出典: Alamy Stock Photo経由のsharpner
コインベースは、最近の恐喝者の逮捕につながる情報に2,000万ドルを用意しました。
5月11日、アメリカ最大の暗号通貨取引所は、未承諾のメールを受け取りました。それは未知の脅威アクターから送られたもので、同社の内部システムの一部に関する情報や、一部の顧客に属する個人識別情報(PII)を持っていると主張していました。このメールは信頼できると判断され、コインベースは5月14日に証券取引委員会(SEC)への8-K提出書類で認めました。
しかし、ただ屈するのではなく、同社は民間セクターのサイバー攻撃の歴史において前例のない一歩を踏み出しました。サイバー攻撃者によって要求された2,000万ドルの身代金を逆手に取り、今では脅威アクターの逮捕につながる情報に対する報奨金として提供しています。
「通常のプレイブックの興味深い逆転であり、侵害対応をグローバルな人狩りに変える可能性があります」とSectigoのシニアフェローであるジェイソン・ソロコ氏は言います。「この動きは、被害者意識から積極的な攻勢へと物語を転換し、透明性と金銭的インセンティブをサイバー犯罪者に対抗する武器にしています。また、ユーザーや敵対者に対して、恐喝が静かに成功することはないというシグナルを送り、将来の攻撃への対応方法を再構築する可能性があります。」
関連記事:トルコのAPTがチャットアプリのゼロデイを利用してイラクのクルド人をスパイ
最新の暗号通貨ハックでコインベースが侵害される
暗号領域を攻撃するために、現在のWeb3空間で最も裕福なサイバー攻撃者は、通常、スマートコントラクトコードの欠陥を悪用するか、暗号通貨をオンラインで保管する企業(「ホットウォレット」で)を利用するか、またはその両方を組み合わせています。
対照的に、コインベースの最新の事件は、従来のITセキュリティに典型的です。まだ特定されていない攻撃者は、海外で働く同社のカスタマーサービスエージェントを募集し、顧客に関する情報を密輸するために彼らに報酬を支払いました。コインベースが新しいブログ投稿で説明したように、攻撃者の目的はビジネスなりすまし攻撃のための潜在的な被害者を蓄えることでした。また、カスタマーサービスおよびアカウント管理システムに関連する内部会社文書を取得することにも手間をかけました。
ある時点で、コインベース自身のセキュリティ装置がこの内部漏洩を察知し、関与した従業員を解雇し、影響を受ける可能性のある顧客に警告しました。報告によると、全ユーザーベースの1%未満が影響を受けましたが、その小さな顧客群について攻撃者が盗んだ情報は重要です。ログイン資格情報やブロックチェーンの秘密鍵は無事でしたが、顧客の名前、自宅およびメールアドレス、電話番号、社会保障番号(SSN)、マスクされた銀行口座番号、運転免許証やパスポートの画像、コインベースのアカウント残高および取引履歴がすべて盗まれました。
関連記事:インド・パキスタン紛争中のハクティビストの影響は小さい
攻撃者は、この情報を利用して、高度にターゲットを絞ったスピアフィッシングメールを送信する可能性があり、特に今最も利益を得られると知っているユーザーに焦点を当てるかもしれません。そして、従来の支払いシステムとは異なり、ブロックチェーン上の取引は実行後わずか数分で不可逆的であり、盗難や詐欺の場合でも同様です。
報復: サイバーインシデント対応の新たな前例?
コインベースの攻撃者は、全体の話を秘密にしておくために数千万ドルを要求しました。しかし、巨額の支払いをするか、恐喝の試みを無視する代わりに、同社は攻撃者の逮捕につながる情報に対する報奨金として同じ金額を割り当てました。
この決定は本質的に前例のないものです。ソロコ氏は、「ほとんどの企業の資金はバグバウンティハンターに向けられ、犯罪捜査には向けられていません。2009年のConfickerの作者に対するマイクロソフトの25万ドルの報奨金や、2018年のフィッシング試行後のBinanceの25万ドルの報奨金が私の記憶にあります。したがって、コインベースの金額は事実上、桁違いの最初のものです。」
「この動きはヘッドラインをつかみ、顧客に恐喝が口止め料で対応されることはないと安心させ、法執行機関のチャネルが見逃す情報をクラウドソースする可能性があります」と彼は言います。これは恐喝攻撃の将来の被害者にとっての例となるかもしれませんが、このアプローチには欠点もあるかもしれません。
関連記事:中国のアクターが台湾のドローンメーカーとサプライチェーンを攻撃
例えば、ソロコ氏は「敵対者が報復し、データを事前に公開したり、単に身代金を引き上げたりする可能性がある」と考えています。
彼はさらに、「利益率が低い他の企業は、資金を提供できないジェスチャーに合わせるよう圧力を感じるかもしれず、侵害対応が節約のための支出競争に変わる可能性があります。 制裁対象国に住む情報提供者に支払うこと、クルーの一員であるか、腐敗した内部者であることは、米国のマネーロンダリング防止規則、OFAC [外国資産管理局]の制限、および一部の管轄区域では証人補償法に違反するリスクがあります。取締役会は、金額が重要である場合、SECの承認も必要です。」
最終的に彼は、「これは理論上の劇的な抑止力ですが、規制当局がコンプライアンスの地雷を踏まずにどのように行うかを明確にしない限り、大手プレーヤー向けの戦術であり、繰り返し可能な業界標準ではない可能性が高い」と考えています。
報奨金のほかに、コインベースはサイバー攻撃者によって損失を被った小売顧客に対しても補償を計画しています。これらの2つのコスト、事件の調査と修復に関連する費用、およびその他の要素を含めて、コインベースは侵害が最終的に1億8,000万ドルから4億ドルのコストになると見積もっています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/coinbase-extorted-20m-hackers