
*2 以下では、TCの運営がある程度分散されておこなわれており、TC（開発者を含む）は積極的にマネロンを助長するようなことはなかったという前提のもと議論を展開します。

1. OFACの制裁とは？

米財務省OFAC（Office of Foreign Assets Control）とは対外政策や安全保障上の観点から、国や地域別に制裁プログラムを運用するセクションです。例えばイランや北朝鮮のように特定の国との取引を包括的に禁ずる包括プログラムを有するほか、特定の団体や個人などリストベースで規制を行うものもあります。

後者のリストベースの規制について、OFACは特定の国に所有・支配されているか、または特定の国のために行動する個人・法人、テロリスト、ギャングなど特別に指定した主体をSDNリスト「specifically designtaed nationals and persons list」に追加していきます。

対象の主体の資産は凍結され、米国人は対象の主体との取引を禁止されます。今回、TCに関する情報が追加されたのもこのリストのうち、北朝鮮がらみの「サイバー関係制裁プログラム（cyber-related sanctions program）」分野のリストでした。

このようなOFACの制裁関連の規制については、中央集権的な金融機関で外国為替を提供したり、暗号資産の移転を行う場合に特に留意が必要です。詳細は割愛しますが、各種措置によって、OFAC制裁対象者が取引に関わっていないことの確認に相応のリソースを割いている現状があり、海外送金の利便性を落とす原因になっています。

TCの事例と少し文脈は異なりますが、2014年には大手金融機関のBNPパリバが、米国本土で直接的に取引がなかったにも関わらず、OFAC規制の域外適用がありました。この結果、多額（現在だと日本円で1兆円をこえる）の民事制裁金を科されたうえに、同社の幹部13名が解雇されたこともあり、OFACは米国外の金融機関からしても、米ドル介した取引を行う限り、非常に怖い存在として認識されています。

以上つらつらと述べましたが、ここでは、OFACの存在が、米ドルを基軸とする現在の金融システムにおいて、異常に影響力の大きい存在であると理解していただき、先に進みましょう。

2. Tornado Cashへの制裁の背景

さて、そんなOFACがTCに対してリストベースの規制に基づく、制裁をおこないました。この背景にある極めて重要な動きは、活発化する北朝鮮のサイバー活動、特に仮想通貨を用いた制裁回避です。

例えば、国連安全保障理事会の制裁委員会の専門家パネルでは、北朝鮮によるランサムウェア活動で仮想通貨が調達されていることや、仮想通貨取引所等に対するサイバー犯罪によって2021年で4億ドルの外貨を獲得している実態について言及があります（国連安全保障理事会 「北朝鮮専門家パネル最終報告書 2022年」パラ183）。同国のサイバー犯罪は、今後も、クリプト業界の信頼において最大の障害と言って良いと思います。

この様な活動について、自国が被害を受けていたこともあり、早くから警鐘を鳴らして来たのが米国です（米財務省 「DPRK サイバー脅威勧告」）。

北朝鮮のサイバー犯罪は、2021年に入り、特に仮想通貨の領域で活発な動きがみられます。また2022年に入ってからは、異なるブロックチェーン間を技術的に繋ぐブリッジやDeFiの脆弱性をついた攻撃などから、上半期ですでに10億ドル（日本円で1,300億円程度）を仮想通貨で窃取しているとされます（Chainalysis "Vulnerabilities in Cross-chain Bridge Protocols Emerge as Top Security Risk"）。

ハッキングにより窃取された仮想通貨の割合
赤色部分がブリッジへの攻撃（北朝鮮によるもの以外も含む）

中でも2014年の米映画会社Sony Picturesへの攻撃以降は、広義に「Lazarus」（ラザルス）と呼ばれる組織（北朝鮮 偵察総局（RGB）のサイバーアクターの総称）が特に有名です。

そしてこのラザルスが関与した、2022年3月末に発生した「Ronin Bridge」（NFTゲーム Axie Infinityを開発しているベトナムの新興企業「Sky Mavis」が運営するサイドチェーン）に対する攻撃が、本件TCへの制裁に影響を与えています。これは、過去最大の仮想通貨の窃取事件です。

この攻撃によって、ラザルスは、6億ドル（720億円）を超える仮想通貨を窃取し、そのうち4.5億ドルを超える犯罪収益をTCを介した洗浄している事実が米国によって問題視されています（なお、OFACはこの事件を契機に4月にラザルスに対して追加制裁を行なっています（OFAC "North Korea Designation Update"））。

