裁判所への提出書類により、ビジネスプロセスアウトソーシング企業TaskUsの従業員が、2025年5月に暗号通貨取引所Coinbaseを標的とした大規模なデータ侵害の主犯であることが特定されました。
この侵害は5月15日にCoinbaseの投稿で明らかにされ、サイバー犯罪者が海外の不正なサポートエージェントのグループを買収・勧誘し、顧客データを盗み、ソーシャルエンジニアリング攻撃を助長したと述べられています。
米国の暗号通貨企業であるCoinbaseは、この事件が2024年12月に発生し、約7万人の顧客データが流出した可能性が高いと述べました。
Coinbaseによると、攻撃者は盗んだデータを使ってCoinbaseになりすまし、顧客から暗号通貨資産を騙し取ろうと計画していました。
攻撃者はこの詐欺を終わらせるために、Coinbaseに2,000万ドルの身代金を要求しました。
しかし、同社は支払いを拒否し、代わりに2,000万ドルの報奨金ファンドを設立し、犯人逮捕および有罪判決につながる情報提供者に報奨金を支払うと公表しました。
TaskUsに対する集団訴訟
9月16日、米国ニューヨーク南部地区連邦地方裁判所に提出された集団訴訟は、このハッキングに関するさらなる情報を明らかにしました。
裁判所文書では、5人のCoinbase顧客が原告として特定されており、TaskUsと匿名の人物が被告として名指しされています。
TaskUsはデラウェア州に登録されているものの、テキサス州に拠点を置く企業で、プライベートエクイティ企業Blackstoneが所有しています。裁判所提出書類によると、TaskUsは「主要なテクノロジー分野のクライアントにカスタマーサポートを提供するため、数千人の外部委託・低賃金従業員を提供している」とされています。
法的文書はまた、CoinbaseがTaskUsをインドからのカスタマーサポート業務のために雇用し、顧客の個人データへのアクセスを許可したことも述べています。TaskUsのインド従業員がCoinbaseおよびそのユーザーにこれらのサービスを提供していました。
文書には、2025年6月にCoinbaseが、5月の公表声明で言及した「不正な海外サポートエージェント」がTaskUsの従業員であったことを公に認めたとも記載されています。暗号通貨取引所プロバイダーは「関与したTaskUsの人員および他の海外エージェントとの関係を断ち、管理を強化した」と述べています。
TaskUsの従業員であるAshita Mishra氏は、2024年9月にはすでに「極めて機密性の高いCoinbaseユーザーデータを犯罪者に販売することに同意し、共謀に加わった」として告発されています。
TaskUs、Coinbase侵害への従業員関与を認める
裁判所提出書類によると、TaskUsは自社従業員の関与を認めつつも、セキュリティ上の失敗の範囲を最小限に抑えようとしています。
アウトソーシング企業は、「当社のクライアントの情報に不正にアクセスした2名を特定したが、これらはこのクライアントを標的としたより広範で組織的な犯罪キャンペーンに勧誘されたものであり、このクライアントにサービスを提供する他の複数のプロバイダーにも影響を与えた」と主張しています。
TaskUsは、当該行為をクライアントに報告し、関与した個人の契約を終了し、法執行機関と連携していると述べました。
名指しされたTaskUs従業員への告発
裁判所提出書類は、Mishra氏が2024年9月から1日最大200件に及ぶCoinbase顧客の機密記録(氏名、住所、メールアドレス、銀行口座の一部情報、口座残高、社会保障番号など)を組織的に盗み、写真撮影していたと主張しています。
検察によれば、Mishra氏は盗んだデータを1件あたり200ドルでハッカーに販売し、2025年1月に逮捕されるまでに1万人以上の顧客の個人情報を自身のデバイスに蓄積していました。
捜査官は、この犯行はMishra氏だけにとどまらず、彼女が監督者やチームリーダーを勧誘し、単独の内部窃盗を組織的かつ大規模な侵害共謀へと発展させたと主張しています。
TaskUsによる隠蔽工作の疑い
検察は、TaskUsが2025年のデータ侵害を隠蔽しようと、自社のHR調査員(セキュリティ失敗の全容を明らかにした人物)を、侵害が公表される数か月前に解雇したと主張しています。
また、TaskUsは自社の過失(不十分なサイバーセキュリティ対策や、自社の弱いプロトコルすら守らなかったこと)を隠すためにこれを行ったとも述べられています。機密性の高い顧客データを預かりながら、TaskUsは保護よりも利益を優先し、ユーザーを窃盗や詐欺の危険にさらしたとされています。
最後に、文書はBlackstoneとアウトソーシング会社の共同創業者が、Coinbaseが顧客にデータ侵害を公表するわずか1週間前に、TaskUsを16億2,000万ドルで非公開化する買収を実行したことも指摘しています。
「TaskUsはリスク要因の更新や、Coinbaseデータ侵害におけるTaskUsの役割を市場に明示的に警告するような有意な証券報告書の更新を行っていない」と書類には記載されています。
Coinbase顧客が金銭的補償を要求
現在、Coinbaseはデータ侵害による暗号資産の盗難被害額が最大4億ドルに上ると見積もっています。
検察は、TaskUsが基本的なセキュリティ対策を実施せず、通知を遅らせ、事件を隠蔽したことで法的・倫理的義務に違反し、被害者が自らを守る機会を奪ったと主張しています。
同社の過失により、内部者を含む犯罪者が個人識別情報(PII)を盗み、数百万人が金融詐欺やID盗難、さらには一部のCoinbaseユーザーが誘拐を恐れてボディーガードを雇うなど身体的危害のリスクにもさらされたと述べています。
その結果、原告は盗まれた暗号資産、自己負担費用、個人データ流出による恒久的な損害などの損失に対する金銭的補償を求めています。
また、TaskUsに対し、今後の侵害を防ぐためにより厳格なセキュリティ対策を導入するよう裁判所命令を求めています。
原告は、これらの変更がなければ、流出したデータが今後もID盗難、詐欺、その他の金融的搾取など長期的な脅威に顧客をさらし続けると主張しています。
InfosecurityはTaskUsにコメントを求めましたが、執筆時点では回答を得られていません。
翻訳元: https://www.infosecurity-magazine.com/news/taskus-employee-coinbase-breach/