Coinbase、不正アクセスで情報漏洩を発表-元委託スタッフの関与とソーシャルエンジニアリング攻撃も|セキュリティと仮想通貨のニュース

投稿日時: 2025年05月16日更新日時: 2025年05月16日

2025年5月14日、米Coinbase Global, Inc.（以下、Coinbase:コインベース）は米証券取引委員会（SEC）への提出書類（Form 8-K）において、同社が運営する暗号資産取引所で発生した重大なサイバーセキュリティインシデントを公表しました。本件は、複数の外国人契約スタッフが内部情報へ不正にアクセスし、これを外部に持ち出していたことが発端であり、関係者に2000万ドル金銭を要求する脅迫まで行われていた深刻な事案です。

1 不正アクセスの概要と脅迫の内容
2 漏えいした可能性のある情報
3 被害対応と今後の対策
4 影響と想定される損害額
- 4.1 セキュリティ体制の見直しと業界への示唆

不正アクセスの概要と脅迫の内容

5月11日、Coinbaseは「ある脅迫者からのメール」によりインシデントの存在を認識。このメールには、顧客アカウント情報およびカスタマーサポート関連の社内ドキュメントを保有しているとの主張とともに、情報を公開しない見返りとして金銭を要求する内容が記されていました。

Coinbaseの調査により、複数の国外委託業務スタッフが業務上の権限を悪用し、正当な業務目的なく内部システムへアクセスしていたことが判明。

さらに、収集されたデータを利用してソーシャルエンジニアリング攻撃を仕掛け、最終的にCoinbaseに対し2000万ドルの身代金を要求しました。

これに対しCoinbaseは断固として支払いを拒否し、逆に犯人逮捕と有罪判決につながる情報提供者に対して2000万ドルの懸賞金を設けると発表しています。

こうしたアクセスは過去数ヶ月の間に同社のセキュリティシステムで検出されており、該当者は既に解雇済みだったことから、今回の事件がそれら不審なアクセスと繋がっていたことが確認されました。

漏えいした可能性のある情報

現時点で確認されている流出対象は以下のとおりです

氏名、住所、電話番号、メールアドレス
マスク処理された社会保障番号（SSN）の下4桁
マスク処理された銀行口座番号と一部の銀行識別情報
政府発行IDの画像（例：運転免許証やパスポート）
アカウント残高スナップショットや取引履歴
社内ドキュメントやサポート研修資料、従業員間の一部コミュニケーション

なお、パスワードや秘密鍵、顧客資産へのアクセス権は一切漏れていないとしています。

被害対応と今後の対策

Coinbaseはこの攻撃に対し、以下のような対策を講じていると報告しています：

該当する顧客への注意喚起とアカウント保護措置の強化
社内詐欺対策の再評価と追加防止措置の実施
米国内での新たなサポートセンター開設に向けた準備
脅迫者への金銭支払いは行わず、法執行機関との連携による捜査を継続中

さらに、今回のインシデントに関連して、該当する顧客が誤って脅迫者へ送金した場合には、Coinbaseが自主的に補償する方針を表明しています（要確認後対応）。

影響と想定される損害額

現時点では、業務運営への重大な支障は発生していないとしつつも、Coinbaseは今回のインシデントに伴う費用を1億8,000万ドルから4億ドル（約280億円〜620億円）と予測しています。

これには、調査・対策費用に加え、顧客への補償やシステムの再設計費用などが含まれます。

ただしこの見積もりは暫定であり、今後の調査や訴訟・保険対応等によって増減する可能性があるとしています。

セキュリティ体制の見直しと業界への示唆

Coinbaseは本件を通じて、グローバル業務体制におけるアクセス権限管理の見直しとゼロトラストセキュリティの徹底が不可欠であることを改めて強調しています。今回のように、業務委託先のスタッフによる内部からの不正アクセスは、境界防御だけでは防げないリスクであり、監視・教育・アクセス制御の多層的な防御策が求められます。

また、脅迫メールによる身代金要求への毅然とした拒否姿勢と、被害顧客への自発的な補償方針は、業界としての信頼性確保においても評価される対応といえるでしょう。