原作者: Jaleel Jialiu 、BlockBeats
Coinbase は最近のユーザーデータ漏洩を非常に巧みに処理しました。最初の暗号通貨株として、また SP 500 に参入した最初で唯一の企業として、まさに優雅な成り行きです。
著者は礼儀として、Coinbase に対して基本的な敬意を表明しました。次は、この会社を恥の柱に吊るすときです。
5月8日、仮想通貨探偵ZachXBTは自身の個人チャンネルにメッセージを投稿し、「ソーシャルエンジニアリング」を通じてさらに4500万ドルがCoinbaseユーザーから詐取されたと明言した。過去数カ月間に彼が追跡した同様の事件の金額は9桁に達した。詐欺師は通常、Coinbase のカスタマー サービスになりすましてユーザーに電話やメールを送り、公式 Web サイトに偽装したフィッシング リンクをクリックするように段階的に誘導し、詐欺師のウォレットに資金を送金します。
ソーシャルエンジニアリングによってユーザーが騙されたという人もいます。これは Coinbase とどう関係があるのでしょうか? 「このプラットフォームは政府の規制機関ではないのに、ユーザーがフィッシングメールをクリックするのをどうやって防ぐことができるのか?」
まず、他の主要な取引プラットフォームでは、これほど大規模な同様の詐欺問題は発生していません。第二に、多くの被害者は、詐欺師が口座残高や取引時間を正確に述べただけでなく、身分証明書の写真を提示することさえできたと報告しています。 「すべてがあまりにも現実的に思えた。」
これらはすべて、Coinbase がデータを漏洩していることを示しています。
Coinbase自身が何を言っているか見てみましょう。 5月14日にSECに提出された8-K文書によると、コインベースは2025年1月にセキュリティシステムを通じて、海外の顧客サービス担当者が「業務上の必要性」なくユーザーの完全な身元情報にアクセスしたことを発見したという。
Coinbaseが5月20日にメイン州司法長官事務所に提出した報告書を見ると、データ侵害は2024年12月26日にすでに発生していた。
メイン州の報告書によれば、侵害は2024年12月26日に発生し、脆弱性は2025年5月11日に発見されたという。
しかし、この事件は5月15日まで公表されず、公式サイトでの発表で、犯罪者がコインベースの海外のカスタマーサービススタッフをターゲットにし、内部関係者から現金でユーザーデータを購入したことが明らかになった。このデータには、名前、住所、電話番号、電子メール、政府発行の身分証明書の画像(運転免許証、パスポートなど)、口座残高のスナップショット、取引記録が含まれます。
つまり、データが盗まれたのは冬の早い時期だったが、春が終わった今、SP500への採用という重要な局面で、Coinbaseはこの「目に見えない問題」に真正面から取り組まざるを得なくなり、ハッカーから脅迫メールを受け取ったという通知を出して事件を公式に公表したのだ。
Coinbase自身によれば、異常なアクセスを発見した後、関係者を解雇し、セキュリティ監視を強化したとのこと。しかし、この5か月間、コインベースが行った唯一の「ユーザーコミュニケーション」は、3月末に従業員が「規則に違反した可能性がある」としてアカウント記録を閲覧したという漠然とした無害なメールだった。
「Coinbaseの従業員が、社内ポリシーに反する方法で、お客様のアカウントを含む少数のCoinbase顧客のアカウント記録にアクセスした可能性がある兆候を検出しました。」
ブロックの共同創設者マイク・デュダスは以前、Xでコインベースから不穏なメールを受け取ったと明かした。
これ以外に、この事件に関してこれ以上の公式な情報公開やさらなる調査は行われていません。
さらに「エキサイティングな」ことが起こります。
データ漏洩が正式に発表された5月15日、Coinbaseの新しいユーザー契約が発効した。
この契約は、Coinbase の「自己防衛シールド」と呼ぶことができます。その他の長々とした「目を引く」内容はさておき、2 つの重要な条項 (9.9 と 9.10) があります。それは、あらゆる形態の集団訴訟を禁止すること (集団訴訟の権利放棄) です。すべてのユーザーに対し、ニューヨークの裁判所で独立した訴訟を起こすよう強制する。
