Coinbaseデータ漏洩事件の内幕:インドカスタマーセンターと青少年ハッカー集団
TechFlow厳選深潮セレクト
Coinbaseデータ漏洩事件の内幕:インドカスタマーセンターと青少年ハッカー集団
「この世界では、彼らのスコアは盗んだ金額そのものだ。」
Web3業界の深掘り報道に専念し潮流を洞察執筆:Ben Weiss 、Jeff John Roberts
翻訳・編集:Luffy,Foresight News
Coinbase共同設立者兼CEOのBrian Armstrongが2022年にインド・バンガロールで開催されたイベントで講演する様子
2025年5月15日、Coinbaseは数万人分の顧客個人情報が盗まれたことを公表した。同社史上最大規模のセキュリティインシデントであり、被害額は最大4億ドルに上ると予想されている。今回のデータ漏洩はその規模だけでなく、ハッカーが海外カスタマーサポート担当者を買収して機密情報を取得したという攻撃手法にも注目が集まっている。
Coinbaseは、犯罪者の逮捕や有罪判決につながる情報を提供した内部告発者に対して2000万ドルの報奨金を支払うと公に表明しているが、攻撃者の身元やハッキングの詳細についてはほとんど明らかにしていない。
『Fortune』誌による最近の調査(Coinbaseとあるハッカー間のメールの閲覧を含む)では、この事件に関する新たな詳細が明らかになり、英語話者の若年層ハッカーからなる緩いネットワークが一部の責任を負っている可能性を示唆している。同時に、調査結果はいわゆるBPO(ビジネスプロセスアウトソーシング事業者)がテック企業のセキュリティ運用における脆弱なポイントであることも浮き彫りにしている。
内部関係者による犯行:アウトソースされたカスタマーサポートが突破口に
物語はテキサス州ニューブラウンフェルズにある小規模上場企業TaskUsから始まる。他のBPO同様、同社は海外に従業員を雇い、大手テック企業に低コストでカスタマーサポートを提供している。同社の広報によれば、今年1月、TaskUsはインド・インドルールの拠点でCoinbase向けに勤務していた226人の従業員を解雇した。
米証券取引委員会(SEC)に提出された文書によると、TaskUsは2017年以降、一貫してCoinbaseのカスタマーサポート要員を提供しており、この提携関係により米国の暗号資産大手は大幅な人件費削減を実現していた。しかし問題は、顧客がアカウントについての問い合わせやCoinbaseの新製品に関する質問をする際、彼らがやり取りするのはおそらく海外にいるTaskUsのスタッフだということだ。こうした代理店の給与は米国内の従業員より低いため、買収されやすいリスクがある。
「今年初頭、当社のあるクライアントの情報に不正アクセスした人物が2名いたことが判明しました」と、Coinbaseを指してTaskUsの広報は『Fortune』誌に語った。「われわれは、この2人がCoinbaseを標的としたより広範で組織的な犯罪活動の一環として雇われていたと考えており、その活動はCoinbaseのサービスを受ける多くの他のサプライヤーにも影響を及ぼしています。」
Coinbaseの規制当局への届出文書によると、TaskUsが従業員を解雇したのは、Coinbaseが顧客データの盗難を確認してから1か月以内のことだった(注:Coinbaseは2024年12月にデータ漏洩を発見)。火曜日、ニューヨークでCoinbaseの顧客を代表する連邦集団訴訟が提起され、TaskUsは顧客データ保護において過失があったと訴えられた。「訴訟についてはコメントできませんが、これらの主張には根拠がないと考えており、自らを弁護していくつもりです」とTaskUsの広報は述べた。「われわれは顧客データの保護を最優先事項としており、今後もグローバルなセキュリティプロトコルとトレーニングプログラムの強化を続けていきます。」
このセキュリティ事件の内幕に詳しい関係者によると、ハッカーは他のいくつかのBPO企業にも成功裏に侵入しており、それぞれの事件で盗まれたデータの性質は異なっていたという。
盗まれたデータだけではCoinbaseの暗号化ウォレットに直接アクセスすることはできないが、十分な情報があり、犯罪者が偽のCoinbaseサポート職員を装って顧客に接触し、暗号資産を差し出させることを可能にした。同社によると、ハッカーは6万9000人以上の顧客データを窃取したが、そのうち何人がいわゆる「ソーシャルエンジニアリング詐欺」の被害に遭ったかは明らかにしていない。本件におけるソーシャルエンジニアリング詐欺とは、盗まれたデータを利用してCoinbaseの社員を装い、被害者に暗号資産の移動を説得する行為を指す。
Coinbaseは声明で、「すでに公表している通り、最近、脅威アクターが海外のカスタマーサポート担当者に依頼し、2024年12月にさかのぼる顧客アカウント情報を取得しようとしていたことが判明しました。影響を受けたユーザーおよび規制当局に通知済みであり、関与したTaskUsの人員およびその他の海外サポート担当者との関係を断ち、管理体制を強化しています」と述べている。また、詐欺によって資金を失った顧客には補償を行うとも付け加えた。
