Coinbaseのユーザー情報が盗まれ、2000万ドルの身代金 demands、ソーシャルエンジニアリング攻撃が常態化
TechFlow厳選深潮セレクト
Coinbaseのユーザー情報が盗まれ、2000万ドルの身代金 demands、ソーシャルエンジニアリング攻撃が常態化
Coinbaseユーザーに対するソーシャルエンジニアリング攻撃は、すでに「日常茶飯事」となっている可能性がある。
Web3業界の深掘り報道に専念し潮流を洞察編集:Felix, PANews
5月15日、Coinbaseに関する2つのネガティブなニュースが伝わったことで、Coinbaseの株価は「滑落」を経験した。
1つ目の要因は、Coinbaseが内部データと顧客情報が盗まれたサイバー攻撃事件を公表したことであり、潜在的な財務的影響額は1億8000万ドルから4億ドルの間とされている。
さらに、関係者によると、米国証券取引委員会(SEC)は依然として、Coinbaseが2021年の上場前にユーザー数を虚偽報告していたかどうかを調査中であるという。
この二重の悪材料により、Coinbaseの株価は当日7.2%下落した。
カスタマーサポートによるユーザー情報漏洩、および2000万ドルの身代金要求
Coinbaseの報告によれば、サイバー犯罪者は賄賂を用いて海外の悪意あるカスタマーサポート担当者を買収・勧誘し、彼らがカスタマーサポートシステムへのアクセス権を悪用して、月間取引ユーザーの1%未満(約8~10万人)のデータを盗み出した。資金やパスワード、秘密鍵が盗まれたわけではなく、Coinbase Primeアカウントも「影響を受けていない」としているが、攻撃者はこれらのデータを利用して顧客に対して標的型ソーシャルエンジニアリング詐欺を実行した。
今回の攻撃手法について、暗号資産業界関係者は指摘しており、海外カスタマーサポートチームを利用したこのような標的型ソーシャルエンジニアリング攻撃は、暗号資産業界では珍しくないという。暗号資産取引所のアクティブユーザーの情報は想像以上に高価であり、大手取引所の新規ユーザー獲得コストは一人あたり平均5~50ドルだが、中小取引所では平均50~300ドルに達する。
ソーシャルエンジニアリング詐欺を実行した後、攻撃者はCoinbaseに対し、2000万ドル相当のビットコインを支払うよう要求する身代金請求書を送付し、支払いがなければ盗まれた顧客データを公開すると脅した。
報告によれば、攻撃者が取得した情報には以下が含まれる:
-
氏名、住所、電話番号、メールアドレス
-
マスキングされた社会保障番号(末尾4桁のみ)
-
マスキングされた銀行口座番号および一部の口座識別子
-
政府発行の身分証明書画像(運転免許証、パスポートなど)
-
アカウントデータ(残高のスナップショットおよび取引履歴)
-
限定的な企業データ(文書、研修資料、カスタマーサポート担当者が利用可能な通信情報など)
ただし、ログイン資格情報や二段階認証コード、秘密鍵、顧客資金の移転またはアクセス権、Coinbase Primeアカウントへのアクセス、CoinbaseまたはCoinbase顧客のホットウォレット・コールドウォレットへのアクセスなどのデータは「盗まれていない」とされている。
対策を複数実施、身代金不支払いと報奨金制度の導入
事件発生後、Coinbaseは一連の対応策を講じた。
まず、法執行機関と緊密に連携した。情報漏洩に関与した内部担当者は即時解雇され、米国および国際的な法執行機関に引き渡され、Coinbaseは刑事訴追を行うとしている。
次に、盗難資金の追跡を行った。業界パートナーと協力し、当局が資産の追跡および回収を行えるよう、攻撃者のアドレスをマークした。また、ソーシャルエンジニアリング攻撃によって騙されて攻撃者に送金してしまった顧客には補償を行うと約束した。サポート業務のセキュリティをさらに強化するために、Coinbaseは米国内に新たなサポートセンターを開設し、すべての拠点でセキュリティ管理と監視を強化する予定である。
攻撃者が要求した2000万ドルの身代金については、Coinbaseは支払わないとの立場を表明した。その一方で、犯人の逮捕および有罪判決に繋がる情報を提供した者に対して報酬を与えるため、2000万ドル規模の報奨金基金を設立することを発表した。
Coinbaseユーザーに対するソーシャルエンジニアリング攻撃はすでに「日常化」か
一見積極的に見える一連の対応策だが、Coinbaseに関するセキュリティ事故は繰り返し発生しており、特にユーザーが被害に遭うソーシャルエンジニアリング詐欺の被害額は大きな規模に上っている。
今年2月、チェーン上の調査官ZachXBTがX上で明らかにしたところによれば、2024年12月から2025年1月の期間中に、Coinbaseユーザーはソーシャルエンジニアリング詐欺により6500万ドル以上を失っていた。彼は、Coinbaseのサポート部門や警察に提出された事案を考慮していないため、推定される6500万ドルという金額は「実際の損失額よりもはるかに低い可能性がある」と述べている。
ZachXBTは複数のセキュリティ事故を列挙し、同様の詐欺に対してCoinbaseが適切に対処できていないことについて「糾弾」した。「Coinbaseは緊急の改革が必要だ。なぜなら、ますます多くのユーザーが毎月数千万ドル単位で騙されているからである。他の大手取引所ではこのような状況は見られない。」
ZachXBTはさらに、Coinbaseの経営陣に対し、KYC認証済みユーザーがプラットフォーム上で電話番号を入力できるようにするオプションの導入、出金制限付きの初心者ユーザー向けアカウントタイプの追加、コミュニティでの啓発活動の強化など、ソーシャルエンジニアリング攻撃に対する対策の強化を促している。
こうした提言がCoinbaseによって採用されたかどうかは不明だが、今回の身代金要求事件は、Coinbaseにとって警鐘となるかもしれない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
PANews
