米証券取引委員会(SEC)は、米大手暗号資産取引所コインベース(Coinbase)が2021年の上場時にユーザー数を誇張し、投資家を誤導した可能性について調査を進めている。「ニューヨーク・タイムズ(The New York Times)」など複数の米メディアが5月15日に報じた。 報道によると、SECはコインベースが上場時の登録書類で「1億人以上の認証ユーザーを有する」と記載していた点や、過去の開示内容を精査しているという。 なおこの「認証ユーザー(verified user)」という指標は、2023年の報告書から削除されており、現在はより実態に即した「月間取引ユーザー(MTU)」が使用されている。 コインベースは2021年4月、ナスダック(NASDAQ)に「COIN」のティッカーで上場した。 なおコインベースによれば、この調査はジョー・バイデン(Joe Biden)政権下で始まり、現ドナルド・トランプ(Donald Trump)政権下でも継続中の事案だという。 コインベースの最高法務責任者(CLO)のポール・グレワル(Paul Grewal)氏は、SECによる現在の調査は、2年半前に開示済みで報告を停止した指標に関するものだとし、調査の継続に異議を唱えつつも、SECとの協力姿勢は維持すると暗号資産メディア「ザ・ブロック(The Block)」に語っている。 なおコインベースは2023年の報告書で、月間取引ユーザーを新たな基準として開示する方針を示し、「認証ユーザーは当社の業績を反映しなくなった」と説明している。 2021年2月25日付のS-1登録届出書によれば、「認証ユーザー」には、電話番号またはEメールでアカウント登録した個人、法人、エコシステムパートナー、非保管型ウォレットユーザーなどが含まれる。 ●直近ではサイバーインシデントの報告も またコインベースは5月14日、重大なサイバーセキュリティインシデントが発生したことをSECに報告している。 報告書Form 8-Kによれば、5月11日、コインベースに対してサイバー攻撃者から「特定の顧客情報と内部文書を取得した」とする脅迫メールが届き、インシデントが発覚したという。 このサイバー攻撃者は、海外拠点でカスタマーサポート業務に従事する複数の契約社員に報酬を支払い、業務用システムにアクセスして情報を不正取得させていたという。 サイバー攻撃者はコインベースに対し、情報公開を防ぐことと引き換えに2,000万ドルの身代金を要求したが、コインベースはこれを拒否。要求された身代金の代わりに、犯人の逮捕と有罪判決につながる情報に対し、同額の報奨金基金を設立すると5月15日に声明を出した。その中でコインベースは、法執行機関と緊密に協力し、可能な限り厳しい罰則を求めていることも発表している。 またコインベースは、この不正アクセスを数か月前からセキュリティ監視で検知しており、関与した人物を解雇したことも明らかにしている。また該当顧客への通知とセキュリティ強化も実施済みだという。 ちなみにサイバー犯罪者が取得した情報の中には、住所や電話番号、電子メールアドレス、政府発行の身分証明書、その他のユーザーアカウント情報を含む 本人確認(KYC)の詳細が含まれていたが、パスワードやプライベートキー等は含まれず、顧客資金へのアクセスは一切なかったとのことだ。 コインベースは、「本事故に関連する修復費用および自主的な顧客からの弁済に関連する費用を約1億8,000万ドルから4億ドルの範囲内と予備的に見積もっており、この見積もりは大幅に増減する可能性がある」と報告している。