コインベース、ハッカーが従業員を買収して顧客データを窃取、2,000万ドルの身代金を要求
(cnbc.com)- Coinbaseは海外サポート要員が買収されて顧客データが流出した事件を公表し、攻撃者はこれをソーシャルエンジニアリング攻撃に利用しようとしていたと説明した。対応費用は最大4億ドルと見積もられる
- 攻撃者は5月11日、一部顧客のアカウント情報と内部文書を入手したと主張し、公開しない代わりに2,000万ドルを要求した
- 流出データには氏名、連絡先、マスキングされた銀行口座情報、身分証画像、口座残高などが含まれていたが、パスワード・秘密鍵・資金は漏えいしておらず、Coinbase Primeのアカウントも影響を受けていない
- Coinbaseは身代金の支払いを拒否し、法執行機関と協力しており、関係した従業員を解雇したうえで影響の可能性がある顧客に警告し、詐欺モニタリング保護を強化した
- 会社は攻撃の首謀者の逮捕と有罪判決につながる情報に2,000万ドルの報奨金を設定し、攻撃者にだまされて資金を送った顧客には返金すると明らかにした
海外サポート要員の買収で発生したデータ窃取
- Coinbaseによると、サイバー犯罪者は海外のサポートエージェントを買収して顧客データを盗み、このデータをソーシャルエンジニアリング攻撃に使おうとしていた
- 今回の事件の対応費用は最大4億ドルに達する可能性がある
- Coinbaseの株価は午前の取引で6%超下落した
2,000万ドル要求とCoinbaseの対応
- Coinbaseは5月11日、一部顧客のアカウント情報と内部文書を入手したと主張するメールを受け取った
- 内部文書には顧客サービスおよびアカウント管理システムに関する資料が含まれていたと、同社はSEC提出書類で報告した
- 攻撃者はその情報を公開しない代わりに2,000万ドルを要求した
- Coinbaseは身代金を支払わず、法執行機関とともに事件を捜査している
- 会社はブログ記事で、要求を拒否する代わりに、犯人の逮捕と有罪判決につながる情報に対して2,000万ドルの報奨金を用意すると明らかにした
流出した情報と影響範囲
- 影響を受けたデータには機微な顧客情報が含まれる
- 氏名、住所、電話番号、メールアドレス
- マスキングされた銀行口座番号と識別子
- Social Security番号の下4桁
- 政府発行の身分証画像
- 口座残高
- パスワード、秘密鍵、資金は漏えいしていない
- Coinbase Primeのアカウントは影響を受けていない
- 攻撃者にだまされて資金を送った顧客は返金を受ける予定だ
内部アクセスの悪用と事前検知
- 攻撃者は海外の契約社員やサポート担当の従業員を金で買収して情報を得た
- 買収された内部関係者は顧客サポートシステムへのアクセス権を悪用し、一部顧客アカウントのデータを盗んだ
- Coinbaseは過去数カ月の間にこの侵害を独自に検知しており、関係した従業員を直ちに解雇した
- 情報にアクセスされた可能性がある顧客に警告し、詐欺モニタリング保護を強化した
Coinbaseの最近の事業動向
- Coinbaseは米国最大の暗号資産取引所を運営している
- 直近1週間で、グローバル展開に役立つと見込まれる買収を発表し、来週から適用されるS&P 500への組み入れも決まった
- 先週の決算発表カンファレンスコールで、CEOのBrian Armstrongは今後5〜10年以内にCoinbaseを世界1位の金融サービスアプリにするという目標を語った
1件のコメント
Hacker News のコメント
SEC 開示資料の原文リンク: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
こちら、あるいは流出データを買った誰かから、スピアフィッシングの電話を継続的に受けている
詐欺の可能性がある取引を確認する必要がある、という典型的な手口で、アメリカ英語のアクセントの完璧な英語を話し、とても親しげに聞こえ、口座残高まで知っている
幸い最初の通話ですぐ詐欺だと気づき、それ以降は Google の通話スクリーニング機能がうまく防いでくれている
できれば Kitboga に回してしまいたい: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase は名前と住所だけでなく、残高、取引履歴、政府発行の身分証画像まで渡したようなもので、多額の暗号資産残高を持つ人たちは路上や自宅で襲われたり、家族が身代金目的で誘拐されたりしている
