コインベース、ハッカーがスタッフを賄賂で買収し顧客データを盗む、2000万ドルの身代金を要求

375日前原文(cnbc.com)

概要

Coinbaseが 海外カスタマーサポート担当者の買収 による顧客データ漏洩事件を報告
最大 4億ドルの修復コスト が見込まれる
パスワードや秘密鍵は 漏洩していない が、個人情報が流出
Coinbaseは 身代金を支払わず、法執行機関と連携中
犯人逮捕につながる情報に 2,000万ドルの報奨金 を設定

Coinbaseにおけるサイバー攻撃事件の概要

2024年5月11日、Coinbaseに 顧客情報および内部文書の入手を主張するメール が届くことを確認
メール送信者は 情報公開を防ぐための金銭要求 を行うことを提案
Coinbaseは 要求に応じず、法執行機関との連携を選択することを決定
証券取引委員会（SEC）への報告書 で事件の詳細を公開することを実施

流出した情報の内容と影響

パスワードや秘密鍵、資金 は一切漏洩していないことを確認
漏洩した情報には以下が含まれることを確認
- 名前、住所、電話番号、メールアドレスなどの 個人識別情報
- マスク処理された銀行口座番号や識別子、社会保障番号の下4桁
- 政府発行ID画像、アカウント残高などの 機密データ
被害者には個別に警告 を発出し、詐欺監視体制を強化することを実施

インシデントの経緯と対応

サイバー犯罪者が 海外サポート要員を買収・勧誘 し、内部システムへの不正アクセスを実行
買収された内部関係者が 一部顧客のアカウントデータを窃取 することを確認
Coinbase Primeアカウントや資金は 被害なし を確認
詐欺で資金を送金された顧客には 全額補償する方針 を表明

セキュリティ強化と今後の方針

事件発覚後、関与従業員を即時解雇 することを実施
詐欺監視プロテクションの強化 を行い、再発防止策を講じることを確認
法執行機関と連携し、 最大限厳しい刑罰の追及 を図ることを明言
犯人逮捕につながる情報提供者に 2,000万ドルの報奨金 を設置することを発表
身代金2,000万ドルの支払いは拒否 する方針を明確化

Coinbaseの現状と今後の展望

Coinbaseは 米国最大の暗号資産取引所 として事業を展開
直近で S&P 500指数への採用 が決定し、グローバル展開拡大のための買収も発表することを実施
CEOのBrian Armstrongは 「世界No.1の金融サービスアプリ」 を目指す意向を表明
今回の事件対応を通じて 信頼性と透明性の強化 を図ることを強調

Hackerたちの意見

Coinbaseについてどう思うかは人それぞれだけど、これはなかなか良い対応だと思うよ: > 20百万ドルの身代金要求には応じない。代わりに、犯罪者の逮捕と有罪判決に繋がる情報に対して、20百万ドルの報奨金を設立する。

└

これは1996年の映画『ランサム』と同じ手だね。 https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q

└

顧客にとっては、身代金を払って個人情報を取り戻す方が良いと思う。報奨金制度を設けるのもいいけど、もし自分のデータだったら、報復的な報酬を考えるよりも、Coinbaseがデータの漏洩を防ぐことの方が大事だと思う。

└

めっちゃいいね。これを機に、企業の言葉遣いをちょっとやめて、「ハッカーのクソ野郎、ざまぁ！」って言うのも良かったかも。バイブルベルトにいる私たちも、タイミングよく悪口を言うのは好きだよ。

└

いや、そうじゃないよ！彼らが使った見出しは「顧客を守る - 脅迫者に立ち向かう」だよ。私が問題に思ってるのは、彼らの発表の言い回しが、人々を祝福させる方向に導いてるってこと。プライベート情報が漏れたことについて謝罪するんじゃなくてね。これには本当に腹が立ってる。さらに、彼らが私に送ったメールの件名は「重要なお知らせ」で、私の個人アカウントが影響を受けたことが、かなり長い段落の3文目に書かれてた。これらは全ておかしいし、これは真剣に受け止めている会社じゃないよ。

問題は、漏洩したデータがアカウント回復に使われるデータでもあるってことだね。つまり、1) 自分のミスかCoinbaseのミスでアカウントにアクセスできなくなった場合、その回復プロセスが簡単じゃなくなるかもしれない。2) ハッカーがこの漏洩した情報を使ってアカウントを「回復」しようとする可能性がある。これは大きな問題だよ。Coinbaseに必要なのは、アカウント回復みたいなことができるリアルなオフィスで、金を盗もうとする人を捕まえて起訴できる場所だね（通常、海外の泥棒には大きな障壁になる）。唯一の解決策は、YubiKeyみたいなハードウェアの2要素認証だ。