下図のように北朝鮮は、2019年以降、盗んだ資金をミキサーを用いて洗浄する割合が顕著に増加しています。これは、世界的に中央集権的な事業者でのマネロン対策が進んだことが影響していると思われます。

北朝鮮による資金洗浄場所の傾向

国際的に、各国や金融機関は、地道な活動と多額のコストを払い、北朝鮮等による制裁回避の動きをなんとか阻止しようとしている状況下において、規制のない分散金融・クリプトの領域で、いとも容易く、多額の資金が制裁対象者の手に渡っており、その大半がミキサーで洗浄されている状況なのです。

こういった事実は、特に安全保障環境が緊迫化する中において、仮想通貨業界の外部の者からすると大きな懸念や脅威として捉えられている状況と思われます。特に米国は、国家インフラがランサムウェアに攻撃されたり（もちろん他国もでしょうけども）、サイバー空間では、常時宣戦布告のない戦争状態にあるようなものです。この業界の中だけ見ていてはわからない温度感の決定的な違いがあります。

3. Tornado Cashへの制裁内容

さて前置きが長くなりましたが、本件のTCへの制裁事案をみていきましょう。OFAC公表文の概要は、以下のような内容でした。

・TCと言う組織は、仮想通貨の秘匿性を強化するサービスを提供している。
・昨今、ラザルスという北朝鮮が支援する組織は、TCのサービスを利用し、多額の犯罪収益を洗浄しているにも拘らず、TCは資金の出所を特定もせず、必要な措置（マネロン対応）の実施を怠ってきている。
・TCは、実質的にラザルスを支援しており、国家の脅威である。

本稿ではこのOFAC制裁の特徴を、以下のように整理したうえで、それぞれ紹介します。

① DAO への規制？ 
- 従前、規制対象外と考えられていた、非中央集権的な（DAO的な）組織が米当局に制裁を受けたこと
② 悪用されれば制裁対象？
- AML義務を履行しないことが、制裁者を実質的に支援していることにつながり、引いては当該主体も制裁対象であると解されたこと
③ 技術への制裁？
- 制裁対象リスト（SDN List）にコントラクトアドレスが初めて追加されたこと

① DAOへの規制？

まず、「従前、規制対象外と考えられていた、非中央集権的な（DAO的な）組織が米当局に制裁を受けたことと」についてですが、まずはこれまでどのような考えがあったかについて紹介します。

これまでの米国での規制に関する議論では、ノンカストディアルな技術・ソフトウェアを提供するだけであれば規制対象ではないとの考え方が一般的でした。

これは、今なお業規制の側面では一般的に妥当する考えだと思います。同じ米財務省の別のセクションのFinCENのガイダンス（FinCEN （2019/5）"Application of FinCEN’s Regulations to Certain Business Models Involving Convertible Virtual Currencies"）では、以下のように記載されています。

FinCENの規制では、送金サービスを支援するために送金者が使用する配送、通信、ネットワークアクセスサービスのみを提供する場合、その主体はMoney Transmitter（筆者補足：日本の資金移動業のような業態で登録業者）の地位から免除されます。
この免除と同様に、仮想通貨取引プラットフォームが仮想通貨の買い手と売り手がビットとオファーを投稿するフォーラムのみを提供し（取引相手の自動マッチングの有無を問わず）、当事者自身が外部の場（つまり、個人のウォレットまたは取引プラットフォームが非ホスト型ウォレット）を介してマッチした取引を決済する場合、当該取引プラットフォームはFinCEN規制の下でMoney Transmitterに該当しないものと見なされます。

強調筆者

少し分かりにくいですが、太字の部分が重要で、顧客のPrivate Keyを受領しないタイプ（非ホスト型ウォレット、ノンカストディアル）の仕組みによる仮想通貨の交換（Decentralized Exchange, DEX）についての話です。ノンカストディアルな「サービス」（機能）は、一般的には、Money Transmitter（日本で言えば資金移動業に相当する業態）に当たらないと言っています（Global Legal Insights "Blockchain &Cryptocurrency Laws and Regulation 2022"）。

この場合、Bank Secrecy Act（銀行秘密法）の適用外になるので、法令上のKYC含むAML措置は不要であると整理できます。FATFにおいても、より保守的ではありますが、同様の趣旨が明確化されていますし、世界の業規制においても解釈に幅があるものの大体同じです。したがって、TCについても、この文脈では他の非ホスト型の仮想通貨ウォレットなどと同様に業規制はかからず、AMLの導入の義務はないといえそうです。