ここでいう「多額」は1万ドル以下の場合もある
これまで最善の防御は秘密を守ることで、実名と結び付く形で暗号資産の話を公にしないことだったが、Coinbase のおかげでその防衛線は消えた
悪人たちは、誰が Coinbase で意味のある残高を持っていたことがあるのか、その残高を現金化したのか、いくらだったのか、取引所の外にある自分のウォレットへトークンを移したことがあるのかまで分かる
これで誰が誘拐する価値があるのか、どこに住んでいるのかが分かってしまい、名前と自宅住所を Google で検索すれば、脅迫や誘拐の対象になり得る家族の名前もたいてい出てくる
Coinbase が実際の被害費用をすべて賠償するよう強制されることはないだろうが、その費用は会社を破産させるレベルになるはずだ
iPhone ユーザーはこれをどう処理しているのか気になる
Microsoft アカウントも同じだ
普段はただ無視しているが、誰かが自分のメールアドレスでログインできるか試しているように思える
Coinbase が「サイバー犯罪者」から連絡を受けるまで、これをシステム的な問題として認識できなかったという説明は信じがたい
少し前、興味本位でフィッシングメールを見ていたら、変な Unicode 文字が誤訳されているのを見つけ、すぐにひどい翻訳の痕跡だと分かった
完璧ではないが、かなりよく作られている
問題は、流出したデータがアカウント復旧に使われるデータのように見えることだ
つまり、本人のミスであれ Coinbase のミスであれ、アカウントへのアクセス権を失うと復旧手続きはもはや単純ではないかもしれず、ハッカーがこの流出情報を使ってアカウントの「復旧」を試みる可能性もある
Coinbase には実店舗が必要だ。アカウント復旧のようなことを対面で処理し、金を盗もうとする者を捕まえて起訴できる場所が必要であり、たいてい海外で動く窃盗犯に対しても大きな障壁になる
ここで唯一の解決策は YubiKey のようなハードウェア二要素認証だ
今説明したものは、多くの暗号資産支持者が銀行と呼ぶものと同じだ
そもそも暗号資産はもう一つの公開鍵基盤だ
Coinbase のカスタマーサポートに連絡して、自分が影響を受けたのか確認しようとした
AI ボットに時間を浪費したあと人間につながったが、その担当者は流出の事実を知らず、私が最初に知らせた相手だった
ソース: 自分が影響を受けた
Coinbase が本人確認と認証に必要な範囲をはるかに超える機微情報を保管しなければならなかった理由は、**KYC(顧客確認)**のせいだ
パスポート写真が盗まれ、犯罪者や悪意ある Coinbase 従業員がその情報で何をしようと、その責任の一部については政府に感謝すべきだ
ここでの問題は政府規制ではなく、民間企業が顧客データをずさんに扱っていることだ
ずさんに扱うほうが安く、リスクにさらされている情報は会社のものではなく顧客のものなので、法律で強制しない限り、きちんと保護する動機は小さい
なぜすべてのサポート担当者が本人確認書類に恒久的にアクセスできる必要があるのか、正直に説明すべきだ
その書類は**KYC(顧客確認)**にしか必要ない
Coinbase は、いわゆる「海外の悪意あるサポート担当者」と自分たちを切り離して見せようとかなり努力しているようだ
彼らが Coinbase の従業員または契約者だったなら、会社が実質的に自社データをハッカーに売り、ハッカーがさらに身代金を要求したということになる
だまされて送金した顧客に賠償するのは妥当だ。Coinbase の行為が損失につながったという訴訟上の論理はかなり明確に見えるからだ
さらに気になるのは、引っ越し、銀行変更、メールアドレス変更、警備要員の雇用などが必要だと感じた人が、その費用の一部または全部を会社に請求する訴訟で勝てるかどうかだ
会社の従業員が方針に違反し、おそらく違法に社内データを持ち出して金を受け取りハッカーに渡したのだとしたら、「当社がデータを売った」と言うのは難しい
Coinbase のブログ記事: https://www.coinbase.com/blog/protecting-our-customers-stand...
