セキュリティ研究者、Coinbaseの侵害公表タイムラインに異議

あるセキュリティ研究者によると、Coinbaseは2024年12月に発生した、悪意のある者がサポートスタッフを買収して約7万人の顧客情報を引き渡させたセキュリティ侵害について、データ窃取を公表する少なくとも4か月前には把握していたという。

研究者のジョナサン・クラーク氏は、犯罪者が彼を騙そうとした後、1月7日にこの攻撃をCoinbaseに報告したため、これが事実であると述べている。

クラーク氏によれば、Coinbaseの信頼・安全部門責任者であるブレット・ファーマー氏は、彼が会社のsecurity@アドレスに送信した「包括的なセキュリティレポート」に対し、同じ日に返信したという。事件についてのブログで、クラーク氏はファーマー氏が「このレポートは非常にしっかりしており、私たちが調査すべき点が多くあります。現在この詐欺師を調査中です」と返信したと述べている。

そしてその後、1月中に4回フォローアップのメールを送ったにもかかわらず、Coinbaseからは一切返事がなかったという。

おさらいとして：5月にCoinbaseはこの侵害を米国証券取引委員会に公表した。その際、同社はデータ窃取者が69,461人分の氏名、生年月日、社会保障番号の下4桁、住所、電話番号、メールアドレス、運転免許証番号、パスポート番号、国民ID番号、取引履歴、残高、送金、口座開設日などの個人情報や財務情報を盗んだと説明した。

Coinbaseは侵害が2024年12月26日に発生したが、発覚したのは5月11日だったと述べている。犯人たちはさらに2,000万ドルの恐喝も試みた。

クラーク氏はこのタイムラインに異議を唱え、自身が1月7日にCoinbaseから盗まれたと考えられる詳細な個人データを使った詐欺師に攻撃されたと述べている。

それは、次の件名のメールから始まった：

数分後、彼の電話が鳴り、「アメリカ人のような口調」の女性がCoinbaseの不正防止アナリストを名乗り、彼の口座からの大きな送金を確認するために電話したと伝えた。

「その後に起きたことは、ぞっとするものでした」とクラーク氏は11月16日のブログで述べている。「彼女は私の社会保障番号を知っていました。ビットコイン残高も小数点以下まで知っていました。詐欺師が知っているはずのない個人情報を知っていたのです。」

クラーク氏は、このメールと電話にはいくつかの不審点があったと指摘している。彼は発信者にCoinbaseの関係者である証拠を求めたが、彼女は自身の身元を証明するのではなく、彼の個人情報を読み上げると申し出た。

メールはAmazon SES（Simple Email Service）経由で送信されており、Coinbaseのメールサーバーからではなかった。また、発信者はCoinbaseの認証済みアドレスからメールを送ることはできないと主張した。

彼が「折り返し電話してもいいか」と尋ねると、彼女は「不正対策部門にいるから無理」と答えた。そこで彼は発信元の番号にかけ直したが、それはGoogle Voiceの番号だった。

最終的に発信者は、彼に暗号資産を「コールドウォレット」に移すよう求め、その手順を案内し始めた。「これは典型的なソーシャルエンジニアリングの手口で、被害者に攻撃者が管理するアドレスに資金を移させるものです」とクラーク氏は記している。

通話後、Coinbaseアカウントにログインしても、新たなログイン試行や偽の送金に関する通知はなかった。

クラーク氏は、これらすべてと追加情報を1月7日にCoinbaseのセキュリティチームにメールし、ファーマー氏から調査を約束する返信を受け取ったが、その後は何もなかったと述べている。1月13日、17日、22日、29日にフォローアップしたが、返答はなかったという。

その後5月に、Coinbaseは侵害を公表した。

「4か月間、攻撃者が詳細なCoinbase顧客データを持っているという確かな証拠を私は持っていました」とクラーク氏は記している。「4か月間、なぜこんなことが可能なのかCoinbaseに繰り返し説明を求めました。しかし4か月間、私の質問には一切答えてもらえませんでした。」

「ブレット・ファーマー氏の最初の返信以降、Coinbaseは1通のフォローアップメールにも返事をしませんでした」と彼は続ける。「『この詐欺師を調査中』という約束にもかかわらず、最も重要な質問――攻撃者が私のプライベートアカウントデータをどうやって入手したのか――には完全な沈黙で応じられました。」

The RegisterがCoinbaseに問い合わせたところ、同様に返答はなかったが、何か進展があれば本記事を更新する予定である。®