- 2025年1月、攻撃者が社会保障番号やビットコイン残高などの詳細な個人情報を把握していたことが判明した事例が発生
- 被害者は直ちにCoinbaseセキュリティチームに詳細な技術レポートを提出したが、その後4カ月間にわたり重要な質問への回答はなかった
- Coinbaseは5月になってようやく海外委託先(TaskUs)社員による内部データ流出を認め、約1%の顧客・最大4億ドルの被害を公表
- メールヘッダーの分析により、Amazon SES経由のなりすまし送信、Google Voice番号の使用、SMS爆撃攻撃などの多段階攻撃構造が確認された
- 報告時点と公表時点の4カ月の空白は、セキュリティ監視の失敗と対応不在を示し、中央集権型取引所の信頼性の問題を浮き彫りにした
事件の概要
- 2025年1月7日、被害者は「2.93 ETH出金リクエスト」という件名のメールを受け取り、Coinbaseを装った電話を受けた
- 発信者は社会保障番号、ビットコイン残高、運転免許証情報などの非公開データを把握していた
- 被害者はこれをCoinbaseセキュリティチームに直ちに報告し、メールヘッダー・音声録音・攻撃者情報を含む詳細な分析資料を提出
- CoinbaseのTrust & Safety責任者 Brett Farmerは「非常にしっかりした報告だ」と返答したが、その後の追加問い合わせには一切応答しなかった
Coinbaseの公式発表との食い違い
- Coinbaseは2025年5月11日になって初めて侵害を認識したと発表し、5月15日に公表
- 攻撃者はインドのTaskUs社員を買収して顧客データを窃取
- 流出項目: 氏名、住所、電話番号、メールアドレス、社会保障番号下4桁、政府発行ID画像、口座残高、取引履歴
- 被害規模は顧客の1%未満、1億8000万〜4億ドルの損失と推定
- しかし被害者は1月の時点で、すでに攻撃者が内部データにアクセスしていた証拠を提示していたにもかかわらず、Coinbaseはこれを無視した
攻撃の詳細構造
- メールのなりすまし:
- 送信元アドレスは commerce@coinbase.com だったが、実際の送信サーバーはAmazon SES(a32-86.smtp-out.amazonses.com)
- DKIM署名は coinbase.com と amazonses.com の両方で通過しており、信頼性を装っていた
- Return-Path が amazonses.com に設定されており、偽装の可能性があった
- 電話詐欺:
- 発信番号 1-805-885-0141 はGoogle Voice番号であることが確認された
- 攻撃者は被害者に「コールドウォレットへ資産を移す」よう誘導
- SMS爆撃攻撃:
- 通話直後に数百件のスパムSMSを受信
- これは二要素認証(2FA)コードやセキュリティ通知を埋もれさせるためのノイズ生成手法と分析された
Coinbaseの問題点
- セキュリティに敏感な業務の外部委託: 海外契約社員が顧客の本人確認情報と口座データにアクセス可能
- 侵害検知の失敗: 1月から攻撃が進行していたにもかかわらず、5月まで内部監視システムが検知できなかった
- ユーザー報告の無視: 被害者の技術的な報告と質問に4カ月間回答なし
- 公表の遅れ: 攻撃が数カ月前から進行していたにもかかわらず、公式認知は身代金要求の後にようやく行われた
ユーザー向けセキュリティ助言
- 電話番号・発信者IDを信用しないこと。必ず公式サイトの番号で再確認する
- 攻撃者が個人情報を知っていても信用しないこと。双方向の認証が必要
- メールヘッダーの分析で送信サーバー・SPF・DKIMの結果を確認
- コールバック番号の検証、アプリ内認証手順による本人確認
- 圧力をかける資金移動要求は拒否し、SMSではなくアプリベースの2FAを使用する
- 攻撃事例は直ちに技術情報をすべて添えて報告する
4カ月の空白が意味するもの
- 被害者は1月に侵害の証拠と録音資料を提出していたが、Coinbaseは5月まで対応しなかった
- この期間中、他の顧客も同じ攻撃にさらされていた可能性がある
- Coinbaseの沈黙は、セキュリティ警報体制と顧客対応手順の構造的欠陥を露呈した
- この事件は中央集権型取引所の信頼と責任の問題を象徴しており、被害者は「その沈黙は120日間続いた」と結論づけた
Coinbaseに残された主要な疑問
- 実際のデータ流出時点はいつだったのか
- 1〜5月の間の被害者数と報告処理の内訳は何か
- 内部アクセス制御の失敗原因と規制対応の有無はどうなっているのか
- Coinbaseが主張するセキュリティ改善措置の実効性は検証可能なのか
まだコメントはありません。