米大手暗号資産(仮想通貨)取引所のコインベース・グローバル(Coinbase Global Inc.)は、5月に報告したセキュリティ侵害に関連する顧客データ漏洩の事実を、1月の時点で認識していた可能性がある。ロイターが6月3日に報じた。 報道によれば、アウトソーシング業務を請け負う米国企業「タスクアス(TaskUs)」のインド拠点に関連する情報漏洩を、コインベースは1月の時点で把握していたという。 この情報漏洩は、タスクアスの従業員が業務用PCの画面を個人のスマートフォンで撮影したことに起因している。 コインベースは5月時点で、このセキュリティ侵害について、外部人材による不正行為として報告していた。 報道によると、この従業員および共謀者とされる人物は、ハッカーにコインベースの顧客情報を提供した見返りとして金銭を受け取っていたとされる。 タスクアスは月初旬、インドのインドールにおけるコインベース関連業務をすべて停止。これにより226人のチームメンバーに影響が出たという。また、事件に関与した2名を除く全メンバーには、6か月分の給与を含む退職金が提示されたとのことだ。 コインベースは5月14日、重大なサイバーセキュリティインシデントを米証券取引委員会(SEC)に報告。 報告書によれば、5月11日にコインベースに対し、「顧客情報や内部文書を取得した」と主張する脅迫メールが送付され、これによりインシデントが発覚した。 コインベースは、この不正アクセスが数か月前からセキュリティ監視で検知されていたとし、関与した外部人材の解雇、影響を受けた顧客への通知、再発防止策の強化を行ったと報告している。 サイバー攻撃者は、海外拠点でカスタマーサポート業務に従事する契約社員複数名に報酬を支払い、業務用システムに不正アクセスさせたとされる。 犯人はコインベースに対し、情報公開を防ぐ見返りとして2,000万ドルの身代金を要求したが、コインベースはこれを拒否。 代わりにコインベースは、犯人の逮捕および有罪判決に繋がる情報の提供者に同額(2,000万ドル)の報奨金を支払う基金を設立すると5月15日に発表。併せて、法執行機関との緊密な連携および厳罰の追求を表明した。 なお、犯人が取得したデータには、顧客の住所、電話番号、電子メールアドレス、政府発行の身分証明書、本人確認(KYC)に関連する情報が含まれていたが、パスワードやプライベートキーなど、資金アクセスに直接つながる情報は含まれていなかったという。 コインベースは、「本件に関連する修復費用および自主的な顧客への補償費用は、1億8,000万ドル〜4億ドルの範囲に及ぶ可能性がある」と予備的な見積もりを示している。なお、この見積額は大幅に増減する可能性があると付記されている。