なぜニューヨークなのか?ニューヨーク州には、企業にとって極めて有利な規則がある。契約書にすべての紛争はニューヨークの裁判所で解決しなければならないと定められており、金額が100万ドルを超える場合、裁判所は「より便利な場所への変更」を理由に訴訟の受理を拒否することはできないのだ。同時に、ニューヨーク南部地方裁判所は金融事件が集中しており、裁判経験も豊富です。 CoinbaseとSECの間の訴訟もここで開始されました。
さらに、公開されたレポートによると、コインベースは2021年から「リモートファースト」の企業へと変革を遂げているものの、今年サンフランシスコに新オフィスが設立される前は、ニューヨークのワンマディソンがコインベースの米国最大のオフィススペースであり、11年間のリース契約が締結され、面積は旧敷地の2倍の広さだった。
このような状況では、たとえあなたが他の何千人ものユーザーと同じように被害者であったとしても、一人でニューヨークに行き、自費で訴訟を起こさなければなりません。
この合意は4月11日に更新され、データ漏洩の発覚とほぼ同時に5月15日に発効した。このような「正確なタイミング」の契約変更は、「空が暗くなり雨が降るまで待って、桑の木を掘り、薪を準備する」と表現できます。雨の日の準備におけるCoinbaseの先見の明は、諸葛孔明のそれに匹敵します。
これに対して技術セキュリティ研究者のモリー・ホワイト氏も疑念を抱いたが、コインベースのCEOブライアン・アームストロング氏はこれは「陰謀論」だと反論した。しかし、モリー・ホワイト氏はさらにこう質問した。「コインベースがデータ侵害をSECに開示するのになぜ1か月以上もかかったのか?上場企業が重大なサイバーセキュリティインシデントを発見した場合、4営業日以内に開示するべきである。」ブライアン・アームストロングはもう彼女に反応しなかった。
同時に、ブルームバーグは事情に詳しい関係者の話として、ハッカーらは過去5カ月間にコインベースのカスタマーサービス担当者に十分な額の賄賂を贈り、ユーザー情報への「オンデマンドアクセス」を実現したと報じた。発表の数日前の水曜日でも、ハッカーたちはまだデータにアクセスしていた。しかし、この主張はコインベースの最高セキュリティ責任者フィリップ・マーティン氏によって反論された。
Coinbaseの現在の声明は次のとおりです。「一部の従業員がデータに不正アクセスしていたことが判明し、関係者を解雇しましたが、当時はデータが漏洩したことは把握していませんでした。5月にハッカーから身代金要求のメールを受け取るまで、問題の深刻さに気づきませんでした。」
これはどの程度自己弁護なのでしょうか?コインベースがプロトコルを変更し、集団訴訟への入り口をブロックしてからの5か月間、コミュニティやセキュリティ研究者からの注意喚起、質問、警告をコインベースがどれだけ「無視」してきたかを見てみましょう。
RedditのCoinbaseフォーラムを開くと、1月以降、多数のユーザーからアカウント盗難や頻繁なソーシャルエンジニアリング詐欺の被害が報告されており、海外のユーザーも被害に遭っている。「6ヶ月前、カスタマーサービスが幽霊ではないかと疑っていました。5件の業務チケットがすべて急いで閉じられました。誰からも連絡がなく、何が起こったのか説明もありませんでした」「たった今引き出した金額が、彼らから送られてきた金額に近かったので、ほとんど信じてしまいました」「彼らは私の氏名、口座残高、そして最後にログインしたデバイスを確認できました。すべてがあまりにも自然で本物でした…」
コミュニティからの数々の注意に直面して、Coinbase は三体世界からの手紙「答えるな、答えるな、答えるな」に厳格に従いました。
Coinbase はアジア人のように Reddit にアクセスせず、コミュニティがどのような状況にあるのか把握できないと主張して擁護したいのであれば、Twitter 上の大物 KOL やセキュリティ研究者からの絶え間ない注意喚起を Coinbase が把握できている必要があります。
