1回のUTXO混在で過去全履歴が繋がる｜CIOHという追跡の論理

取引所からビットコインを引き出した後、「これで追跡されない」と感じた経験はありませんか。セルフカストディへの移行は確かに重要な一歩ですが、その後の送金管理を誤ると、引き出す前よりも詳細な情報が分析者に渡る可能性があります。

問題は、ウォレットアプリが送金時に何を「自動で」行っているか、ほとんどのユーザーが意識していない点にあります。

UTXOとはお釣りの積み重ね

ビットコインの残高は、銀行口座のような単純な数字ではありません。UTXO（Unspent Transaction Output）と呼ばれる「未使用のコインの塊」の集合体です。0.02 BTCのUTXO、0.05 BTCのUTXO、0.1 BTCのUTXOが別々に存在する、というイメージです。

送金する際、必要額をまかなえない場合、ウォレットは複数のUTXOを組み合わせます。この「組み合わせ」が、プライバシーの観点で重大な問題を引き起こします。

2013年から使われ続ける分析手法

「Common Input Ownership Heuristic（CIOH）」という分析手法が、2013年頃から研究者の間で知られています。内容はシンプルです。1つのトランザクションで複数のUTXOが使われた場合、それらは同一人物の管理下にあったと推定する、というものです。

論理的な根拠もあります。ビットコインのトランザクションに署名するには、そのUTXOに対応する秘密鍵が必要です。複数のUTXOを同一トランザクションに含められるということは、送信者はそれら全ての秘密鍵を持っているはずです。この推定は完全ではありませんが、実際の追跡においては十分に有効です。

Chainalysis、Elliptic、CipherTraceなどのブロックチェーン分析企業は、各国の捜査機関や税務当局にこの技術を提供しており、実際の捜査に活用されています。「古典的な手法」でありながら、今日もなお最前線で使われている理由は、ビットコインのプロトコル構造が変わっていないからです。

KYC済みUTXOが「汚染源」になる仕組み

ここで取引所出金のUTXOが問題になります。取引所はKYC（本人確認）の際に氏名・住所・身分証明書を収集しています。その取引所から出金したUTXOは、その個人情報と紐付いています。

このKYC済みUTXOを、別の出所のUTXO（P2P購入、友人からの送金など）と同一トランザクションでまとめて使うと、分析ツールはそれらを「同じ人物の資産」として統合します。KYC情報が、それまで匿名に近かったUTXOにまで伝播するのです。

さらに問題は連鎖します。統合されたアドレスクラスターを起点として、その後の送金先も辿られます。過去に行った送金の一部が「遡及的に」特定されるケースも生じます。たった1回のUTXO混在が、何年分もの送金履歴を一人の人物のものとして結びつける引き金になりえます。

ウォレットは何も警告しない

現代のウォレットアプリの多くは、送金額と宛先を入力するだけでUTXOを自動選択します。その選択ロジックは手数料の最適化を優先しており、プライバシーへの配慮は後回しです。

「このUTXOを組み合わせると、KYC済みアドレスとの関連性が推定される可能性があります」という警告を表示するウォレットは、ほぼ存在しません。ユーザーが能動的に対処しない限り、送金のたびにリスクが静かに積み上がっていきます。

Coin Controlという能動的な選択

対策はCoin Control機能の活用です。Sparrow Walletなどのデスクトップウォレットでは、送金時にどのUTXOを使うかを手動で指定できます。

基本的な運用方針は次の通りです。取引所から出金したUTXO（KYC紐付き）と、その他の出所のUTXO（KYC未紐付き）を、絶対に同一トランザクションで混在させない。UTXOに出所のラベルを付ける習慣を持ち、「どのUTXOを使うか」を意識的に選ぶこと。この数秒の判断が、長期的なプライバシーを左右します。

取引所からの出金は自己管理の始まりです。しかし、その後の送金をウォレットの自動選択に委ねたままでは、引き出した意味が半減します。次の送金の前に、Coin Control機能を有効にして、自分のUTXOを自分で選ぶ習慣を始めてください。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。