ベン・ワイスによるオリジナル記事（フォーチュン誌）

原文翻訳: Yuliya、PANews

5月、Coinbaseは、ハッカーが数千人の顧客の個人データを盗み出し、それを利用して被害者を騙して暗号資産を渡させようとしたことを公表しました。Coinbaseは、この事件による損失は最大4億ドルに上る可能性があると発表しました。公式発表では、ハッキングはインドのアウトソーシング会社の内部関係者によるものとされていますが、米国最大の暗号資産取引所であるCoinbaseは、関与した具体的な人物をまだ明らかにしていません。新たな裁判所文書により、容疑者の身元と、この事件における彼の役割が明らかになりました。これはCoinbase史上最悪のセキュリティ侵害です。

集団訴訟専門の法律事務所グリーンバウム・オルブランツが火曜日に提出した修正訴状によると、ハッキングはTaskUsの従業員であるアシタ・ミシュラ氏に関連していた。TaskUsはテキサス州に拠点を置く上場企業で、大手テクノロジー企業にアウトソーシングによるカスタマーサービスサポートを提供しており、低賃金労働市場で事業を展開している。ミシュラ氏はインドのインドールにあるTaskUsのサービスセンターで勤務していた。

訴状によると、ミシュラ容疑者は2024年9月から、社会保障番号や銀行口座情報を含む顧客の機密情報を盗み始めた。彼女はこれらの情報をハッカーに売却することに同意し、ハッカーはコインベースの従業員を装って被害者を騙し、暗号資産を送金させた。

2024年9月から2025年1月にかけて、ミシュラともう一人の共犯者は、顧客情報の窃盗にTaskUsの従業員をさらに募集し、「複雑な放射状陰謀ネットワーク」を形成し、TaskUsのコンピューターを介してCoinbaseの顧客データを犯罪者に流用した。訴状には、チームリーダーやオペレーションマネージャーまでが関与していたと主張する元TaskUs従業員の発言が引用されている。

TaskUsがようやく問題に気付いた頃には、ミシュラ氏の携帯電話には1万人以上のCoinbase顧客データが保存されていました。訴状によると、ミシュラ氏とその共犯者は写真1枚につき200ドルを受け取り、時には1日に最大200枚のCoinbase顧客アカウントの写真を撮影していたとのことです。Coinbaseは規制当局への提出書類の中で、最終的に6万9000人以上の顧客が影響を受けたと開示しています。

フォーチュン誌が以前報じたように、この賄賂計画の首謀者は、「ザ・コム」と呼ばれる緩やかなハッカー集団に属する10代から20代前半の若者たちであるようだ。

コインベースは以前、攻撃は12月下旬に発生したと述べていたため、データ盗難が2024年9月に始まったという主張は重要である。

もう一つの注目すべき展開として、TaskUsは今月、外部ベンダーだけでなくCoinbaseの社内従業員もハッキングに関与していたと主張したが、同社はそれ以上の詳細は明らかにしなかった。

事件発覚後、コインベースの広報担当者はフォーチュン誌に対し、「当社は直ちに影響を受けたユーザーと規制当局に通知し、影響を受けた顧客に補償を行い、サプライヤーと社内スタッフの管理を強化し、TaskUsとの提携を解消しました。身代金の支払いは拒否し、代わりに容疑者の逮捕と有罪判決につながる情報提供者に対し2,000万ドルの報奨金を設定しました」と述べた。

TaskUsは修正された訴状に関するコメント要請に直ちには応じなかった。フォーチュンはアシタ・ミシュラ氏を直ちに特定することはできなかった。

TaskUsは以前フォーチュン誌にこう語っている。「当社は顧客とそのユーザーデータのセキュリティを最優先事項と考えており、世界的なセキュリティプロトコルとトレーニングプログラムを強化し続けています。」

一連の隠蔽

訴状に描かれた内容は、今年最大の仮想通貨ハッキング事件の一つであり、コインベースの10年以上の歴史の中で最も深刻な侵害事件のこれまでで最も詳細な説明である。

他の原告側の弁護士は、ハッキング事件に関してCoinbaseを提訴しており、Coinbaseはこれらの訴訟を仲裁に持ち込むよう求めてきました。仲裁は歴史的に、企業の経済的損失や悪評を軽減する上で役立ってきました。これが、集団訴訟会社がCoinbaseを直接提訴するのではなく、アウトソーシングプロバイダーであるTaskUsを提訴することを選択した理由かもしれません。

訴訟の中で、法律事務所はTaskUsが「陰謀を知る者を黙らせるための措置を講じた」と非難した。フォーチュン誌が既に報じているように、TaskUsは1月にインドールで従業員226人を解雇した。訴訟では元従業員の発言を引用し、陰謀グループが「TaskUsのシステムに徹底的に侵入したため、関与者全員を特定できなかった」ため、会社がこの思い切った措置を取ったと主張した。

さらに、TaskUsは2月10日、情報漏洩を調査していたとされる人事チームを解雇することを決定したが、訴訟ではこの動きは「重大な隠蔽工作」の一環だったと主張されている。

グリーンバウム・オルブランツ氏による新たな訴訟提起は、コインベースがハッキングを公表してから約2週間後の5月に提出した当初の訴状の修正版である。同社はこれまでにも、航空会社が「窓側席」を販売しながら実際には窓のない壁際に乗客を座らせていたと主張する訴訟など、注目を集めた訴訟を複数起こしている。

コインベースは、この訴訟を同取引所に対するハッキング関連のすべての訴訟に対する統合訴訟に含めるよう求めている一方、タスクアスは、この訴訟を却下し、より広範な統合訴訟への組み込みを阻止する申し立てを提出した。

「修正された訴状は、このデータ漏洩がどのように発生したかについて前例のない詳細を明らかにしており、私たちは引き続き、すべての責任者の責任を追及するために熱心に取り組んでいきます」と、グリーンバウム・オルブランツの共同創設者カーター・グリーンバウム氏は声明で述べた。

オリジナルリンク