世界を動かす技術を、日本語で。

コインベース、ハッカーがスタッフを賄賂で買収し顧客データを盗む、2000万ドルの身代金を要求

2025年5月16日原文(cnbc.com)

概要

  • Coinbaseが 海外カスタマーサポート担当者の買収 による顧客データ漏洩事件を報告
  • 最大 4億ドルの修復コスト が見込まれる
  • パスワードや秘密鍵は 漏洩していない が、個人情報が流出
  • Coinbaseは 身代金を支払わず、法執行機関と連携中
  • 犯人逮捕につながる情報に 2,000万ドルの報奨金 を設定

Coinbaseにおけるサイバー攻撃事件の概要

  • 2024年5月11日、Coinbaseに 顧客情報および内部文書の入手を主張するメール が届くことを確認
  • メール送信者は 情報公開を防ぐための金銭要求 を行うことを提案
  • Coinbaseは 要求に応じず、法執行機関との連携を選択することを決定
  • 証券取引委員会(SEC)への報告書 で事件の詳細を公開することを実施

流出した情報の内容と影響

  • パスワードや秘密鍵、資金 は一切漏洩していないことを確認
  • 漏洩した情報には以下が含まれることを確認
    • 名前、住所、電話番号、メールアドレスなどの 個人識別情報
    • マスク処理された銀行口座番号や識別子、社会保障番号の下4桁
    • 政府発行ID画像、アカウント残高などの 機密データ
  • 被害者には個別に警告 を発出し、詐欺監視体制を強化することを実施

インシデントの経緯と対応

  • サイバー犯罪者が 海外サポート要員を買収・勧誘 し、内部システムへの不正アクセスを実行
  • 買収された内部関係者が 一部顧客のアカウントデータを窃取 することを確認
  • Coinbase Primeアカウントや資金は 被害なし を確認
  • 詐欺で資金を送金された顧客には 全額補償する方針 を表明

セキュリティ強化と今後の方針

  • 事件発覚後、関与従業員を即時解雇 することを実施
  • 詐欺監視プロテクションの強化 を行い、再発防止策を講じることを確認
  • 法執行機関と連携し、 最大限厳しい刑罰の追及 を図ることを明言
  • 犯人逮捕につながる情報提供者に 2,000万ドルの報奨金 を設置することを発表
  • 身代金2,000万ドルの支払いは拒否 する方針を明確化

Coinbaseの現状と今後の展望

  • Coinbaseは 米国最大の暗号資産取引所 として事業を展開
  • 直近で S&P 500指数への採用 が決定し、グローバル展開拡大のための買収も発表することを実施
  • CEOのBrian Armstrongは 「世界No.1の金融サービスアプリ」 を目指す意向を表明
  • 今回の事件対応を通じて 信頼性と透明性の強化 を図ることを強調

Hackerたちの意見

Coinbaseについてどう思うかは人それぞれだけど、これはなかなか良い対応だと思うよ: > 20百万ドルの身代金要求には応じない。代わりに、犯罪者の逮捕と有罪判決に繋がる情報に対して、20百万ドルの報奨金を設立する。

これは1996年の映画『ランサム』と同じ手だね。 https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q

顧客にとっては、身代金を払って個人情報を取り戻す方が良いと思う。報奨金制度を設けるのもいいけど、もし自分のデータだったら、報復的な報酬を考えるよりも、Coinbaseがデータの漏洩を防ぐことの方が大事だと思う。

めっちゃいいね。これを機に、企業の言葉遣いをちょっとやめて、「ハッカーのクソ野郎、ざまぁ!」って言うのも良かったかも。バイブルベルトにいる私たちも、タイミングよく悪口を言うのは好きだよ。

いや、そうじゃないよ!彼らが使った見出しは「顧客を守る - 脅迫者に立ち向かう」だよ。私が問題に思ってるのは、彼らの発表の言い回しが、人々を祝福させる方向に導いてるってこと。プライベート情報が漏れたことについて謝罪するんじゃなくてね。これには本当に腹が立ってる。さらに、彼らが私に送ったメールの件名は「重要なお知らせ」で、私の個人アカウントが影響を受けたことが、かなり長い段落の3文目に書かれてた。これらは全ておかしいし、これは真剣に受け止めている会社じゃないよ。

問題は、漏洩したデータがアカウント回復に使われるデータでもあるってことだね。つまり、1) 自分のミスかCoinbaseのミスでアカウントにアクセスできなくなった場合、その回復プロセスが簡単じゃなくなるかもしれない。2) ハッカーがこの漏洩した情報を使ってアカウントを「回復」しようとする可能性がある。これは大きな問題だよ。Coinbaseに必要なのは、アカウント回復みたいなことができるリアルなオフィスで、金を盗もうとする人を捕まえて起訴できる場所だね(通常、海外の泥棒には大きな障壁になる)。唯一の解決策は、YubiKeyみたいなハードウェアの2要素認証だ。

Coinbaseに必要なのは、アカウント回復みたいなことができるリアルなオフィスで、金を盗もうとする人を捕まえて起訴できる場所だね(通常、海外の泥棒には大きな障壁になる)。 それってただの銀行じゃん。

暗号業界は、世界の金融システムが存在する理由を再発見するスピードランを続けてるね。君が説明したことは、多くの暗号愛好者が「銀行」と呼ぶものと同じだよ。

コインベースには、アカウントの復旧とかができるリアルなオフィスが必要だよね。お金を盗もうとする人を捕まえて訴追できる場所も。これって皮肉?

ここでの唯一の解決策は、Yubikeyみたいなハードウェアの2要素認証だね。でもそれを失ったら、どうするの?アカウント復旧のステップに戻るだけじゃない?

Coinbaseが必要なのは、アカウント復旧とか、金を盗もうとする人を捕まえて起訴できるようなリアルなオフィスだよね。ユーザーの過失じゃなくて、過剰に神経質なリスクシステムのせいでアカウントにロックアウトされることがあるから、アカウントアクセスを取り戻すために別の都市まで移動しなきゃならないなんて、ほんとに嫌だよね…

自分が管理してるウォレットにお金を送ったことがあるなら、その鍵を使ってCoinbaseが記録のアドレスで確認できるメッセージに署名するのが、信頼できる復旧手段だと思うよ。結局、暗号通貨はただのPKIに過ぎないからね。

Hacker Newsで議論の続きを見る