米コインベースの認証システム欠陥、6,000人超に影響
不正アクセスによる資金流出
米国最大の暗号資産(仮想通貨)取引所コインベースで、6,000人以上の顧客が不正アクセスにより盗難被害に遭っていたことが、同取引所が9月24日に顧客に送った通知書から明らかになった。
この通知書によると、今年3月から5月にかけて、コインベースの多要素認証(MFA)システムの欠陥が悪用され、ユーザー資金が流出したという。
第三者がコインベースの顧客口座にログインするには、当人のメールアドレス、パスワードおよび電話番号が必要なのに加え、個別のメールボックスにアクセスしなくてはならない。コインベースは、ハッカーがどのようにしてこれら全ての情報を入手したのかは明らかではないとしながらも、通常、フィッシングの手法が用いられ、ユーザーから情報が引出されることが多いと説明している。
ただし、ログイン情報をハッカーがコインベースから直接入手したという証拠は見つかってはいないという。
SMSを利用か
しかし、今回のハッキングでは、二段階認証にテキストメッセージ(SMS)を使用していた顧客が被害を受けたようだ。ハッカーはコインベースのSMS口座リカバリー・システムの欠陥を利用し、認証に必要なコードを入手。顧客アカウントへのログインに成功したという。
コインベースは不正探知後すぐに、認証プロセスが迂回されないようSMS口座リカバリーのプロトコルを変更。また、専用の電話ラインを設置して顧客サポートに対応するとともに、希望者には無料で不正利用監視サービスの提供を申し出ている。
被害を受けた顧客に対しては、資金が不正流出した時点における通貨の価値と同等の額を払い戻すとしており、同日中に全額が顧客の口座に反映されると通知書には記されているという。
個人情報の漏洩
今回のハッキングで漏洩した個人情報は、以下のように多岐に渡る可能性がある。
- 氏名(フルネーム)
- メールアドレス
- 自宅の住所
- 生年月日
- アカウントのIPアドレス
- 取引履歴
- 資産の保有状況と残高
コインベースはハッカーが、顧客のメールアドレスや電話番号などの情報を変更した可能性もあると指摘。現在、同取引所は変更された情報に関して、不正行為以前の状態に修復する作業を行なっているという。
同時に顧客には、コインベース以外にも同じメールアドレスを使用している口座のパスワード変更など、セキュリティ強化を呼び掛けた。また、IDの盗難に関しては関連政府当局へ報告するとともに、信用調査機関に連絡して詐欺の警告・クレジット凍結をするよう勧めている。
今回の事件に関してコインベースは、法執行機関と協力して内部調査を行い、犯人の特定を急ぐとのことだ。
カスタマーサービスへの不満
米大手メディアCNBCは今年8月、幾多ものコインベースユーザーの口座が乗っ取られ、多額の資金を失ってしまった状況を、詳しく報道していた。多数のユーザーへのインタビューでは、コインベースのカスタマーサービスの対応に大きな不満を抱いていたことが明らかになった。
CNBCによると、主にEメールを介したやりとりで苦情処理がされており、担当者と連絡をとるのが非常に困難で、損失の補償が行われないケースも多かったという。原因がコインベースのセキュリティやシステム侵害によるものではないため、損失の補償ができないという理由からだ。
当時、コインベースは二段階認証の導入により、口座乗っ取りの影響を受けた顧客はごく少数だとの見解を示していた。
今回、6,000件ものハッキング被害が明らかにされ、顧客への全額補償が行われるようになったのは、ユーザーにとって朗報だと言えるだろう。コインベースは9月28日、顧客に対するフィッシング詐欺が増加していることをブログで警告。二段階認証コードの取得による不正ログインが起こったことについて説明した上で、個人でできるセキュリティ対策の重要性を訴えた。
また、今年末までに、24時間体制で電話やライブチャットによるカスタマーサービスを提供し、サポート強化を図ると約束している。
関連:仮想通貨取引所コインベースとは|投資家向け情報と注目ポイント
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します