Coinbaseの情報漏えいの裏側：賄賂が企業への脅威として浮上

5月11日、暗号通貨取引所大手のCoinbaseは「未知の脅威アクターから、特定のCoinbase顧客アカウントに関する情報と、カスタマーサービスやアカウント管理システムに関連する内部文書を入手したと主張するメールを受け取った」と、3日後にSECへの8-K報告書で発表しました。

この漏えい事件は、攻撃者が—金銭目的の若年ハッカーグループThe Com、もしくは関連する脅威アクターScattered SpiderやShinyHuntersの一員とされる—インドの外部委託作業員に賄賂を渡し、Coinbase顧客データへのアクセス権限を得ていたことを明らかにしています。（Coinbaseは攻撃を特定のグループに帰属させていません。「The Comが犯行声明を出していますが、実際に彼らかどうかは確認できません」と同社の広報担当者はCSOに語っています。）

外部委託作業員が賄賂の標的となった度合いは、この事件で最も重要な側面かもしれません。「この事件で示されたような広範な賄賂、長期的な焦点や金額の大きさは、これまで聞いたことがありませんでした」と、Philip Martin氏（CoinbaseのCSO）はCSOに語ります。「これは攻撃者の行動の進化だと感じました。」

この顕著な事例を受け、専門家はセキュリティリーダーに対し、社内外のスタッフに対する賄賂の脅威への教育やレッドチーム演習を強化するよう強調しています。さらに、フィッシング攻撃などの従来型の侵入手法が効きにくくなる中、サイバーセキュリティの専門家は、従業員を誘惑する新たな脅威アクターの策略にも備える必要があります。

Coinbase情報漏えいの詳細

2024年12月から、脅威アクターはCoinbaseのカスタマーサポート担当者を標的にし、インド・インドールのビジネスプロセスアウトソーシング（BPO）企業TaskUSで働く従業員に、1人あたり最大2,500ドルの賄賂を提示し、カスタマーサポートツール内のデータをコピーするよう持ちかけていました。

盗まれたデータはCoinbaseの月間取引ユーザーの1%、約7万人分で、連絡先情報や社会保障番号、アカウントデータ、マスクされた銀行口座情報など、個人を特定できる情報が含まれていましたが、ログイン認証情報や秘密鍵、アカウントや暗号ウォレットへのアクセスは含まれていませんでした。

ハッカーはCoinbaseに対し、データ公開を防ぐために2,000万ドルの身代金を要求しました。Coinbaseは支払いを拒否し、代わりにハッカーに2,000万ドルの懸賞金をかけました。さらに、取引所はソーシャルエンジニアリング攻撃で資金を送ってしまった顧客に補償し、顧客のセキュリティ対策を強化することを約束しました。

Coinbaseは業界パートナーと協力し、攻撃者のアドレスをタグ付けして当局が追跡・資産回収できるようにしました。また、内部関係者を即時解雇し、米国および国際的な法執行機関に刑事告発しました。

TaskUsはインド・インドールの施設でCoinbaseの電話対応を停止し、226人の従業員を解雇したと発表しました。CoinbaseはSECへの報告書で、初期の復旧・補償費用を1億8,000万ドルから4億ドルと見積もっています。

高く評価されたCoinbaseのインシデント対応

Coinbaseの透明性、身代金への断固たる拒否、迅速な復旧対応、顧客への補償姿勢は、サイバーセキュリティ専門家から広く称賛されました。

CoinbaseのMartin氏によると、同社が堅牢なセキュリティ体制を構築していたため、ハッカーはインドのヘルプデスク従業員への賄賂に頼らざるを得なかったといいます。Martin氏は「賄賂は最後の手段だった」と述べています。

「私たちは、Coinbaseを脅威アクターが顧客から盗み出すのが非常に難しいプラットフォームにするため、多くの時間とエンジニアリングリソースを費やしています」とCSOに語っています。

Martin氏は、約300人のセキュリティ専門家チームによる、非常にストレスの高い状況下での対応の成功を称賛しています。「セキュリティはチームスポーツです」と彼は言います。「組織全体の人々が、インシデント発生前も後も、アーキテクチャやセグメンテーション、アクセス制御について考えていました。」

「テロリストには金を払わない」

Coinbaseが身代金を支払わなかったのは、原則だけでなく、支払っても攻撃者がデータを削除しないと考えたからでもあります。

「私たちがテロリストに金を払わないというのはもちろん原則の問題ですが、結局のところ、これは私たちの顧客の情報です」とMartin氏は言います。「私たちにはそれを守る義務があります。したがって、この脅威アクターグループが言った通りに行動し、データを公開しないという約束を守る理由はないと考えました。」

さらに、ランサムウェア攻撃者への支払いは、彼らの悪質な行動を助長することになるとMartin氏は付け加えます。ランサムウェア攻撃者への支払いは「長期的な視点ではなく、短期的な視点です」とMartin氏は言います。「テロリストに金を払えば、次の攻撃の資金を提供していることになります。それが自分への攻撃であれ、他人への攻撃であれ。」