他方で、本件の措置は、FinCENではなくOFACによるもので、「著しく悪意のあるサイバー利用活動に関与する特定の者の資産を凍結する」こと目的とする大統領令（行政命令）第13694号に沿って行われていますが、その制裁対象となる主体は以下のように極めて広く定義されています。

(a) the term "person" means an individual or entity;
(b) the term "entity" means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization;
（仮訳）
(a) 「個人」という用語は、個人または主体を意味します。
(b) 「主体」という用語は、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の組織を意味します。

Executive Order -- "Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities"
強調筆者

そのため、非中央集権的・分散的な組織であっても制裁対象となります。制裁対象の選定が適切になされている限り、TCの様なDAOに対して制裁を科すこと自体は特段おかしなこととまでは言い切れないと思われます。

他方、②とも関係しますが、財務省内のOFACとFinCENの規制対象の定義の違い（考え方の違い）は、遵守すべき規制に関する不透明さを招いている様に思います。

② 悪用されれば制裁対象？

AML義務を履行しないことが、制裁者を実質的に支援していることにつながり、引いては当該主体も制裁対象であると解されたこと、についてです。

TC自体は、積極的にマネロンを助長する意図はなかったとと言う認識ですが、これまで15.4億ドル（2000億円）を超える犯罪収益のマネロンに利用されてきています。昨今は、ラザルスによる資金洗浄が頻発している状況下でしたが、マネロン防止に必要な措置を導入していませんでした。

【2022年のラザルスの活動とOFACの制裁】
3月30日：Ronin Bridgeへのラザルスの攻撃→TCで590億円資金洗浄
4月22日：OFAC、ラザルスを追加制裁
5月 6日：OFAC、ミキサー「Blender」をSNDリストへ追加し制裁
6月23日：Harmony Bridgeへのラザルスの攻撃→TCで130億円資金洗浄
8月   1日：Nomad Bridgeへのラザルスの攻撃→TCで10億円資金洗浄
　 →8日：OFAC、ミキサー「Tornado Cash」をSNDリストへ追加し制裁

OFAC "U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash"

また、2022年上半期に犯罪収益として資金洗浄されたETHの約75%がTCを介しているとのデータもあり（SlowMist "2022 Mid-Year Blockchain Security and AML Analysis Report"）、盗まれたETHはほぼ資金洗浄のためにTCに送られると言っても過言ではない状況になっていました。

しかしながら、これと同時に重要なことは、時期にもよりますが、TCの利用の7〜8割（金額ベース）は正当な利用方法だったと言うことです。

例えば、ブロックチェーン分析ベンダChainalysisは、TCを介した取引全体の7割（金額ベース）は違法ではない取引であるとしています。（Chainalysis Blog "OFAC Sanctions Popular Ethereum Mixer Tornado Cash for Laundering Crypto Stolen by North Korea’s Lazarus Group"、下図参照）。また、競合ベンダのEllipticは、TCを介した全取引の70億ドルのうち不正な取引は15.4億ドル（22%）と算出しています（Elliptic "Tornado Cash Mixer Sanctioned After Laundering Over $1.5 Billion"）。

このことは、イーサリアムのエコシステムにおいて、プライバシーやセキュリティの観点から、TCがいかに重宝されていたかを物語るものと言えそうです。

TC（の関係者たち）からすると、例えば小説家が書いた小説の記載内容を真似て犯罪が起こっても、出版社や小説家が犯罪を助長しているわけではないのと同じように、オープンソースでプライバシー強化の技術を開発して公開いるだけで、事業者ではないのだから制裁対応・AMLなど知らない*3。技術の大半は正当な目的で利用されていることが明らかであるし、そもそもCodeを書くことは言論や表現の自由として守られるべき、といった意識だったのだろうと思います。

しかしながら、OFACはそのような姿勢を良しとせず、やるべきことをやっていない、不作為と捉えました。

TCのおかれている状況を鑑みれば、TCにはAML措置を講じる義務があったとみなしました。そして、何らのAML措置も講じてこなかったTCは、北朝鮮が支援するラザルスによるサイバー犯罪を技術的また金融的側面から実質的に支援している（having materially assisted..）「悪名高き（Notorious ）ミキサー」であると断じ、米国の国家安全保障等に対する重大な脅威であると認定したのでした。まさに「未必の故意」…

この様なOFACのロジックですが、本人確認などの基本的なAML措置のない分散的なクリプト領域においてはなかなかに懸念すべき論理でしょう。実質的に、分散的なプロジェクトの生殺与奪が制裁対象者（北朝鮮）の動向に左右されることになりかねません...

