和解合意案を提示するにあたり、連邦取引委員会(FTC)は、Illusory Systemsが2022年のサイバー攻撃で失われた資金を利用者に返金しなければならないとしている。
Nomadとして取引を行うIllusory Systemsは、暗号資産ブリッジの安全性について利用者を誤認させた疑いがあり、そのブリッジは2022年に侵害され、186百万ドル相当の資金が盗まれる攻撃につながった。
FTCは、Nomadが2022年6月に「十分にテストされていないコード」を含むアップデートを実施し、その結果「重大な脆弱性」が持ち込まれ、約1カ月後に悪用されたと主張している。
FTCは、これらの資金の一部が回収されたことを認めたものの、Nomadの顧客は最終的に約1億ドルの損失を被ったとしている。
今週公表されたFTCの和解合意案では、合意の署名から1年以内、または侵害に関連するいかなる訴訟も終了してから30日後のいずれか遅い方までに、なお損失を被っている利用者に対してNomadが約3,750万ドルを返金することが求められる。
またNomadには、包括的なセキュリティプログラムを導入し、そのプログラムを維持する担当従業員を任命し、定期的な第三者評価に同意することも求められる。
同社はさらに、自社製品の安全性について今後いかなる虚偽の表示も行うことを禁じられる。
Nomadに対する申し立てでは、当時そのブロックチェーンブリッジを「セキュリティ最優先」の製品として売り込んでいたにもかかわらず、その背後にある組織はサイバーセキュリティのさまざまな面で不十分だったとされている。
FTCは、安全なコーディング慣行の採用、脆弱性管理プログラムの実装、そして侵害が利用者に与える影響を限定できたはずの技術の導入を怠ったと主張している。
さらに、こうした不備とインシデント対応能力の欠如が、資金の全面的な損失に寄与したと述べた。
Nomadはこの和解合意案の条件に同意しており、パブリックコメント期間と、2回目となる最終的なFTCの採決を経て確定する。
「FTC法は企業に合理的なセキュリティ対策を講じることを求めています」と、FTC消費者保護局のディレクターであるクリストファー・ムファリッジ氏は述べた。「企業が消費者に対するセキュリティ上の約束を果たすことが重要です。」
同社のデジタル上の存在感は現在きわめて限定的だ。2023年以降、公的な発信は途絶えており、ウェブサイトにも連絡方法に関する情報は表示されていない。
The Registerは追加情報を求めてNomadの弁護士に連絡を取ったが、掲載時点までに返答はなかった。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/17/nomad_ftc_settlement/
