原作者:ベン・ワイス、ジェフ・ジョン・ロバーツ
原文翻訳:ルフィ、フォーサイトニュース
コインベースの共同創業者兼CEOのブライアン・アームストロング氏が、2022年にインドのベンガルールで開催されたイベントで講演した。
2025年5月15日、Coinbaseは数万人の顧客の個人データが盗まれたことを明らかにしました。これは同社史上最大のセキュリティインシデントであり、最大4億ドルの損失が発生すると推定されています。このデータ侵害は、その規模だけでなく、海外の顧客サービススタッフに賄賂を渡して顧客の機密情報を入手するというハッカーの攻撃手法でも注目された。
コインベースは、犯罪者の逮捕や有罪判決につながる情報を提供する内部告発者に2000万ドルの報奨金を支払うと公言しているが、攻撃者の身元やハッキングの詳細についてはほとんど明らかにしていない。
最近のフォーチュン誌の調査では、コインベースとハッカーの一人との間の電子メールの調査も含まれており、事件に関する新たな詳細が明らかになり、若い英語を話すハッカーの緩やかなネットワークが一因となっている可能性が示唆された。同時に、調査結果では、いわゆるBPO(ビジネスプロセスアウトソーシング部門)がテクノロジー企業のセキュリティ運用における弱点となっていることも浮き彫りになった。
インサイダー犯罪:顧客サービスのアウトソーシングが画期的な進歩となる
物語は、テキサス州ニューブラウンフェルズにある小さな上場企業 TaskUs から始まります。同社は他のBPOと同様に、海外のスタッフを雇用することで大手テクノロジー企業に低コストで顧客サービスを提供しています。同社の広報担当者によると、TaskUsは1月にインドのインドールにあるサービスセンターの従業員226人を解雇し、Coinbaseに勤務させたという。
米証券取引委員会に提出された文書によると、TaskUsは2017年からCoinbaseにカスタマーサービススタッフを提供しており、この提携により米国の仮想通貨大手は人件費を大幅に節約できたという。しかし、ここで問題なのは、顧客が自分のアカウントや新しい Coinbase 製品についてメールで問い合わせる場合、彼らは海外の TaskUs 従業員と話している可能性が高いということです。これらのエージェントは米国の従業員よりも給料が低いため、賄賂を受けやすい。
「今年初め、2人の人物が当社の顧客の1人の情報に不正にアクセスしていたことが判明しました」とTaskUsの広報担当者はCoinbaseについてフォーチュン誌に語った。 「これらの人物は、Coinbaseを標的とし、Coinbaseがサービスを提供している他の多くのベンダーに影響を与えた、より広範な組織犯罪活動に雇われていたと考えています。」
Coinbaseの規制書類によると、TaskUsは今年1月、顧客データが盗まれたことをCoinbaseが発見してから1か月も経たないうちに従業員を解雇した(注:Coinbaseは2024年12月にデータ侵害を発見した)。コインベースの顧客を代表して火曜日にニューヨークで提起された連邦集団訴訟は、TaskUsが顧客データの保護に怠慢であったと主張している。 TaskUsの広報担当者は「訴訟についてはコメントできないが、申し立てには根拠がないと考えており、我々は自ら弁護するつもりだ」と述べた。当社は顧客データの保護を最優先に考えており、グローバルなセキュリティプロトコルとトレーニングプログラムを継続的に強化しています。
セキュリティ事件に詳しい人物によると、ハッカーらは他のBPO企業数社への攻撃にも成功しており、盗まれたデータの性質は事件ごとに異なっていたという。
盗まれたデータはハッカーがコインベースの暗号資産保管庫に侵入するのに十分ではなかったが、犯罪者が偽のコインベースのカスタマーサービス担当者を装い、顧客に連絡を取り、暗号資産を引き渡すよう説得するのに役立つ豊富な情報を提供した。同社は、ハッカーが6万9000人以上の顧客からデータを盗んだと発表したが、いわゆる「ソーシャルエンジニアリング詐欺」の被害に遭った顧客の数は明らかにしなかった。このケースでは、ソーシャルエンジニアリング詐欺として、犯罪者が盗んだデータを使用して Coinbase の従業員になりすまし、被害者に暗号資産を移転するよう説得するという手法が用いられました。
コインベースは声明で、「既に開示したとおり、脅威アクターが海外のカスタマーサービスに対し、2024年12月まで遡る顧客アカウント情報を入手するよう依頼していたことが最近判明しました。影響を受けたユーザーと規制当局に通知し、TaskUsの担当者および関係するその他の海外カスタマーサービスとの連絡を遮断し、管理を強化しました」と述べた。声明では、詐欺で資金を失った顧客に補償金が支払われることも付け加えられた。
