コインベース、ハッカーが従業員を買収して顧客データを盗み、2,000万ドルの身代金を要求

 (cnbc.com)
1 ポイント 投稿者 GN⁺ 2025-05-16 | 1件のコメント | WhatsAppで共有
  • コインベースがハッカー集団により、従業員の買収と顧客データ流出の被害を受けた
  • ハッカーは顧客情報を盗み出した後、2,000万ドルの身代金を要求した
  • 社内従業員がハッカーに協力するという前例のないセキュリティ脅威が確認された
  • この事件は、取引所およびフィンテック業界において内部者リスク管理の重要性を改めて浮き彫りにする契機となった
  • 被害拡大を防ぐための緊急対応と顧客保護措置が進められている

関連記事

1件のコメント

 
GN⁺ 2025-05-16
Hacker Newsの意見

  • 最近、かなり巧妙なスピアフィッシング電話が何度もかかってきている。相手は「不審な取引を確認する必要がある」と主張する典型的な手口を使ってくる。アメリカ英語が流暢で、とても親しげな声をしていて、しかも私の口座残高まで知っていた。最初の電話で即座に詐欺だと気づき、その後は Google の通話スクリーニング機能のおかげで無事でいられている。こういう電話は Kitboga に回したくなる。最初は Coinbase の顧客を狙って詐欺をしようとして、最終的には Coinbase 自体を脅迫しようとしたわけだ

    • Coinbase にかなりの資産を置いていたことがあるなら、スピアフィッシングは心配事の中では一番小さい部類だ。Coinbase は名前や住所だけでなく、残高、取引履歴、身分証画像まで漏らした。実際に路上や自宅で襲われたり、家族が誘拐されたりした人も多い。1万ドル以下でも「かなりの」資産と見なされる。これまで最善の防御は秘密にしておくことだったが、Coinbase のせいでそれすら失われた。悪意ある人間は、Coinbase で一度でも大きな金額を保有したり換金したりした人を特定し、家族の情報を簡単に見つけたり脅迫対象にしたりできる。Coinbase にはこれによる被害をすべて補償する義務があるとしても、そうすれば会社が破綻するレベルだ

    • Pixel から iPhone に乗り換えたが、スパム電話が多すぎて驚いている。iPhone ではこれにどう対処しているのか気になる

    • スピアフィッシング電話が増えたのはいつからなのだろう。Coinbase がこのハッキング攻撃をシステム的な問題だと主張しているのは信じていない

    • Coinbase のログイン認証コードの SMS が、何も試していないのに届き続けている。Microsoft アカウントも同じだ。誰かが、私のメールアドレスがログインに使えるかどうかを試しているのだと思う

    • 発信番号がどこなのか気になる。私はフィッシング電話をたくさん受けているが、知らない番号には絶対に出ない。Google の通話スクリーニングのおかげで、相手は毎回切ってしまう。だから詐欺だと確信している

    • AI のおかげで詐欺はさらに巧妙になっている。スペルミスもかなり減った。最近、興味本位でフィッシングメールを見てみたら、妙な Unicode 文字が誤訳された箇所を見つけた。完璧ではないが、どんどん狡猾になっている

    • 先週だけで3回か4回受けたという体験だ

    • あの完璧なアクセントは、もしかして機械学習のおかげなのだろうか

    • 彼らが完璧な英語を話し、口座残高まで知っているという事実から、Coinbase の元従業員ではないかと想像してしまう

    • こんなことは絶対に止まらないし、今や犯罪的な要素が合法的資本主義になってしまったという苦々しさを感じる

  • 流出したデータがアカウント復旧に使う情報と同じように見える点を問題視している。つまり、自分のミスであれ Coinbase 側の問題であれ、アカウントにアクセスできなくなった場合、復旧手続きはもはや簡単ではない。ハッカーが流出情報を使ってアカウント復旧を試みる可能性もある。解決策として、現実世界でアカウント復旧を支援するオフライン拠点が必要だと主張している。対面なら犯罪者を逮捕・起訴できる。海外の犯罪者にとって大きな障壁になる。最も確実な解決策は Yubikey のようなハードウェア二要素認証だ

    • 暗号資産業界は、伝統的な金融システムがなぜ存在するのかを、また一つ急いで学んでいる。言っている IRL オフィスとは、多くの暗号資産支持者が「銀行」と呼ぶ概念のことだ

    • 自分のウォレットから直接入出金した記録があるなら、Coinbase に登録されたアドレスとしてその鍵で署名したメッセージを送る方法も、信頼できる復旧手段になる。暗号資産の本質は PKI の別形態だ

    • オフライン拠点ができると、ユーザーのミスではなくても(たとえばシステムが過敏にリスクを検知して)アカウントアクセスが止められた際、遠く離れた別の都市まで行かなければならない現実が生まれる。そうなれば、ロックアウトされた人たちは大いに不満を持つだろう

    • Yubikey を使うほど十分に技術に明るい人なら、そもそもハードウェアウォレットを買って自分で保管するだろうと思う

    • Coinbase にオフライン拠点が必要なら、それはただの銀行という意味だ

    • ハードウェア二要素認証(Yubikey)が唯一の解決策だとしても、失くせば結局またアカウント復旧の段階に戻る

    • Coinbase にオフライン拠点が必要だという話は皮肉なのか、という反問だ

  • 私は Coinbase のカスタマーサポートに、今回のハッキングの影響を受けたかどうか問い合わせた。AI チャットボットを経て実際の担当者につながったが、彼らはハッキングそのものを知らなかった。私が最初に知らせた形になった

