コインベースを脅迫した犯人たちの失敗

コインベース

2025年5月初旬、暗号資産に特化した金融サービス企業Coinbaseに、サイバー犯罪者からのメールが届いた。関連する米証券取引委員会（SEC）への報告によると、犯人たちは顧客データおよび社内文書を入手したと主張し、企業が身代金を支払わない場合、それらをネット上に公開すると脅迫した。

その後の調査で、攻撃者たちはCoinbaseのインドの委託先従業員を買収し、世界最大の暗号資産取引所の内部システムへのアクセス情報を入手していたことが判明した。Coinbaseのチーフセキュリティオフィサーフィリップ・マーティン氏は、これをサイバー犯罪の新たな進化段階と捉えている。「この規模の賄賂が使われた事例は、それまで私の知る限りなかった。攻撃者の長期的な狙いも、金額の大きさも前例がなかった」と語る。

私たちはCoinbaseのCSOと、この攻撃の詳細と企業の対応について議論した。

Coinbaseへの攻撃

2024年12月、攻撃者たちはインド・インドールにあるアウトソーシング業者TaskUsで働くCoinbaseのカスタマーサポート担当者を標的にし始めた。彼らはデータ提供の見返りとして、1人あたり最大2,500ドルの賄賂を提示した。この手口によるデータ窃取で、Coinbaseの月間アクティブユーザーの約1％、具体的には約7万人が影響を受けた。盗まれた情報にはプライベートキーやアカウント・ウォレットのアクセス情報は含まれていなかったが、ソーシャルエンジニアリングなどに悪用可能な個人情報や社内データが含まれていた。例えば：

• ポートフォリオ価値や取引履歴などのユーザーアカウント情報
• メールアドレスや電話番号などの連絡先情報
• マスキングされた社会保障番号や銀行情報
• 身分証明書や運転免許証などの本人確認書類
• カスタマーサポート担当者向けの研修資料やその他の社内文書

その後、サイバー犯罪者たちはCoinbaseに対し、ネット上での公開や事態の暴露を防ぐため、2,000万ドルの身代金を要求した。これに対し、暗号資産企業は支払いを公然と拒否し、代わりに要求額と同額の「懸賞金」を犯人逮捕にかけると発表した。

さらにCoinbaseは、攻撃者によるソーシャルエンジニアリング攻撃の被害に遭った顧客に対し、自主的に全額補償することを約束した。パートナー企業と協力し、決済サービス事業者は攻撃者のブロックチェーンアドレスにフラグを立て、当局による犯人追跡や盗難資産の回収を最大限支援した。アウトソーシング先TaskUsの内部協力者は解雇され、関係当局に情報が提供された。現在Coinbaseは同業者との取引を停止している。SECへの報告によると、是正措置や返金にかかった費用は1億8,000万～4億ドルと見積もられている。

模範となる暗号資産大手

サイバーセキュリティの専門家たちは、Coinbaseの対応を高く評価している。特に：

• 透明性のあるコミュニケーション
• 迅速な問題解決
• 被害顧客への補償の意思

チーフセキュリティオフィサーのマーティン氏は、これをCoinbase全体のセキュリティレベルと、約300人のセキュリティ専門家からなる自身のチームの成果と考えている。「私たちは、サイバー犯罪者が顧客を盗むのを極限まで難しくするために、多くの時間と技術リソースを投じています。そのため、組織内にはアーキテクチャ、セグメンテーション、アクセス制御などに特化したプロフェッショナルが多数います」と語る。

暗号資産大手が要求された身代金の支払いを拒否したのは、原則だけでなく、顧客データを守る責任があったからだとマーティン氏は説明する。「もちろん原則もありましたが、何より顧客のデータを守る義務がありました。仮に支払ったとしても、犯人がデータを公開しないという保証はどこにもありませんでした。」

サイバー犯罪者やランサムウェア攻撃者への支払いは、彼らの悪事を助長するだけだと、セキュリティ責任者は述べている。「身代金の支払いは近視眼的な戦略です。それは次の攻撃、しかも自分自身や他者への攻撃の資金源となるだけです。」

ただしマーティン氏は、状況によっては身代金の支払いが合理的な場合もあると認めている。「ランサムウェアの場合、支払うか、企業が攻撃で存続できないリスクを取るかの選択を迫られることもあります。」

今回のCoinbaseへの攻撃で重要なのは、犯罪者の賄賂工作がデータ入手と脅迫を目的としていた点だ。通常、金銭目的の攻撃者は、入手したデータを使って暗号資産投資家のウォレットを奪うことが多い。たとえばSIMスワッピングキャンペーンなどが挙げられる。

なお、Coinbaseは今回の事件以前にも従業員の買収を経験していたとCSOは明かす。「以前にもサポート技術者が正規のアクセス権を使ってCoinbase顧客の情報を盗み出し、それがサイバー犯罪者によるソーシャルエンジニアリング攻撃に悪用されたことがありました。こうした賄賂の金額は時間とともに増加していました。」

そのためCoinbaseはまず管理体制を見直し、随時更新してきた。「私たちは、すべてのインシデント後に事後検証（ポストモーテム）を必ず実施し、経験や学びを振り返り、できるだけ早くセキュリティプログラムに反映させてきました。そして今回の身代金要求が発生したのです。」

従業員がサイバー犯罪者に買収されるのは新しい現象ではないが、Coinbaseの対応は新しいと、セキュリティ企業Silent Pushのシニア脅威リサーチャーザック・エドワーズ氏は指摘する。「犯罪者がカスタマーサポート担当者を買収して攻撃するのは昔からある手口です。しかしCoinbaseが反撃し、犯人に懸賞金をかけたのは前例がなく、これまでにない対応です。」

賄賂リスクの低減

SECへの報告の中でCoinbaseは、今回の事件を受けて米国内に新たなカスタマーサポートセンターを開設する計画を明らかにした。また、今後同様の事件を防ぐための追加対策も講じるとしている。ただしCoinbaseのCSOマーティン氏は、問題を特定の新興国に押し付けるのは誤りだと警告する。「それは大きな間違いです。賄賂のリスクは世界中どこでも起こり得ます。私の考えでは、主に人材選定の問題です。実際、インドでも犯罪者の誘いに乗らなかった従業員は多数いました。」

この点について、セキュリティ企業Huntressのプリンシパル脅威インテリジェンスアナリストグレッグ・リナレス氏も同意している。「脅威アクターは先進国の従業員も標的にします。モデルは単純で、年収6万ドルのIT技術者に15分の‘仕事’でその8倍を提示すれば、魅力的に映ります。特にバレずに済む可能性があるならなおさらです。」

こうした賄賂リスクが企業にとって重大な脅威であることを踏まえ、セキュリティ責任者は積極的な対応が求められる。Silent Pushのエドワーズ氏は、研修プログラムでこの問題を明示的に扱い、顧客データを扱う従業員に対してレッドチーム演習を実施することを推奨している。「カスタマーサポートチームは、不正なパスワードリセット要求への対応だけでなく、賄賂の持ちかけにどう対処するかの戦略も身につける必要があります。」

CoinbaseのCSOマーティン氏は、今回の経験から得た最大の教訓は、サイバー犯罪者は企業のセキュリティレベルに関係なく、常にあらゆる手段で不正アクセスの道を探し続けるということだと語る。したがって、100％の安全は今後もあり得ないとセキュリティ責任者は述べる。彼はこう付け加える。「マイク・タイソンの言葉を借りれば、『誰もが計画を持っているが、顔面にパンチを食らうまでは』です。」

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターで、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。