ソーシャルエンジニアリング攻撃で攻撃者に資金を送るようだまされた顧客には補償するとし、データにアクセスされた顧客には no-reply@info.coinbase.com からすでにメールを送ったとのこと
影響を受けた顧客へのすべての通知は、東部時間 5/15 午前 7:20 に送信されたとのこと
Coinbase のような会社を運営するのが難しいことは理解できるが、中央集権化とカスタマーサポートという最大の強みこそが、こうしたソーシャルエンジニアリングを可能にする要素でもあるので、妙な選択に感じる
Coinbase Prime の有料の壁の向こうに追加のデータ保護レイヤーがあるのか、それともより熟練したユーザーである可能性が高く、意図的に避けたのかは分からない
流出の説明によると、攻撃者は米国外でサポート業務を行う複数の契約社員または従業員に金を払い、業務上のアクセス権を持っていた Coinbase の内部システムから情報を収集させたようだ
流出した情報を見る限り、出所はフィリピンのカスタマーサポートである可能性が高い
月給は通常 1,000 ドル未満で、初級職なら 500 ドルにも届かないことがあるため、5,000 ドルの賄賂は税引きなしで 1 年分以上の金になり得る
このデータセットで稼げる金額を考えれば小さな投資だ
流出項目は、氏名、住所、電話番号、メールアドレス、マスクされた社会保障番号の末尾 4 桁、マスクされた銀行口座番号と一部の銀行識別子、運転免許証・パスポートなどの政府発行身分証画像、残高のスナップショットと取引履歴、サポート担当者が閲覧できる一部の社内文書・研修資料・コミュニケーションだ
これはあらゆる攻撃者が夢見るデータであり、メールアドレスと口座残高だけでも悪夢だ
会社を脅迫する代わりに、各ユーザーを直接脅迫できる。「BTC の 50% を送れば、お前の全情報をインターネットに公開しない」といった具合だ
Vastaamo のデータ流出に似た状況になりそうだ: https://en.wikipedia.org/wiki/Vastaamo_data_breach
フランスでは今年初めから、暗号資産投資家に関連する誘拐および誘拐未遂が少なくとも 5 件あった
米国企業はフィリピンにカスタマーサポートを外注し、時給 3〜6 ドルを支払っている
サービスを提供する業者は離職率が非常に高く、ある会社では従業員の平均勤続期間が約 6 か月だ
忠誠を尽くす理由などまったくない
むしろ逆方向に進んでいる
こうした衝撃で、米国は近いうちに混乱に陥る気がする
米国だったなら値段ははるかに高かっただろうが、攻撃で得られる利益も、それに見合うほど大きい側に調整されていた可能性が高い
Coinbase をどう見ているにせよ、今回の対応はかなり良さそうに見える
2,000 万ドルの身代金を払わず、その代わりに責任者の逮捕と有罪判決につながる情報に2,000 万ドルの報奨金を出すというやり方だ
タイトルが「Protecting Our Customers - Standing Up to Extortionists」だが、個人情報を流出させて申し訳ないと言うべき状況を、人々が称賛するように発表文を書いているのが問題だ
この点に本当に腹が立つ
しかも私が受け取ったメールの件名は「important notice」で、個人アカウントが影響を受けたという事実は長々しい段落の 3 文目にあった
どれも良くないし、この会社が事態を真剣に扱っている姿勢ではない
こういう瞬間には、会社らしい文言を少し離れて「くたばれ、ハッカーども!」くらい言うのにも良い機会だった
Bible Belt に住む人たちだって、タイミングのいい悪態の一言くらいは認める
報奨金制度まで用意するならそれは良いが、自分のデータなら、Coinbase が報復的な賞金首ごっこをするより、流出範囲を減らすことに関心がある
Coinbase がそもそもこうした情報を持たなければならなかったのは、本人確認制度規制のためで、本当に不幸だ
正当な理由なく個人識別情報を共有しないという強い社会的規範を作るべきだ
これは個人の窃盗リスクだけでなく、国家安全保障上のリスクでもある
Coinbase は私の Social Security 口座に納付しているわけではないのだから私の Social Security 番号を持つべきではないし、私の家を訪問するわけでもないのだから住所を持つべきではない
歴史的に、本人確認制度規制は共産圏国家には広く存在したが、ほとんどの民主国家では 9/11 以前には想像しがたいものだった
9/11 は情報機関が望んでいたリストを法律に押し込む絶好の機会を与え、残念ながらこれは国内の情報機関と同じくらい、もしかするとそれ以上に外国の情報機関にも役立つ
各国でいつ導入されたかはここで見られる: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...