企業の代表者を装ったソーシャルエンジニアリング詐欺は目新しいものではないが、BPO 企業を標的としたハッカー攻撃の規模は珍しい。犯人をはっきりと特定した者はいないが、手がかりは若い英語を話すハッカーの緩やかなグループであることを強く示唆している。
10代のハッカー集団「彼らはビデオゲームから来た」
5月中旬にコインベースのデータ侵害が発覚してから数日後、フォーチュンはテレグラムで「パフィー・パーティー」と名乗り、ハッカーの一人であると主張する男性と話した。
匿名のハッカーと話をした他の2人のセキュリティ研究者は、彼が信頼できる人物だと信じているとフォーチュン誌に語った。 「彼が私に話してくれた内容に基づいて彼の発言を注意深く検討したが、彼の発言が虚偽であるという証拠は見つけられなかった」と彼らのうちの1人は述べた。両研究者は、ハッカーとされる人物と話をすると召喚状が届くことを恐れ、匿名を希望した。
やり取りの中で、この男性はCoinbaseのセキュリティチームとの電子メールのやり取りのスクリーンショットを多数共有した。彼がCoinbaseとのやり取りで使用した名前は「レナード・シュローダー」でした。彼はまた、仮想通貨取引や大量の個人情報が記載された、コインベースの元幹部のアカウントのスクリーンショットも共有した。
Coinbaseはスクリーンショットの信憑性を否定しなかった。
自称ハッカーが共有した電子メールには、ビットコインで2000万ドルを脅迫するという内容(コインベースは支払いを拒否)や、ハッカー集団が盗んだ金の一部を使って同社の禿げ頭のCEO、ブライアン・アームストロングの髪の毛を買うつもりだという皮肉なコメントが含まれていた。 「彼が優雅に世界を旅できるよう、我々は毛髪移植を支援したい」とハッカーは書いた。
Telegramのメッセージの中で、この人物(フォーチュンはセキュリティ研究者からその存在を知った)はCoinbaseに対する軽蔑を表明した。
仮想通貨の強盗の多くはロシアの犯罪組織や北朝鮮軍によって行われているが、今回のハッキングは「Comm」または「Com」として知られる10代と20代の若者による緩やかな同盟によって実行されたとされている。
Commグループに関する報道は、過去2年間の他のハッキング事件のメディア報道にも登場しており、今月初めのニューヨーク・タイムズ紙の報道では、一連の仮想通貨窃盗事件の容疑者が同グループのメンバーであると名乗っていた。ウォール・ストリート・ジャーナルによると、2023年に捜査当局がこのグループと特定したハッカーらがラスベガスの複数のオンラインカジノを攻撃し、MGMリゾーツから3000万ドルを脅し取ろうとした。
通常、金銭のみを狙うロシアや北朝鮮の暗号ハッカーとは異なり、Comm ギャングのメンバーは注目といたずらのスリルの両方を求めることが多い。彼らはハッキング攻撃で協力することもあります。しかし、誰がより多く盗めるかを競い合うこともあります。
「彼らはビデオゲームからやって来て、そのハイスコアを現実世界に持ち込んでいる」と暗号フォレンジック調査会社、クリプトフォレンジック・インベスティゲーターズの調査ディレクター、ジョシュ・クーパー・ダケット氏は語った。 「この世界では、盗んだ金額がスコアになるんです。」
テレグラムのメッセージの中で、ハッカー容疑者はCommのメンバーが強盗のさまざまな側面に関与していたと述べた。彼のチームはカスタマーサービスに賄賂を渡して顧客データを収集し、そのデータをソーシャルエンジニアリング詐欺に精通したチーム外の人物に渡していた。さらに、Comm関連のさまざまなグループがTelegramやDiscordなどのソーシャルプラットフォーム上で、作戦のさまざまな部分をどのように実行し、盗んだ金をどのように分配するかを調整していたと付け加えた。
暗号資産調査会社Tracelonの創設者セルヒオ・ガルシア氏はフォーチュン誌に対し、ハッカーらによるコインベース攻撃の説明は、コムギャングの活動やその他の暗号資産ソーシャルエンジニアリング詐欺に関する自身の観察と一致していると語った。事情に詳しい関係者によると、最近ソーシャルエンジニアリング詐欺で顧客を攻撃した人物は本物の北米英語を話していたという。
BPO労働者の給与に詳しい情報筋によると、インドのTaskUs従業員の月収は500ドルから700ドルだという。 TaskUsはコメントを控えた。この数字はインドの一人当たりGDPを上回っているが、カスタマーサービス従事者の低賃金は賄賂を受けやすくしていることが多いとガルシア氏はフォーチュン誌に語った。 「明らかに、賄賂を受け取る金銭的インセンティブがあるため、それがこの連鎖の最も弱い部分だ」と彼は付け加えた。
