米国最大の仮想通貨取引所であるCoinbaseは、データ漏えいを知らせる脅迫者からの電子メールを5月11日に受け取った。 ログイン認証情報、2要素認証コード、秘密鍵は流出せず、犯罪者は投資家の資金に個別にアクセスできなかったものの、以下の情報を入手している。 氏名 住所 電話番号 電子メールアドレス マスクされた社会保障番号の一部 マスクされた銀行口座番号 運転免許証やパスポートなど政府発行IDの画像 アカウントデータ(残高のスナップショットや取引履歴) 米証券取引委員会(SEC)への提出書類によれば、脅威アクターは、米国外でサポート業務に従事する契約社員または社員に金を払い、内部情報を入手。その情報を使ってソーシャルエンジニアリング攻撃を仕掛け、2000万ドル(約29億円)を支払わなければ情報を公開すると脅迫した。Coinbaseは支払いを拒否した。 Coinbaseは声明で「犯罪行為に資金を提供する代わりに、今回の事件を調査し、統制を強化した。さらに今後、影響を受けた顧客に補償する」と述べた。同社は法執行機関と協力しており、ハッカー逮捕につながる情報の提供者に最大2000万ドルの報奨金を提供するという。 一部のRedditユーザーは先週から、意図しないパスワード再設定メッセージを受け取ったと報告している。これらのメッセージが今回の漏えいと関連しているかは不明だが、身に覚えのないパスワード再設定通知を受け取った場合は常に注意が必要だ。米CNETはコメントを求めてCoinbaseに連絡したが、即時回答は得られなかった。 この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。