This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Coinbase データ漏洩事件の内幕:インドのカスタマーサポートセンターとティーンエイジャーのハッカー団
執筆:ベン・ワイス、ジェフ・ジョン・ロバーツ
翻訳:ルフィ、フォーサイトニュース
!
Coinbaseの共同創設者兼CEOであるブライアン・アームストロングは、2022年にインドのバンガロールで開催されたイベントで講演を行いました
2025年5月15日、Coinbaseは数万の顧客の個人データが盗まれたことを公表しました。これは同社の歴史の中で最大のセキュリティ事件であり、最大で4億ドルの損失が見込まれています。このデータ漏洩はその規模だけでなく、ハッカーの攻撃手法にも注目されています:海外の顧客サービススタッフに賄賂を渡して機密顧客情報を入手しました。
Coinbaseは、犯罪者の逮捕と有罪判決に寄与する情報提供者に2000万ドルの報奨金を支払うと公表しましたが、攻撃者の身元やハッカー攻撃の詳細についてはほとんど明らかにしていません。
Fortune誌による最近の調査では、Coinbaseとハッカーとの間の電子メールのレビューが含まれ、事件に関する新たな詳細が明らかになり、英語を話す若いハッカーの緩いネットワークが部分的に関与していることを示唆しています。 同時に、この調査結果は、いわゆるBPO(ビジネスプロセスアウトソーシングユニット)がテクノロジー企業のセキュリティ運用の弱点であることを強調しています。
内部者の仕業:アウトソーシングされたカスタマーサービスが突破口となる
物語はテキサス州ニュー ブラウンフェルスの小さな上場企業TaskUsから始まります。他のBPOと同様に、この会社は海外の従業員を雇うことで低コストで大手テクノロジー企業にカスタマーサービスを提供しています。同社のスポークスマンによると、今年の1月にTaskUsはインドのインドールにあるサービスセンターから226人の従業員を解雇し、Coinbaseに勤務していたとのことです。
SECの提出書類によると、TaskUsは2017年からCoinbaseにカスタマーサービス担当者を提供しており、このパートナーシップにより、アメリカの暗号大手は人件費を大幅に削減することができました。 しかし、ここで問題なのは、顧客が自分のアカウントや新しいCoinbase製品について尋ねるメールを送るとき、彼らは海外のTaskUsの従業員と話している可能性が高いということです。 これらのエージェントは、米国を拠点とする従業員よりも給与が低いため、賄賂を受け取る可能性が高くなります。
TaskUsの広報担当者はフォーチュン誌に対し、「今年初め、2人の人物が当社の顧客の1人の情報に不正にアクセスしたことを発見しました。この2人は、Coinbaseに対するより大規模で組織的な犯罪キャンペーンに利用され、Coinbaseが提供する他の多くのベンダーにも影響を与えたと考えています」と述べました。
Coinbaseの規制当局への提出書類によると、TaskUsは、Coinbaseが顧客データの盗難を発見してから1か月も経たない1月に従業員を解雇しました(注:Coinbaseは2024年12月にデータ侵害を発見しました)。 火曜日、Coinbaseの顧客を代表してニューヨークで提起された連邦集団訴訟は、TaskUsが顧客データの保護を怠ったと非難しました。 TaskUsの広報担当者は、「訴訟についてコメントすることはできませんが、これらの主張には根拠がないと考えており、私たちは自分自身を弁護します。私たちは顧客データの保護を最優先事項とし、グローバルなセキュリティプロトコルとトレーニングプログラムを強化し続けます」と述べました。
ある安全事件を知る関係者によれば、ハッカーは他のいくつかのBPO企業にも成功裏に攻撃を行い、各事件における盗まれたデータの性質は異なるという。
これらの盗まれたデータは、ハッカーがCoinbaseの暗号化金庫に侵入するには不十分ですが、確かに豊富な情報を提供し、犯罪者が偽のCoinbaseカスタマーサポートとして装い、顧客に接触し、暗号資産を渡すよう説得するのに役立ちます。同社によれば、ハッカーは69,000人以上の顧客のデータを盗みましたが、その中でどれだけの人がいわゆる「社会工学詐欺」の被害者となったのかは明らかにしていません。このケースでは、社会工学詐欺は犯罪者が盗まれたデータを利用してCoinbaseの従業員になりすまし、被害者に暗号資産を移転させるよう説得することを含みます。
Coinbaseは声明の中で、「私たちがすでに開示したように、最近、1人の脅威行為者が海外のカスタマーサービスに対して2024年12月まで遡る顧客アカウント情報を要求していたことを発見しました。私たちは影響を受けたユーザーおよび規制当局に通知し、関与したTaskUsのスタッフおよび他の海外のカスタマーサービスとの接触を断ち、管理を強化しました。」と述べています。声明はさらに、詐欺で資金を失った顧客に対して補償を行っていると補足しています。
