2025年8月、株式会社Custodiem(旧FTX Japan)とQuoine Pte. Ltd.は、Custodiemの買収後に実施していた顧客データの一部移転作業において、
海外の業務委託先によるクラウド環境の設定誤りが発生し、適切なアクセス制限がなされていない期間があったと明らかにしました。2025年7月31日(日本時間)の海外メディア報道を受け、同日中に事象を確認し、アクセス制限を直ちに是正済みです。
事象の発端と確認
2025年7月31日(日本時間)に海外メディアで報道があり、両社が同日中に当該クラウド環境の設定誤りを確認。
判明当日(2025年7月31日)、両社により直ちに適切なアクセス制限措置が実施し Custodiemは、速やかに金融庁及び個人情報保護委員会へ「暗号資産交換業者に関する内閣府令」及び「個人情報の保護に関する法律」に基づく正式な報告。
2025年8月21日、金融庁より資金決済に関する法律第63条の15第1項及び金融商品取引法第56条の2第1項の規定に基づく報告徴求命令を受領しました。適切かつ誠実に対応してまいります。
個人情報閲覧の原因
原因は、QuoineのシステムからCustodiemのシステムへ顧客データの一部を移転する過程で、海外の業務委託先が行ったクラウド設定の不備にあったとしています。
対象となる顧客
2022年11月12日時点でCustodiem(当時FTX Japan)に口座を保有していた顧客の一部、約36,000名。
閲覧可能だった期間
2025年1月17日~2025年7月31日
閲覧可能性のあった個人情報
-
2022年3月~11月にかけて発行された「取引報告書兼証拠金受領通知書」および「取引残高報告書(月次)」
-
これら書面の管理に使用されていた電子メールアドレス
-
書面に記載の氏名、住所、旧FTX Japan口座番号
-
現物・証拠金取引に関する履歴情報(売買、法定通貨・暗号資産の残高、損益、入出金・入出庫の明細等)
※両社はいずれもクレジットカード番号やパスワードは保有していない。
二次被害の確認状況
第三者によるインターネット上での販売・二次利用・コピーなどの有無を継続調査していますが、8月22日時点でそうした事象は発生していないとのこと
加えて、一般的に二次被害の直接要因となりやすいクレジットカード番号やパスワードは両社で保有しておらず、その他の二次被害も現時点で確認されていないとしています。
関連記事
松竹がグーグルフォームの誤設定で個人情報が閲覧できる状態に
ジェイテクト 欧州グループ会社への不正アクセスで顧客の情報流出の可能性
朝日生命となないろ生命が保険代理店出向者による個人情報漏洩を発表
メディアリンクス、米子会社へのランサムウェアによるサイバー攻撃で特別損失を計上
長野県立こども病院、看護師が電子カルテの画像を無許可で共有-停職1か月の処分
ギフティ、「giftee for Business」申込みサイトへの不正アクセスで迷惑メール 約58万件を送信
関通のランサムウェアとサイバー攻撃でチョーヤ梅酒の関連会社が運営するECサイトで個人情報漏洩の可能性
ジェイテクトの欧州子会社が不正アクセスの被害-ネットワーク遮断・当局への報告を実施、影響範囲を調査中
ランサムウェアの事例を解説