└

Coinbaseに必要なのは、アカウント回復みたいなことができるリアルなオフィスで、金を盗もうとする人を捕まえて起訴できる場所だね（通常、海外の泥棒には大きな障壁になる）。それってただの銀行じゃん。

└

暗号業界は、世界の金融システムが存在する理由を再発見するスピードランを続けてるね。君が説明したことは、多くの暗号愛好者が「銀行」と呼ぶものと同じだよ。

└

コインベースには、アカウントの復旧とかができるリアルなオフィスが必要だよね。お金を盗もうとする人を捕まえて訴追できる場所も。これって皮肉？

└

ここでの唯一の解決策は、Yubikeyみたいなハードウェアの2要素認証だね。でもそれを失ったら、どうするの？アカウント復旧のステップに戻るだけじゃない？

└

Coinbaseが必要なのは、アカウント復旧とか、金を盗もうとする人を捕まえて起訴できるようなリアルなオフィスだよね。ユーザーの過失じゃなくて、過剰に神経質なリスクシステムのせいでアカウントにロックアウトされることがあるから、アカウントアクセスを取り戻すために別の都市まで移動しなきゃならないなんて、ほんとに嫌だよね…

└

自分が管理してるウォレットにお金を送ったことがあるなら、その鍵を使ってCoinbaseが記録のアドレスで確認できるメッセージに署名するのが、信頼できる復旧手段だと思うよ。結局、暗号通貨はただのPKIに過ぎないからね。

└

yubikeyを使うくらい洗練された人なら、ハードウェアウォレットを買って自己管理すると思うよ。

└

アカウント回復に使われるデータの99%は、公開記録か、すでに数十件の大規模なデータ漏洩の一部だよ。

Coinbaseがそんなに敏感な情報を保持しなきゃいけない理由は、顧客確認の法律があるからで、あなたが盗まれないことを願っている情報以上のものが必要なんだ。だから、パスポートの写真が盗まれたり、犯罪者や悪徳のCoinbaseの従業員がその情報で何をするかは、政府に感謝しなきゃね。

└

KYCには非常に良い理由があるけど、問題は政府の規制じゃなくて、またしてもプライベート企業が顧客のデータを適当に扱っていることだね。適当なのは安上がりだし、彼らの情報が危険にさらされるわけじゃないから、法律で強制されない限り、データを守る動機がほとんどないんだ。

└

[死んでる]

└

Coinbaseがそんなに敏感な情報を保持しなきゃいけない理由は、KYCのために必要なもの以上のもので、盗まれないことを願ってるけど、正直言って、なんで全てのエージェントがあなたの身分証明書に永遠にアクセスできる必要があるの？

ブログ記事はこちら: https://www.coinbase.com/blog/protecting-our-customers-stand... > ソーシャルエンジニアリング攻撃で攻撃者に資金を送ってしまった顧客には返金します。もしあなたのデータがアクセスされた場合、no-reply@info.coinbase.comからのメールをすでに受け取っているはずです。すべての通知は5月15日午前7時20分ETに影響を受けた顧客に送信されました。

└

ノーリプライって面白い決定だね。コインベースみたいな会社を運営するのがどれだけ大変かは分かるけど（彼らの最大の強みである中央集権とカスタマーサポートが、逆にこのソーシャルエンジニアリングを可能にしてるわけだし）、ちょっと変な選択に感じるな。

└

パスワード、プライベートキー、資金は漏洩していなくて、コインベースプライムのアカウントは無傷だって。なんでコインベースプライムのアカウントが漏洩に含まれなかったのか気になるな（そういう意味だと思ってるけど）。コインベースプライムのペイウォールの裏に何か追加のデータ保護があるのかな？それとも、そういうアカウントはより賢いユーザーに属してるから意図的に避けられたのかな。

コインベースのカスタマーサポートに連絡して、自分が影響を受けたか確認しようとしたんだけど、AIボットに時間を無駄にした後に人間に繋がったら、彼らはその漏洩について知らなかったよ。俺が最初に教えてあげたんだ。