企業の代表を装った社会工学的詐欺は新しいものではありませんが、ハッカーによるBPO企業への攻撃の規模は非常に珍しいです。まだ犯罪者が明確に特定されていないものの、いくつかの手がかりは英語を話す若いハッカーからなる緩やかな組織を強く示唆しています。
青少年ハッカー団体:「それらはビデオゲームから来ている」
5月中旬にCoinbaseのデータ侵害が明らかになった数日後、フォーチュン誌はテレグラムで、ハッカーの1人であると主張する「ふくらんでいるパーティー」と名乗る男性と話しました。
さらに、この匿名のハッカーと会話をした他の2人のセキュリティ研究者が『フォーチュン』誌に対して、この人物は信頼できると考えていると語った。1人は言った。「彼が私と共有した内容に基づいて、私は彼の主張を真剣に考察し、彼の主張が虚偽である証拠を見つけることができなかった。」2人の研究者は、いわゆるハッカーと話したことで召喚状を受けることを心配して匿名を求めた。
交流の中で、その男性は多くのスクリーンショットを共有し、これらはCoinbaseのセキュリティチームとの電子メールのやりとりだと主張しました。彼がCoinbaseとコミュニケーションを取る際に使用した名前は「Lennard Schroeder」です。また、彼はCoinbaseの前幹部に属するアカウントのスクリーンショットを共有し、そこには暗号化取引と大量の個人詳細が表示されていました。
Coinbaseはこれらのスクリーンショットの真実性を否定していません。
この自称ハッカーが共有した電子メールには、2000万ドルのビットコインでの脅迫(Coinbaseは支払いを拒否)や、ハッカー集団が一部の不正利益で同社のハゲのCEOブライアン・アームストロングのために髪の毛を買うという嘲笑のコメントが含まれています。「私たちは植毛手術をスポンサーし、彼が優雅に世界を旅できるようにしたい」とハッカーは書いています。
Telegram メッセージで、この人物(『フォーチュン』誌が安全研究者からその存在を知った)は Coinbase に対する軽蔑を表明しました。
多くの暗号化通貨の強盗事件は、ロシアの犯罪団体や北朝鮮の軍によって実施されているが、今回のハッカーは「Comm」または「Com」と呼ばれるティーンエイジャーや20代の若者からなる緩やかな連合が関与しているとされている。
過去2年間で、Commギャングの報道は、一連の暗号通貨の盗難を犯した疑いのある容疑者がグループのメンバーであると主張した今月初めのニューヨークタイムズの記事を含む、他のハッキング事件のメディア報道に登場しました。 ウォール・ストリート・ジャーナル紙によると、2023年、捜査官が特定したハッカーは、ラスベガスでオンライン営業している複数のカジノを攻撃し、MGMリゾーツから3,000万ドルを強要しようとしました。
通常、金銭を追求するロシアや北朝鮮の暗号化ハッカーとは異なり、Comm ギャングのメンバーは注目を集めたいという欲求といたずらの快感を追求する傾向があります。彼らは時々ハッキング攻撃のために協力しますが、誰がより多くを盗むかで競争することもあります。
「彼らはビデオゲームから来て、高得点を現実の世界に持ち込む」と暗号取引調査会社Cryptoforensic Investigatorsの調査ディレクター、ジョシュ・クーパー・ダケットは言った。「この世界では、彼らのスコアはどれだけのお金を盗んだかということだ。」
Telegram のメッセージで、このいわゆるハッカーは、Comm のメンバーが強盗の異なる段階を専門に担当していると述べています。彼のチームはカスタマーサービスに賄賂を贈り、顧客データを収集し、そのデータをチーム外の社会工学詐欺に精通した他の人々に渡します。彼らは、異なる Comm の関連グループが Telegram や Discord などのソーシャルプラットフォームで、行動の異なる部分をどのように実行するかを調整し、戦利品を分配していると付け加えました。
仮想通貨調査会社Tracelonの創業者であるセルジオ・ガルシア氏は、Fortune誌に対し、ハッカーによるCoinbase攻撃の説明は、Commギャングの運営方法やその他の仮想通貨ソーシャルエンジニアリング詐欺に関する彼の観察結果と一致していると語っています。 この件に詳しい関係者によると、最近ソーシャルエンジニアリング詐欺で顧客を攻撃した人物は、北米英語を母国語としていたという。
BPOの従業員の給与を知っている情報筋によると、インドのTaskUsの従業員は月額500ドルから700ドルを稼いでいます。 TaskUsはコメントを控えた。 ガルシア氏はフォーチュン誌に対し、この数字はインドの一人当たりGDPよりも高いものの、顧客サービスの賃金が低いため、賄賂を受け取る可能性が高くなる傾向があると語った。 「明らかに、これはチェーンの最も弱い部分です。なぜなら、彼らは賄賂を受け取る金銭的なインセンティブを持っているからです」と彼は付け加えました。