企業代表を装ったソーシャルエンジニアリング詐欺は珍しくないが、BPO企業を標的としたハッカーの攻撃規模は極めて稀である。まだ誰が犯人か特定されてはいないが、いくつかの手がかりは英語を話す若年層ハッカーからなる緩い組織を強く示唆している。
青少年ハッカー集団:「彼らは電子ゲームから来た」
5月中旬にCoinbaseのデータ漏洩が公表された数日後、『Fortune』誌はTelegram上で「puffy party」と名乗る男性とやり取りを行った。彼は自身がハッカーの一人だと主張している。
この匿名ハッカーと別々に接触した別の二人のセキュリティ研究者は、『Fortune』誌に対し、この人物は信用できると考えていると語った。一人は「彼が私と共有した内容を精査しましたが、彼の主張が虚偽であるとする証拠を見つけることはできませんでした」と述べた。二人とも、いわゆるハッカーと接触したことで召喚状を受け取る恐れがあるとして、匿名を希望した。
やり取りの中で、この男はCoinbaseのセキュリティチームとのメール交換であると称する多数のスクリーンショットを共有した。彼がCoinbaseと連絡を取り合う際に使用していた名前は「Lennard Schroeder」だった。また、Coinbaseの元幹部のアカウント画面のスクリーンショットも共有し、そこには暗号資産の取引記録や大量の個人情報が表示されていた。
Coinbaseはこれらのスクリーンショットの真正性を否定していない。
自称ハッカーが共有したメールには、2000万ドル相当のビットコインでの身代金要求(Coinbaseは支払いを拒否)や、盗んだ資金の一部を使って同社の坊主頭CEOであるBrian Armstrongに髪を生やすための手術をプレゼントするという皮肉めいたコメントも含まれていた。「我々は植毛手術をスポンサーして差し上げます。そうすれば彼は堂々と世界中を旅できますよ」とハッカーは書いている。
Telegramのメッセージ内で、この人物(『Fortune』誌はセキュリティ研究者を通じてその存在を知った)はCoinbaseに対する軽蔑の念を表明している。
多くの暗号資産強盗事件はロシアの犯罪組織や北朝鮮軍によって実行されるが、今回のハッカーは「Comm」または「Com」と呼ばれる十代~二十代前半の若者たちによる緩い同盟によるものだとされている。
過去2年間で、『ニューヨーク・タイムズ』が今月早々に報じた事件など、他のハッキング事件の報道でもCommグループの名前が登場している。同紙によると、複数の暗号資産窃盗事件の容疑者が自分はこの組織の一員だと名乗り出た。『ウォール・ストリート・ジャーナル』によれば、2023年、捜査当局はこの組織と見られるハッカーがラスベガスのいくつかのオンラインカジノを攻撃し、ミルコーム・リゾーツに3000万ドルの身代金を要求しようとしたと結論づけている。
通常は金銭目的のみのロシアや北朝鮮の暗号ハッカーとは異なり、Commのメンバーは注目を集めることと悪戯の快感の両方を求めがちだ。時として協力してハッキングを行う一方で、誰がより多く盗めるかを競い合うこともある。
「彼らは電子ゲームから来て、その高得点を現実世界に持ち込んだのです。この世界では、彼らのスコアとは盗んだ金額そのものです」と、暗号フォレンジック調査会社Cryptoforensic Investigatorsの調査責任者Josh Cooper-Duckettは語る。
Telegramのメッセージ内で、このいわゆるハッカーは、Commのメンバーは強盗の異なる段階を専門に分担していると語った。彼のチームはカスタマーサポートを買収して顧客データを収集し、その後、社会工学詐欺に長けた外部の人物にデータを渡すという。また、さまざまなCommの関連グループがTelegramやDiscordなどのSNS上で作戦の各段階を調整し、盗品の分配も行っていると付け加えた。
暗号調査会社Tracelonの創設者Sergio Garcia氏は、『Fortune』誌に対し、Coinbaseへの攻撃に関するハッカーの説明は、彼が把握しているCommグループの運営方法や他の暗号社会工学詐欺のパターンと一致していると語った。関係筋によると、最近の社会工学詐欺で顧客を騙した人物は、流暢な北米英語を話していたという。
BPO従業員の給与事情に詳しい関係者によると、インドのTaskUs従業員の月給は500〜700ドル程度だという。TaskUsはコメントを拒否した。Garcia氏は『Fortune』誌に対し、この金額はインドの人間国内総生産よりも高いとはいえ、カスタマーサポートの低い給与が買収されやすくなる傾向にあると語った。「明らかに、経済的動機があるため、これが最も脆弱なリンクです」と彼は付け加えた。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@FortuneMagazine