└

実際の最初の人は、怠けたカスタマーサポートのエージェントに当たっちゃったのかもね。

└

影響を受けたアカウントにはメールが送られたよ。ソース：俺が影響を受けたから。

└

「ああ、そんなこと知らなかったよ、君が初めてそれを教えてくれた」っていう台本を読まされた感じだね。

こいつらから定期的にスピアフィッシングの電話がかかってくるか、漏洩したデータを買った誰かがかけてきて、詐欺的な取引を確認する必要があるっていう古典的な手口なんだ。彼らはアメリカのアクセントで完璧な英語を話して、すごくフレンドリーに聞こえるし、俺のアカウント残高についても知ってる。幸いにも、最初の電話で即座に詐欺だって気づいたし、Googleのコールスクリーニング機能がその後をうまく処理してくれたよ。キットボガに転送できたらいいのにな。コインベースの顧客を騙すのに思ったほど運がなかったみたいで、楽しんだ後はコインベース自体を脅そうとしたんだろうね。[1] https://www.youtube.com/watch?v=HNziOoXDBeg

└

ピクセルからiPhoneに乗り換えたんだけど、スパム電話が多くてびっくりしてる。iPhoneユーザーはこれどう対処してるの？

└

AIのおかげで詐欺が進化してるね。一般的なスペルミスがほとんどなくなった。最近、好奇心でフィッシングメールを見てたら、変なユニコード文字が誤訳されてるのを見つけた。すぐに悪い翻訳の名残だってわかった。完璧ではないけど、かなり上手くなってるよ。

└

最近、コインベースのログイン確認コードが定期的にSMSで届くようになったけど、特に自分からの試みはない。同じことがマイクロソフトアカウントにも起きてる。普段は無視してるけど、誰かが自分のメールでログインできるか試してるんだろうな。

└

この漏洩の前にコインベースにかなりの資産があったなら、スピアフィッシングなんて心配のうちに入らないよ。コインベースはフルネームや住所を漏らしただけじゃなくて、残高や取引履歴、政府の身分証明書の画像まで渡しちゃったんだから。「かなりの」暗号資産を持ってる人は、街中や自宅で襲われたり、身代金目的で家族が誘拐されたりしてる。ここでいう「かなりの」は1万ドル以下でもあり得る。今までのベストな防御は秘密を守ることだったけど、公共の場で自分の実世界のアイデンティティに結びつくような形で暗号について話さないこと。コインベースのおかげでその防御がなくなっちゃった。悪い奴らは、コインベースで過去にかなりの残高を持っていた人を見つけられるし、今は持っていなくても、現金に換えたかどうか、どれくらいの額か、あるいは取引所から自己保管ウォレットにトークンを移したことがあるかもわかる。今や悪い奴らは、身代金目的で誘拐する価値のある人とその住んでいる場所を知ってる。ほとんどの人にとって、名前と住所をグーグル検索すれば、誘拐や暴力の脅威にさらされる家族の名前も出てくる。コインベースは、彼らが引き起こしたすべての損害を補償することは決してないだろう。なぜなら、その真のコストは会社を破産させるから。

└

この1週間で多分3、4件くらい受け取った。

└

彼らは完璧な英語を話して、すごくフレンドリーで、あなたのアカウント残高についても知ってる…しかもコインベースの元社員だって…ああ！想像しただけで！！

└

これが永遠に止まらないのは残念だし、犯罪要素が合法的な資本主義になっちゃったね。

└

その完璧なアクセントの一部はMLかもしれないね。

└

その番号はどこから来たの？すごい数の電話がかかってきたけど、幸いにも知らない番号には出ないからね。Googleのコールスクリーンで毎回切られたから、詐欺だと思ってる。

└

こいつらから定期的にスピアフィッシングの電話がかかってきて、詐欺の可能性がある取引を確認する必要があるっていう古典的な手口を使ってる。これが増えてからどれくらい経ってるの？ Coinbaseのナarrativeが、サイバー犯罪者に連絡されるまでこれがシステム的な問題だと思ってたなんて、全然信じられない。

Coinbaseは「悪質な海外サポートエージェント」と距離を置こうと必死になってるみたいだね。もし彼らがCoinbaseの社員や契約者だったら、会社が自分のデータをハッカーに売ったことになるし、ハッカーはそれを使って身代金を要求してるってことになる。騙された顧客に返金するのは理にかなってるよね。彼らはCoinbaseの行動が自分たちの損失につながったって、裁判で簡単に主張できそうだし。移動したり、銀行を変えたり、メールを変えたり、セキュリティを雇ったりする必要がある人が、その費用を取り戻すために会社を訴えることができるのか、ちょっと興味あるな。

