仮想通貨ウォレット各社、仏Ledgerから漏洩した個人情報のアングラ流通に警鐘鳴らす

情報漏洩でフィッシングメールに注意

暗号資産（仮想通貨）ハードウェアウォレットを提供するLedger社が今年7月にハッキングされた件で、流出していた顧客データが現在ダークネット上で公開されていることが明らかになった。

漏洩データを元にしてユーザーにフィッシングメールが送られるなどしており、フランス本社からのウォレット購入やニュースレター登録をしている場合、特に注意が必要な状況にある。

日本正規代理店のハードウェアウォレットジャパンが今年7月に公開したアナウンスによれば、購入経路が日本の販売代理店の場合、フランス本社とは別に個人情報を管理している。

ただし、今回漏洩したデータに含まれないが、販売代理店は1社ではなく複数あるため、注意を払うに越したことはない。あるダークネットには、盗まれた顧客データがダウンロードできるようアップロードされており、投稿主は「このデータベースは当初5BTCで取引されていたが、今は無料閲覧できるようになった」とコメントしている。

これについてネットセキュリティ企業Hudson Rockの共同創設者Alon Gal氏は、次のように警告した。

ALERT: Threat actor just dumped @Ledger's database which have been circling around for the past few months.

The database contains information such as Emails, Physical Addresses, Phone numbers and more information on 272,000 Ledger buyers and Emails of 1,000,000 additional users. pic.twitter.com/Sv9cQwhuNy

— Alon Gal (Under the Breach) (@UnderTheBreach) December 20, 2020

購入者以外にも、Ledger社のニュースレターに登録していたユーザーの情報も漏洩したようだ。

仮想通貨メディアThe Blockのリサーチディレクター、Larry Cermak氏がLedger購入者とチェックを行ったところ、その5割の人々について、今回漏洩されたリストに含まれていたという。

Ledger社の対応

渦中のLedger社は、この漏洩事故について声明を発表。

It is a massive understatement to say we sincerely regret this situation. We take privacy extremely seriously. Avoiding situations like this are a top priority for our entire company, and we have learned valuable lessons from this situation which will make Ledger even more secure

— Ledger (@Ledger) December 20, 2020

「このような状況に至ったことを心底後悔している。私たちは、プライバシーの問題を非常に真剣に考えており、このような事態を避けるのは当社の最優先事項」であるとして、さらにセキュリテイを強化すると述べた。

Ledger社は事件以降、新しい情報セキュリティ責任者を雇用しており、また外部のセキュリテイ会社と共に現行システムを分析した。また、公式サイトで今回の件についてのQ&Aや現在発生しているフィッシングの手口について公開している。

この件に関連して、他の仮想通貨ウォレット企業にも問題が波及。ウォレット大手のTrezor社は、過去数日間で一部ユーザーにフィッシング詐欺が行われたと警告。Ledger社を念頭に、「同社からデータ漏洩は確認されておらず、競合他社からの不正流出データが使用されている可能性がある」と指摘した。

フィッシング詐欺は、偽のTrezorサイトリンクが送信され、ウォレットの復元パスワードを入力するように促す手口だという。Trezor社は、「復元パスワード、ID、ウォレットパスワード」などの重要情報を、テキストメッセージで要求することは決してないとして警鐘を鳴らしている。