Twitterで86万人のフォロワーを抱える仮想通貨界最強の探偵ZachXBTは2月初旬、昨年末から今年初めにかけてソーシャルエンジニアリング攻撃により6500万ドル以上が盗まれたと指摘した。 3月下旬、彼は過去2週間でさらに4600万ドルが盗まれたと再び主張した。彼は、Coinbase が何の対策も講じていないことを何度も指摘した。
また、メタマスクのセキュリティ責任者で上級オンチェーン調査員のテイラー・モナハン氏は、ほぼ毎週ツイッターでコインベースを公然と批判し、セキュリティおよびサポートチームに証拠を引き渡そうと絶えず試みているが、コインベースの「上級調査ディレクター」は2024年末という早い時期に彼女をブロックしている。
テイラー・モナハン氏はまた、コインベースが大量の顧客サービス業務をインドのサードパーティサービスプロバイダーであるTaskUsに外注していることを直接明らかにした。 2025年1月11日には、コインベースは「窃盗」と「違法な運営」を理由に、300人以上のインド人カスタマーサービススタッフを大規模に解雇した。その後、オフィスはグルガオンに移転したが、内部データ漏洩は依然として頻発し、3月と4月に新たな一連の「レイオフ」が起きた。
コインベースの「5月11日まで知らなかった」という声明に関して、彼女は容赦なく皮肉を込めてこう言った。「これは非常に『興味深い』ショーになるでしょう。身代金要求のメールが届くまで、彼らが何も知らないふりをするのかを見てください」「最もありそうな言い訳は、『これは重大な漏洩ではないので、開示する必要はありません』です」
Coinbaseの幹部が否定し、責任を回避し、冷淡な態度を取っている間に、一部のRedditユーザーと被害者が自発的に「Jinyiwei」を結成し、詐欺師に関する手がかりを見つけ始めたのは、いくぶん皮肉なことだ。
Scammer-fight-backというユーザーと彼のチーム全員が詐欺師たちと対峙しました。彼らは詐欺師に何度も電話をかけ、通話を録音し、情報を保存しました。最終的に彼らは詐欺師を追跡した。彼らのほとんどはイギリスのマンチェスター出身で、同じ小さなオフィスで働いていた。彼らは地元のアクセントを使って Coinbase のカスタマー サービスになりすまし、詐欺のプロセスを完了しながら情報を入手しました。
別のネットユーザー、dyfedavalonさんも同様の見解を示し、「これはイギリスの大規模な詐欺集団で、規模も範囲も大きく、強力な能力を持っている」「詐欺師たちを探すために電話をかけ直したら、同じグループだった。彼らはこのビジネスに本当に長けている」「何度も彼らと話したが、彼らは私が被害者だと思っていたようだ。しかし私はイギリス人なので、彼らのイギリス訛りが聞こえて、からかうことができる。その後、彼らは直接、電話して嫌がらせをするのはやめるように言った」と述べた。
さらに、前述のMetaMaskのセキュリティディレクターであるテイラー・モナハン氏の調査情報によると、Coinbaseが外注しているサードパーティのインドサービスプロバイダーであるTaskUsの社内従業員がTelegram上でハッカーと接触していたことが明らかになっています。ユーザーの電子メールアドレス、携帯電話番号、2FA情報を販売する各取引には約1万ドルの手数料が課され、そのお金はPayPalまたは銀行口座を通じて個人の名前に直接振り込まれました。
画像出典:テイラー・モナハン
なぜ誰かがそのような大きなリスクを冒して情報を漏らすのでしょうか?テイラー氏は、これらの「インド人奴隷」から漏れたさらなる情報を共有し、タスクアスの実際の労働条件を直接指摘した。彼らはトイレを使うことを許されず、食事の時間を争わなければならず、十分な成果を上げなければ経営陣から集団的に冷遇される。プレッシャーは途方もなく高く、病気休暇は「欠勤」として記録され、賃金が直接差し引かれます。訓練のペースについていけないという理由で、その場で解雇されることになる。
「これは私のキャリアの中で最悪の決断です。人事部は全く味方になっておらず、泣き言を言っても誰も気に留めてくれません。結局、『研修費用』を請求され、経験証明書すら取得できませんでした」と、ある従業員は綴った。
Coinbaseのアウトソーシング会社TaskUsの元従業員からの苦情、出典:テイラー・モナハン
