2025年5月、米国の大手暗号資産取引所Coinbase(コインベース)は、約6万9,000人の顧客情報が不正に流出したことを明らかにしました。漏えいは2024年12月末に発生しており、国外の委託業務スタッフによる内部犯行が原因とされています。
目次
発覚までに約5か月、内部犯による不正アクセス
5月11日、Coinbaseは「ある脅迫者からのメール」によりインシデントの存在を認識。このメールには、顧客アカウント情報およびカスタマーサポート関連の社内ドキュメントを保有しているとの主張とともに、情報を公開しない見返りとして金銭を要求する内容が記されていました。
Coinbaseの調査により、複数の国外委託業務スタッフが業務上の権限を悪用し、正当な業務目的なく内部システムへアクセスしていたことが判明。
さらに、収集されたデータを利用してソーシャルエンジニアリング攻撃を仕掛け、最終的にCoinbaseに対し2000万ドルの身代金を要求しました。
こうしたアクセスは過去数ヶ月の間に同社のセキュリティシステムで検出されており、該当者は既に解雇済みだったことから、今回の事件がそれら不審なアクセスと繋がっていたことが確認されました。
漏えいした情報の範囲
流出した情報には以下の項目が含まれています:
-
氏名、生年月日、住所、電話番号、メールアドレス
-
社会保障番号(SSN)の下4桁
-
銀行口座情報(マスク処理済の口座番号・識別子)
-
政府発行の身分証画像(運転免許証、パスポートなど)
-
アカウントの残高、取引履歴、開設日など
Coinbaseによれば、パスワードや秘密鍵、シードフレーズといった、暗号資産の直接的なアクセス情報は漏れていません。
金銭要求とCoinbaseの対応
攻撃者は、情報公開を回避するための2,000万ドルの支払いを要求するメールをCoinbaseに送信しました。
同社はこの要求を拒否し、犯人特定につながる情報提供者に対して同額の懸賞金(2,000万ドル)を設定する方針を打ち出しています。
顧客対応としては、米IDX社による1年間のID保護・クレジットモニタリングサービスを提供。さらに、詐欺被害にあった顧客については事実確認のうえ補償する意向を示しています。
想定される損害と対応費用
Coinbaseは今回の情報漏えいにより、1億8,000万ドル〜4億ドル(約280億円〜620億円)の費用が発生すると見積もっています。
これには、以下の費用が含まれます:
-
顧客への補償
-
セキュリティ体制の再設計・強化
-
捜査協力・法的対応のコスト
-
モニタリングおよび監視体制の構築費用
被害総額は今後の調査結果や訴訟・保険対応によって変動する可能性があります。
Coinbaseの再発防止策と組織的対応
Coinbaseは今回の事案を受けて、以下の再発防止策を進めています:
-
米国内での新たなサポート拠点設立
-
業務委託先のアクセス権限再設計と監視体制の強化
-
社内詐欺対策手順の再構築
-
被害顧客への自発的補償制度の導入
また、ユーザーに対しては、*Coinbase社員を名乗る第三者からの連絡に注意」するよう呼びかけています。
情報システム部門への示唆
この事件は、外部委託先を含めた内部不正対策の重要性を浮き彫りにしました。
特に以下の観点での見直しが求められます:
-
委託スタッフの最小権限運用とアクセス監査
-
顧客データ管理体制のリスク評価と可視化
-
ゼロトラストモデルの導入と拡張
-
サプライチェーン全体を含めたインシデント対応計画の整備
まとめ
今回のCoinbase事件は、境界防御に依存した従来のセキュリティモデルの限界を改めて浮き彫りにしました。
委託業務を含む組織全体のセキュリティ体制をゼロベースで再設計する必要があります。今後もこのようなリスクを見据えた多層防御と迅速な対応体制の構築が、企業の信頼維持に直結すると言えるでしょう。
関連記事
Coinbase、不正アクセスで情報漏洩を発表-元委託スタッフの関与とソーシャルエンジニアリング攻撃も
北朝鮮のラザルスがBybitへの約14.6億ドル(約2200億円)のハッキングに関与
Dellへ不正アクセスと情報漏洩の疑惑 2024年9月に3回発生か
中国がカナダの政府高官を狙って標的型攻撃メールを配信、ネットワーク活動も監視
ロンドン交通局のサイバー攻撃で17歳の少年を逮捕
JAXAへのサイバー攻撃をまとめて解説
セキュリティインシデント 事例【2024年】
Dior、不正アクセスによるサイバー攻撃で顧客の個人情報漏洩を公表-中国・韓国で影響確認
セキュリティインシデントとは その種類と事例などを解説