ただし、状況によっては身代金の支払いが合理的な場合もあると彼は認めています。「ランサムウェアインシデントの場合、本当に身代金を払うか会社が死ぬかという状況になることもあります。それは非常に厳しい立場です。」

賄賂は時間とともに増加

Coinbase漏えいの重要な側面の一つは、賄賂が個々の暗号投資家のウォレットを狙うのではなく、企業としてのCoinbaseを標的にしてアカウント情報を取得し、身代金を要求するために使われた点です。金銭目的のハッカーは、通常は通信会社の従業員を買収してSIMスワップを行い、暗号資産や金融口座から資金を盗むのが一般的です。

ハッカーが賄賂でCoinbase顧客にアクセスしようとしたのは、これが初めてではありません。「サポート担当者は、Coinbase顧客の日常的なニーズに対応するために与えられた権限を使い、顧客に関する情報をCoinbaseから盗み出していました。悪意のあるアクターはその情報を利用して、被害者への接触やソーシャルエンジニアリングを強化していました」とMartin氏は言います。「賄賂は小額から始まり、時間とともにかなり大きくなりました。」

ハッカーが賄賂を続けている間、Coinbaseは問題への対応策を講じていました。「私たちはコントロールを更新し、敵対者への対応だけでなく、場合によっては先回りすることもしていました」とMartin氏は述べています。

「私たちにとって重要なのは、問題が発生するたびに必ず事後検証を行い、そこから得た教訓を非常に迅速にセキュリティプログラムに反映させることです。それは身代金要求が来るまで続きました。」

「脅威アクターが従業員を買収するのはかなり一般的です」と、Silent Pushのシニア脅威リサーチャーZach Edwards氏はCSOに語ります。「The Comに関連する手法を持つ脅威アクターは、何年も前から企業やカスタマーサポートスタッフを買収して攻撃を実行させてきました。Coinbaseの漏えいで非常に興味深いのは、これまで見られなかった企業側で同様の賄賂戦術が使われた点です。」

しかし、Huntressの主任脅威インテリジェンスアナリストGreg Linares氏は、2020年の事件を指摘します。ロシアの脅威アクターがテスラの従業員に100万ドルの賄賂を持ちかけ、ネバダ州のテスラネットワークにランサムウェアを仕込ませ、さらに多額の身代金をテスラから得ようとした事件です。「大規模なランサムウェアグループは、内部攻撃のために個人を買収する資金力があり、インサイダー脅威は一部業界で常に問題となります」とLinares氏は述べています。

すべての国で賄賂リスクへの訓練とテストを

SECへの報告書提出時、Coinbaseは今回の漏えいを受けて米国内に新たなサポート拠点を開設中であり、この種のインシデントを防ぐための防御強化策を講じていると述べていました。

しかしテスラ事件が示すように、どこにいる従業員でも賄賂の持ちかけを受ける可能性があります。「それが不平等な地域だけの問題だと考えるのは大きな間違いです」とCoinbaseのMartin氏は言います。「それは守る側の想像力を制限してしまいます。どこでも起こりうる問題です。そして、これはどこで雇うかよりも、誰を雇うかの問題だと思います。インドでも多くの人が第三者と関わらなかった例がありました。」

Linares氏も同意し、脅威アクターは発展途上国の外部委託作業員だけでなく、先進国で中流階級の給与を得ている従業員も同様に標的にする可能性が高いと述べています。「多くの場合、IT従業員が年収6万ドルで働いている多国籍企業で、8年分の給与に相当する金額を15分の作業で得られ、しかもバレずに済むかもしれないとなれば、攻撃者はその隙を突こうとします。」

企業の賄賂リスクが重大であることを踏まえ、セキュリティリーダーは、従業員が賄賂の申し出にどう対応すべきかを学ぶためのトレーニングや、顧客データにアクセスできる従業員を対象としたレッドチーム演習を開始すべきです。

「航空業界、保険業界、そして小売業界でも、カスタマーサポートチームが不正な口頭でのパスワードリセット要求への対応だけでなく、賄賂の申し出への対応もきちんとできるかをテストすべきです」とSilent PushのEdwards氏は述べています。

「標的となるカスタマーサポートチームの全員が、賄賂は極めて重大な問題であり、サポートチームが賄賂の申し出を拒否するだけでなく、その重要性を理解し、上司に報告・エスカレーションすることが重要であるという継続的かつ積極的な取り組みが行われていることを知っておくべきです」とEdwards氏は言います。

Martin氏にとって、最も重要なのは、どれだけ企業のセキュリティが厳重でも「敵対者は自分たちが築いたものを見て、それをどう回避するか、突破するか、乗り越えるか、潜り抜けるか、あらゆる手段を考える」ということです。「完全なセキュリティなど存在しません。私が好きな有名なマイク・タイソンの言葉に『誰もが計画を持っているが、顔面にパンチを食らうまでは』というものがあります。」