Coinbase のユーザーデータが盗まれ、2,000 万ドルを脅迫された。ソーシャル攻撃は常態化している

編集：フェリックス、PANews

5月15日、Coinbaseに関する2つのネガティブなニュースが発表され、Coinbaseの株価は「大暴落」を喫した。

1つは、Coinbaseが内部データと顧客情報の盗難を伴うサイバー攻撃を公表したことで、その経済的影響は1億8000万ドルから4億ドルに及ぶ可能性があるということだ。

さらに、情報筋によると、米証券取引委員会は、コインベースが2021年の上場前にユーザーデータを改ざんしたかどうかを依然として調査中だという。

2つのネガティブなニュースの影響で、Coinbaseの株価は1日で7.2%下落した。

カスタマーサービスがユーザーデータを漏洩し、 2000万ドルの身代金を要求

コインベースは報告書の中で、サイバー犯罪者が海外の悪質な顧客サービススタッフのグループに賄賂を渡して採用し、顧客サポートシステムへのアクセス権を悪用して、顧客サポートツール内の月間取引ユーザー（約8万～10万人）の1％未満のデータを盗んだと述べた。資金、パスワード、秘密鍵は盗まれず、Coinbase Primeアカウントは「影響を受けなかった」ものの、攻撃者はそのデータを利用して顧客を標的としたソーシャルエンジニアリング詐欺を仕掛けた。

この攻撃手法に関して、一部の暗号専門家は、この種の標的型ソーシャルエンジニアリング攻撃（海外のカスタマーサポートチームを使用）は暗号業界では珍しいことではないとコメントしています。なぜなら、暗号通貨取引所のアクティブユーザーの情報は、あなたが思っているよりもはるかに価値があるからです。大手取引所の新規ユーザー獲得の平均コストは有効ユーザー 1 人あたり 5 ～ 50 米ドルですが、中小規模の取引所の新規ユーザー獲得の平均コストは 50 ～ 300 米ドルです。

Coinbase の攻撃者はソーシャルエンジニアリング詐欺を開始した後、Coinbase に対して 2,000 万ドル相当のビットコインを要求する身代金要求書を送信し、Coinbase が支払わない場合は盗んだ顧客データを公開すると脅迫しました。

報告書によれば、攻撃者は以下の情報を入手したという。

氏名、住所、電話番号、メールアドレス
マスクされた社会保障番号（最後の4桁のみ）
ブロックされた銀行口座番号と一部の銀行口座識別子
政府発行の身分証明書の画像（例：運転免許証、パスポート）
アカウントデータ（残高スナップショットと取引履歴）
限定的な企業データ（顧客サービス担当者が利用できる文書、トレーニング資料、コミュニケーションを含む）

しかし、ログイン認証情報や二要素認証コード、秘密鍵、顧客資金の送金やアクセス、Coinbase Primeアカウントへのアクセス、CoinbaseやCoinbase顧客のホットウォレットやコールドウォレットへのアクセスなどのデータは「盗まれなかった」という。

攻撃への対処、身代金の支払い拒否、報奨金の発行など複数の対策

Coinbaseは事件後、一連の対策を講じた。

まず法執行機関と緊密に連携することから始めましょう。データを漏洩した内部関係者は即座に解雇され、米国および国際法執行機関に引き渡され、コインベースは刑事告訴を行うと述べた。

次に、盗まれた資金を追跡します。 Coinbase は業界パートナーと協力して攻撃者のアドレスにフラグを付け、当局が資産を追跡して回収できるようにしました。また、同社はソーシャルエンジニアリング攻撃によって攻撃者に騙されて送金させられた顧客に対して補償することを約束した。サポート業務の安全性をさらに高めるため、Coinbase は米国に新しいサポートセンターを開設し、すべての拠点でセキュリティ管理と監視を強化します。

攻撃者が要求した2000万ドルの身代金に対し、コインベースは支払わないと発表した。同時に、Coinbaseは、今回の攻撃で手がかりを提供し、犯人逮捕と有罪判決に協力した人々に報奨金として2,000万ドルの基金を設立する予定だ。

コインベースのユーザーはソーシャルエンジニアリング攻撃の対象になったり、「普通」になったりする可能性がある

一見前向きな対応策にも関わらず、Coinbase に関連するセキュリティインシデントは頻繁に発生しているようで、特にユーザーが遭遇するソーシャルエンジニアリング詐欺では、盗まれた金額もかなり高額になっています。

今年2月、オンチェーン探偵のZachXBTは、Xプラットフォーム上で、2024年12月から2025年1月の間に、Coinbaseユーザーがソーシャルエンジニアリング詐欺によって6,500万ドル以上を失ったことを明らかにした。同社は、6500万ドルという推定額は、コインベースのサポートや警察に提出された訴訟を考慮に入れていないため、実際の金額よりも「大幅に低い」可能性が高いと述べた。

ZachXBTは複数のセキュリティインシデントを挙げ、Coinbaseがこうした詐欺に適切に対処できなかったとして「批判」した。「毎月数千万ドルもの金額が詐欺被害に遭うユーザーがますます増えているため、Coinbaseは早急に対策を講じる必要があります。他の大手取引所ではこのような事態は見られません。」

ZachXBTはまた、コインベースの経営陣に対し、KYC認証済みのユーザーにプラットフォーム上で電話番号を入力するオプションを与えること、引き出しを制限する新しいユーザーアカウントタイプを追加すること、コミュニティへの働きかけを増やすことなど、ソーシャルエンジニアリング攻撃に対する対策強化を検討するよう促した。

これらの提案は Coinbase によって採用されなかったかもしれないが、この恐喝事件は Coinbase にとって警鐘となるかもしれない。