└

もし彼らがCoinbaseの社員や契約者だったら、会社が自分のデータをハッカーに売ったことになるっていうのは、ちょっと変な解釈だと思う。会社の方針に反して、しかもおそらく違法に、社員が独自データを取り出してハッカーにお金と引き換えに渡した場合、「私の会社がデータを売った」とは言えないよね。

会社は、修復コストに関して約1億8000万ドルから4億ドルの範囲で費用を見積もっているらしい。企業は、カスタマーサポートを安く外注することの教訓を得てほしいね。この金額なら、地域のサポートエージェントを雇って、業界標準以上の給料を払うことができたはずだよ。

└

HA! いいね。彼らはやらないよ。

└

世界的なトレンドはどんどん悪化してるから、もしできるなら、どのビジネスコンサルタントやMBAもAIエージェントをもっと導入するように勧めるだろうね。だって、それが彼らにとって一番大事なことだから。これで誰か何か学んだの？もちろん、そんなことはないよね。

└

でも、彼らはこれをCSリスクとして考えてるのか、それともビジネス全体のリスクとして考えてるのか？CoinBaseに内部リスクに影響されない役割ってあるのかな？私は、これをセキュリティ部門やビジネスリスクの問題として扱うだろうと思うし、CSだけの問題とは見なさないだろうね。CSを国内に移して、その役割にもう少しお金を払うことが、リスクの変化がゼロになる結果になるかもしれない（例えば、同じ時間間隔での侵害の可能性が同じ）。その地域の低所得のアラバマの人が、中流階級のフィリピンの人よりも内部リスクに対して少ない影響を受ける可能性は高いのかな？おそらく、会社はより良いセグメンテーションと全役割に対する最小限の権限の遵守に焦点を当てるだろうね。また、君の論理は、実際に起こったことを知っているという事実によって曇っているよ。セキュリティやサイバーセキュリティのすべての側面において、リスクを正確に計算するのは非常に難しい。なぜなら、他の選択肢を選ぶためには、反事実がどれくらいのコストになるかを正確に知る必要があるから。

└

コストは保険でカバーされる可能性が高いけど、それはめちゃくちゃ安くて、実際には準備できないような出来事もカバーしてくれるんだよね。

脅威アクターは、アメリカ以外のサポート役の契約者や従業員にお金を払って、内部のCoinbaseシステムから情報を集めさせたようだ。漏洩した情報から推測するに、フィリピンのカスタマーサポートがソースだった可能性が高い。月給は通常、•名前、住所、電話、メール；•マスクされた社会保障番号（最後の4桁のみ）；•マスクされた銀行口座番号といくつかの銀行口座識別子；•政府発行のID画像（運転免許証、パスポートなど）；•アカウントデータ（残高のスナップショットと取引履歴）；•限られた企業データ（ドキュメント、トレーニング資料、サポートエージェントが利用できるコミュニケーションを含む）。これはすべての脅威アクターの夢だね。たとえメールアドレスとアカウントの残高しか持っていなくても、これは悪夢だよ。会社を脅迫する代わりに、今度は各個人のユーザーを脅迫できる。「君のBTCの50%を送ってくれれば、君の情報をインターネットに公開しないよ」。私の予想では、Vastaamoのデータ漏洩と似たような状況になるだろうね… https://en.wikipedia.org/wiki/Vastaamo_data_breach

└

•名前、住所、電話番号、メール； > 各ユーザーを脅迫する脅迫なんて心配のうちの一つに過ぎないよ、フランスでは今年に入ってから少なくとも5件の誘拐/誘拐未遂が暗号投資家に関連して起こってるから。

└

フィリピンの低賃金を超えて、ポイントは「誰にでも」価格があるってこと。もしアメリカにいたら、もっと高い価格になるだろうし、たぶん高い攻撃利益を払うことになるだろうね。

└

もっとひどいよ。アメリカの企業は、フィリピンにサポートをアウトソースするために1時間あたり3ドルから6ドルを払ってる。サービスを提供する会社は非常に高い離職率を持ってる。ある会社では、従業員は平均して約6ヶ月しか働かない。忠誠心を持つ理由なんて全くないよ。

└

AIに関する政府の規制がゼロで、データ漏洩に対する罰則もなく、大規模な悪用から人間を守る手立てもない。逆に、混乱が起きている。近い将来、アメリカがこの混乱で大変なことになるんじゃないかと心配してる。

直接のSEC提出書類へのリンク: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

ハクソク