また、制裁の文脈では、米国が制裁対象としている組織との間で実質的に取引し続けていることで、同じ制裁を受けたと考えると、これは「二次制裁」と見なしても良いのかもしれません。

二次制裁は、基本的に、非米国人と制裁対象者との直接または間接の取引であって、米国との接点を有しないものを対象とするものであり、近時、当局により多く用いられている制裁手法です。（略）
たとえば、なんらの米国との接点を有しない取引であっても、後述のSDNリストと呼ばれる制裁対象者リストに掲載された者と直接的または間接的に取引を行った場合、SDNリスト掲載者に対する重要な支援等を行ったとして、当該取引に関与した者自身がSDNリストに掲載されたり、米国市場へのアクセスを禁止されたりするおそれがあります。

Business Lawyer 「法務が知っておくべき経済安全保障の最新動向と実務」
強調筆者

今回の制裁措置で明らかになったことは、FinCENガイダンスの解釈に沿っていれば、AMLを導入する義務はないと考えられるTCに対して、OFACは状況からみてAMLは必要だったと解釈していることです。

同一省庁内でのノンカストディアルな「サービス」に対する微妙な考え方のズレは今後も業界を悩ます問題になりそうです。

この制裁によって、プライバシーの確保・セキュリティを目的とした正当な使い方であっても、TCを介した取引を行う機会が実質的に奪われました。

*3 開発者らのTCへの関与の方法やTCの機能から利益を受けていた場合については、規制対象の事業者に該当する場合があり、そのときは、上記の前提がガラッと変わってきます。この点は後編で考えます。

③ コントラクトアドレスの初めての制裁指定

今回、特筆すべきは、OFACがSDNリストに追加する制裁対象者（TC）及びその管理する財産（Property）の情報として、Tornado Cashという名称、それが管理していると推察される仮想通貨アドレス（ETH, USDC）およびWebサイトに加えて、20を超えるスマートコントラクトのコントラクトアドレスが指定されていることでしょう（Cyber-related Designation、下記サイト参照）。

Cyber-related Designation

コントラクトアドレスのSDN指定は初めての事例です。OFACがDAOのような組織を制裁するためにより実効性のある措置として、DAOの中枢であるスマートコントラクト技術についても、TCが管理する財産と捉え、そのアクセスを禁止したことになります。

制裁公表のタイミングを見る限り、技術に対して制裁を科すことについて、省庁内でも議論がある程度なされたのではないかと思います。5月の中央集権的なミキサー「Blender」への制裁時点で、Blenderとの比較で、TCが桁違いの資金洗浄先であったことは明らかになっていました。

Ronin Bridgeから窃取された犯罪収益6億2000万ドルのうち、
　→5月制裁：Blender 経由の洗浄：2050万ドル（3.3%）
　→8月制裁：Tornado Cash経由の洗浄：4億5500万ドル（73.4%）

OFAC公表資料による

それにも拘らず、より大きな「脅威」であるTCの制裁を3ヶ月も後回しにする理由はおそらく、OFAC内部で議論があったからでしょう。従前の中央集権的な組織に対する措置とは異なる法的な検討や、制裁リストに追加する情報（コントラクトアドレスの特定・追加）について議論がなされたのかもしれません。5月以降のラザルスの活動やTCでの資金洗浄の事例を踏まえて、最終的に、OFAC内での論調がTC制裁を支持する方向へ傾いたのかも知れません。

以上の通り、今回の措置について、OFACは分散的なプロジェクト（DAOっぽい組織）への制裁を意図し、（おそらく内部での議論の末）、制裁の効果を高めるために初めてコントラクトアドレスを指定した事案になりました。

ただ、そう考えると困ったことがあります。ノンカストディアルなその他の分散プロジェクト（ウォレットやDeFi等）であっても、北朝鮮などの制裁者の動向次第では、同様の制裁がかかる懸念が出てくるからです。

後編では、OFAC制裁後の状況やその問題点、今後の影響について検討したいともいます。

以下につづく