サンフランシスコを拠点とする暗号資産取引所大手のコインベースは5月15日、ハッカーが同社の海外拠点の従業員に賄賂を渡して顧客データを入手し、2000万ドル(約29億円)の身代金を同社に要求したと発表した。同社はこの要求に応じない方針を示し、被害対応のコストが最大4億ドル(580億円)に上る可能性があると述べている。 コインベースの株価は、15日の市場で約7%下落した。 米証券取引委員会(SEC)への提出書類によると、コインベースは11日に「正体不明の脅威アクター」からEメールを受け取ったという。このメールには、同社の月間ユーザーのうちの1%未満の「カスタマーサービスおよびアカウント管理システム」などの機密データを盗んだとする主張が含まれていた。 このメールは、顧客データを公開されたくなければ、その見返りとしてビットコインで2000万ドル(約29億円)を支払うよう要求するものだったが、コインベースは支払いを拒否して、法執行機関に通報したと述べている。 同社のブライアン・アームストロングCEOは、SNSに投稿した動画の中で、今回のメールが届く数カ月前から、サポート担当者が同社の内部システムに関する情報を収集する事例が確認されていたと明かした。 コインベースは、「被害対応および自主的な顧客補償費用」として1億8000万ドル(約261億円)から4億ドル(約580億円)の支出を見込んでおり、今後の調査によってはこのコストがさらに増加する可能性があるとしている。 同社の発表によれば、ハッカーらは米国外のサポート担当者や業務委託者に現金で賄賂を渡し、「顧客データのコピーをとらせた」という。彼らは、入手したデータを使ってコインベースを装い、ユーザーから暗号資産をだまし取る計画だったとされる。 コインベースは、賄賂を受け取った従業員を「ただちに解雇した」と述べている。また、同社は被害を受けた顧客に対して全額の補償を申し出たという。 コインベースは、犯人の逮捕につながる情報の提供者に対し2000万ドル(約29億円)の報奨金を提示している。 同社によれば、被害に遭った「少数の顧客グループ」が盗まれたデータには、氏名や住所、電話番号、メールアドレス、社会保障番号の下4桁、銀行口座の一部番号、運転免許証やパスポートの画像、残高や取引履歴のデータに加えて研修資料やサポート担当者とのやり取りが含まれていた。一方、ログイン情報や顧客資産の移動やアクセスに関する情報、コインベースのウォレットへのアクセス情報は盗まれていないとされる。 ■コインベースは間もなくS&P500種に採用 アームストロングは、「サイバー犯罪者たちは海外のカスタマーサポート担当者に接触し、賄賂と引き換えに顧客情報を提供するような人物を見つけようとしていた」と述べて、「彼らは、残念ながら数名の『腐ったリンゴ』を見つけることに成功した」と語った。 米国最大の暗号資産取引所とされるコインベースの株式は、19日にS&P500種株価指数の構成銘柄に採用される予定で、今回のハッキングに関する情報開示は、その直前のタイミングで行われた。コインベースは8日の第1四半期決算の発表当日に、29億ドル(約4200億円)を投じて暗号資産デリバティブ取引所の「デリビット」を買収すると発表し、アームストロングは「今後の5〜10年で世界一の金融サービスアプリを目指す」と述べていた。 暗号資産分野においては、ハッキングが相次いでおり、調査会社によれば2024年には同様の事件で推定22億ドル(約3190億円)の損失が発生していた。米連邦捜査局(FBI)は、今年初めに北朝鮮のハッカー集団が暗号資産取引所バイビットから約15億ドル(約2175億円)相当の暗号資産を盗んだと発表していた。