Glassdoor や Indeed などの複数のプラットフォームのデータによると、Coinbase の現地カスタマー サービス スタッフの年収は 60,000 ~ 70,000 ドルであるのに対し、インドでアウトソーシングされているカスタマー サービスの年収はわずか 3,600 ~ 4,800 ドルです。つまり、アメリカ人のカスタマー サービス担当者 1 人の給与で、少なくとも 15 人のインド人のアウトソーシング カスタマー サービス担当者を雇用できることになります。
300 のアウトソーシングされたポジションに基づき、Coinbase はここで年間 1,800 万ドルを節約できます。これには、オフィススペース、社会保障、残業代、技術サポートなどの隠れたコスト削減は含まれません。
ブルームバーグの記者による調査によると、コインベースはCEOブライアン・アームストロング氏の個人的な警備費用として1年間に620万ドルを支払ったことも特筆に値します。 4億ドルのハッキングとSECのユーザーデータ調査への対応を監督したコインベースの最高法務責任者、ポール・グレワル氏は、昨年、総額820万ドルを超える報酬を受け取った。
CEO の年間セキュリティ費用と最高法務責任者の給与だけで、Coinbase のプラットフォーム ユーザー全体のセキュリティ費用を上回る可能性があります。
この事件の影響を受けたユーザーの中には、著名人も多数含まれます。ブルームバーグによると、 事情に詳しい関係者が、セコイア・キャピタルのマネージング・パートナーであるロロフ・ボタ氏が被害者の一人であり、盗まれたデータには電話番号、住所、およびコインベースのプロフィールに関連するその他の機密アカウント情報が含まれていたと明らかにした。
20年近くアート界で活動し、ジェフ・クーンズの彫刻「バルーン・ドッグ」などの作品の制作にも参加した著名なアーティスト、エド・スーマンさん(67)もいる。彼は今年初めに偽のCoinbaseカスタマーサービス詐欺に遭い、200万ドル以上の暗号通貨を失った。
Coinbaseはまた、同社が個人データを不適切に取り扱ったとしてユーザーから複数の訴訟を受けている。さらに、Coinbase の行為は規制当局の注目も集めています。たとえば、オレゴン州司法長官事務所は、州の証券法違反を主張し、ユーザー契約内の仲裁および集団訴訟放棄条項の合法性に異議を唱えて、Coinbaseに対して訴訟を起こしました。
Ellipticのデータによると、この事件の賠償および処理費用は4億ドルに達し、暗号化の歴史上8番目に大きなセキュリティインシデントとなった。この攻撃には、「ホットウォレットハッキング」のようなドラマチックな場面や、「契約の脆弱性」のような技術的な複雑さは含まれていませんでした。代わりに、それは最も基本的で、日常的でありながら無視されているリンクである KYC データで発生しました。
しかし、現実には、Coinbase がそれほど厳しく罰せられる可能性は低い。
米国の法律では、偶発的なデータ漏洩に対して厳しい罰則を科す前例はないようである。データ不正使用に関連する最も有名な訴訟はFacebookの訴訟です。Facebookは「ユーザーの同意なしにユーザーデータを第三者と共有しない」という誓約に違反したためですが、これはCoinbaseが直面している状況とは少し異なります。
Coinbaseの事件は、データアクセス権の濫用と不適切なアウトソーシング管理による「内部者から外部のハッカーへのデータ漏洩」に近い。これは組織的なプライバシー詐欺とはみなされず、損失は限定的です。コインベースも賠償金を支払うと表明した。
さらに重要なのは、Coinbase は時価総額が 600 億ドルを超える企業だということです。また、SP 500 指数に含まれている暗号通貨業界で唯一の取引プラットフォームでもあります。豊富な政策関係と豊富な資本資源を有しています。
今回の米国選挙では、コインベースとその幹部は共和党候補者に数千万ドルの寄付を行い、複数の法案に関するロビー活動で重要な役割を果たしていると考えられている。 SECがCoinbaseに対する訴訟を取り下げる決定は、かつてCoinbaseの政治献金に関連していると考えられていた。
すべてが、Coinbase がこの嵐を乗り切ることができることを示しています。今後も Coinbase は好調を維持し、さらに成長する可能性があります。
