暗号資産(仮想通貨取引所)のコインベースは20日、インドの従業員や委託先が関与したユーザーデータ流出事件について、米司法省(DOJ)が刑事調査を開始したと明らかにした。
同社は5月15日に内部調査でデータ流出を把握し、即座に米司法省および国際法執行機関に報告した。
流出は2024年末から2025年5月までの約5カ月間にわたって進行し、コインベースの委託先であるインドのカスタマーサポート担当者が脅威グループから現金を受け取り、内部システムへの不正アクセスを許した。
対象となったのは全ユーザーのうち約1%とされる。
Cyber criminals bribed and recruited rogue overseas support agents to pull personal data on <1% of Coinbase MTUs. No passwords, private keys, or funds were exposed. Prime accounts are untouched. We will reimburse impacted customers. More here: https://t.co/SidVn59JCV
— Coinbase 🛡️ (@coinbase) May 15, 2025
インド委託先の従業員が不正アクセスに関与
事件の背景には、インドの外部委託先で勤務するカスタマーサポート担当者らに対する金銭的な働きかけがあった。
攻撃者は、これらの従業員・契約社員を買収することで、顧客情報や内部システムへの「オンデマンドアクセス(即時利用)」を入手。複数回にわたりデータ抽出を繰り返した。
コインベースは2025年1月時点で異常なアクセスの兆候を検知していたものの、委託先従業員による内部の不正行為までは特定できず、5月に正式な流出が発覚した。
攻撃者は流出データを使い、約2000万ドル(約29億円)の身代金を要求したが、コインベースは支払いを拒否したと発表している。
流出の影響と米司法省の対応
コインベースは本件の影響範囲を約1%の顧客データとしているが、正確な被害件数や流出した内容の詳細は明かしていない。
同社は本件に関与した従業員や委託先担当者を全員解雇した上で、再発防止のための監視体制を強化していると説明。
さらに、流出に起因する訴訟や顧客対応、システムの再設計など、総額4億ドル(約580億円)規模の費用が発生する可能性があると試算している。
米司法省の捜査は、攻撃者がどのようにコインベースの業務に侵入したか、その過程や関与者の特定、違法収益の追跡に焦点が当てられている。
コインベースは「法執行機関と全面的に協力し、関係者の刑事責任追及に努める」との声明を出している。
仮想通貨業界に求められる内部統制と再発防止策
今回の事件は、仮想通貨業界における委託先や第三者人材リスクの重要性を浮き彫りにした。特に、グローバルなビジネス展開を進める企業にとって、外部委託人材の管理や監査強化の必要性が高まっている。
コインベースは今後、委託先の評価基準やアクセス管理体制の見直し、高度な監視システムの導入など、セキュリティレベルの一層の向上を図る方針を示している。
今回の情報流出事件を受け、仮想通貨業界全体でも内部統制や外部委託先へのリスク管理強化が求められている。
また、新しい仮想通貨に関するセキュリティの重要性も論じられつつある。新規仮想通貨プロジェクトを検討する投資家は、プラットフォームの信頼性や情報管理体制にも注視する必要がある。
ポイント
- コインベースでインドの業務委託先従業員による内部犯罪が発覚。
- 流出は全ユーザーの約1%に影響し、2900万円の身代金要求も発生。
- 米司法省が刑事事件として調査を開始、コインベースは再発防止策を強化。
99Bitcoinsを信頼する理由
2013年に設立された99Bitcoinsのチームメンバーは、ビットコイン黎明期から仮想通貨のエキスパートとして活躍してきました。
毎週の調査時間
10万以上月間読者数
専門家による寄稿
2000+検証済み仮想通貨プロジェクト
無料のビットコイン・クラッシュコース
- 10万人以上の学習者に支持されています
- 連続7日間、1日1通のメール
- 簡潔で学べる内容を保証!
