2,000万ドルの身代金要求を拒否、Coinbaseは補償と報奨金で対応
米国の大手暗号資産(仮想通貨)取引所「Coinbase(コインベース)」は15日、海外のカスタマーサポート業務に従事していた一部スタッフが犯罪者に買収され、顧客情報が不正に流出したことを公表した。
同社の発表によれば、米国外に配置されたカスタマーサポート要員の一部が外部のサイバー犯罪者から金銭的な働きかけを受け、サポートツール経由で顧客情報のコピーを行った。影響を受けたのは「コインベースの月間取引ユーザーの1%未満」とされている。
流出した情報の内容は以下の通り
- 氏名、住所、電話番号、メールアドレス
- 社会保障番号の下4桁(マスク済み)
- 銀行口座番号の一部(マスク済み)や口座識別子
- 政府発行のID画像(運転免許証やパスポートなど)
- アカウント残高のスナップショットおよび取引履歴
- サポート担当者がアクセス可能だった一部の社内文書・トレーニング資料
ただし、以下の情報・資産は流出していないとCoinbaseは強調している
- パスワード、2要素認証(2FA)コード
- 秘密鍵(プライベートキー)
- 顧客の仮想通貨資産およびそのアクセス手段
- コインベース・プライムを利用する機関投資家のアカウント
- 同社のホット/コールドウォレットの情報
犯罪者グループは、取得した情報を使ってコインベースのスタッフを装い、ユーザーに不正な送金をさせるなどのソーシャルエンジニアリング詐欺を行った。また、コインベースに対して2,000万ドル(約29億円)の身代金を要求したが、同社は支払いを拒否した。
コインベースの対応策は以下の通り:
- 被害者への補償:詐欺により誤送金した個人ユーザーに対しては、審査の上で補償を行う方針。
- 追加の安全対策:該当アカウントには追加の本人確認や出金時の警告表示などを実装。
- セキュリティ強化:米国内に新たなサポート拠点を設立し、全拠点での監視体制を強化。
- 内部対策の強化:内部犯行の検知・対応の自動化とシミュレーションに投資を拡大。
- 透明性の確保:影響を受けた顧客には通知を行い、今後の調査進捗も共有予定。
犯罪者への対抗策:
- 懸賞金の設定:犯罪者の逮捕・有罪判決に繋がる情報提供者に最大2,000万ドル(約29億円)の報奨金を用意。
- 資金の追跡:犯人のウォレットを業界パートナーと協力してタグ付けし、資産回収を目指す。
- 法的措置:内部関与者は即時解雇され、米国および国際的な法執行機関に通報済み。刑事告訴を予定。
コインベースは今回の事件を通じて、仮想通貨業界における内部不正リスクの現実性と対策の必要性を強調している。システム的なセキュリティのみならず、人の脆弱性を突く攻撃に対する組織的・継続的な備えが、今後の信頼構築に不可欠である。
関連:コインベース、仮想通貨オプション最大手デリビットを約4,200億円で買収
関連:コインベース、米国初の24時間365日取引可能な仮想通貨先物を導入へ
※価格は執筆時点でのレート換算(1ドル=146.00円)