    • 影響を受けたアカウントにはメールが送られている。私は影響を受けたユーザーだった

    • 最初の顧客が単に怠惰な担当者に当たっただけかもしれない

    • 担当者が「知らなかった、あなたがこの話を最初にしてくれた」といったマニュアル文句を読み上げただけだったという体験だ

  • Coinbase が海外の「不正なサポート従業員」と自分たちの距離を取ろうとしている様子がうかがえる。もし彼らが実際に Coinbase の従業員や契約者だったのなら、会社が事実上、直接ハッカーにデータを売り渡したようなものだ。詐欺で損失を受けた顧客に補償するのは当然だ。しかし、実際に引っ越したり、銀行やメールアドレスを変えたり、さらには警備員を雇わなければならなかった場合、こうした費用まで会社に請求できるのか気になる

    • 従業員が会社方針に反して、あるいは違法に機密データを持ち出してハッカーに渡したのなら、「会社がデータを売った」と言うのは無理があるという意見だ

  • Coinbase の公式ブログに書かれていた内容を共有している。攻撃にだまされて資金を送ってしまった顧客には補償を行い、情報が露出した顧客にはすでに 5 月 15 日 7:20(米東部時間)にメールを送信したとのこと

    • no-reply メールを選んだのが印象的だ。Coinbase は中央集権性とカスタマーサポートが大きな利点だが、その点がソーシャルエンジニアリング攻撃を可能にしていることを示している

    • Coinbase Prime アカウントは流出範囲に含まれていないという点が気になる。Prime アカウントには特別な保護があるのか、それともそうしたアカウントには詐欺師の関心が薄かっただけなのか気になる

  • 政府の KYC(顧客確認)法のせいで、本人確認に必要な範囲をはるかに超える機密情報を Coinbase が保存せざるを得ない状況になっている。身分証写真まで盗まれたのは政府のせいであり、この情報を何に使うか分からない犯罪者や内部従業員まで問題だ

    • KYC にはそれ自体で十分な理由がある。問題は政府規制ではなく、顧客データの管理がずさんな民間企業だ。管理がずさんなほどコストは安く済み、自分の情報ではないから保護する動機も弱い。強制力がなければ守らないだろう

    • KYC のせいで機密情報を持ち続けなければならないというのは言い訳だ。なぜすべての担当者が恒久的に身分証書類へアクセスできるのか、正直になる必要がある

  • Coinbase の対応はかなり良いと思う。2,000万ドルの身代金要求には決して応じず、その代わりに犯人逮捕につながる情報へ 2,000万ドルの報奨基金を用意した

    • 1996 年の映画『Ransom』で使われたのと同じ手口だという指摘だ

    • 顧客の立場では、データ流出を抑えるために身代金を払う方が重要で、報奨金を別途用意すること自体はよいとしても、まずは目の前のデータ保護の方が急務だという意見だ

    • こういう対応は好きだ。こういう時こそ会社が堅苦しい文言ではなく、「ハッカーども、くたばれ!」くらい強烈なメッセージを出したら、多くの人が共感するだろうと思う

  • 「不正な海外サポート従業員を募集した」とだけ表現している。どの国だったのか、そもそもなぜ彼らを雇ったのかは説明していない。すでに数十億ドルの売上がある会社が、まともな人材採用と審査すらできなかったのは不可解だ

  • 「2,000万ドルの報奨基金」制度の導入について、普段は暗号資産業界を主に批判しているが、今回だけは称賛する。本当に報奨金が支払われることを願う

    • その報奨金を暗号資産で支払うかもしれない、という冗談

  • 既視感がある。もしハッカーが金を要求してきた時点でようやく異常に気づいたのだとしたら、Coinbase は従業員のアクセスログすら残していなかったのではないかと疑ってしまう。内部的に最低限の責任追跡手段があるのか気になる。簡単なアクセス追跡システムを作り、異常兆候や悪意ある従業員を即座に遮断できればよいのに。この騒動のあと、経営陣の退職金がどうなるのか見てみたい

    • 公式ブログを見る限り、カスタマーサポート従業員が、すでにアクセス権を持っていた機密データを攻撃者に金銭目的で渡したということだ。ハッカーが直接アカウントにアクセスしたわけではない

    • 私は米国外の地域で従業員を採用するようになってから、内部管理パネルに何段階ものセキュリティ対策を追加しなければならなかった経験がある(ログ記録、監視、管理者承認など)。クレジットカード業界は PCI-DSS 基準のおかげでデータ保護基準が非常に厳しい。暗号資産業界はこうした規制の不備により、セキュリティ意識が相対的に低いように見える

    • 最低限の対応としてログ記録と事後監査が必要だ。カスタマーサポート担当者に、顧客が簡単には分からない確認情報を要求させるのも無理ではない。顧客自身がロックアウトされた場合は、ごく少数の、より厳格に管理された担当者だけが処理すればよい。月間ユーザーのうち 1% 未満しかアクセスされなかったという統計でも、十分に大きな数字だと思う