顧客情報が盗まれた仮想通貨取引所「Coinbase」に報道前から被害を訴えたもののほとんど相手にされなかったという告発

2025年5月、仮想通貨取引所のCoinbaseが、自社システムが侵害されて政府発行の身分証明書を含む顧客データが盗まれたと報告しました。この件に関し、報道発表の4カ月前にCoinbase関連と思われる詐欺に遭い、Coinbaseに報告したもののほとんど相手にされなかったという告発が行われています。

Coinbase Data Breach Timeline Doesn't Add Up: I Have Recordings & Emails Proving Attacks Started Months Before Their 'Discovery' - Jonathan Clark
https://jonathanclark.com/posts/coinbase-breach-timeline.html

coin-20250514
https://www.sec.gov/Archives/edgar/data/1679788/000167978825000094/coin-20250514.htm

2025年5月11日、Coinbaseは、特定の顧客に関する情報やCoinbaseの内部文書を入手したと主張するメールを受信しました。メールの送信者は、情報を公にしないことと引き換えに2000万ドル(約31億円)の身代金を要求していました。

Coinbaseによると、攻撃者はサポート業務に従事する複数の社員に金を渡して内部情報を得ていたとのこと。Coinbaseはメール受信の数カ月前から業務上必要のないデータに社員がアクセスした形跡を確認しており、関連する顧客に警告を発していたとのことです。

このメールから、Coinbaseは過去のアクセスが一連の大きなサイバー攻撃の一環だったと見なし、サイバー攻撃を報告すると共に法執行機関と協力して捜査を進めることを明らかにしました。

盗まれたデータには、運転免許証を含む身分証明書の画像や、氏名、住所、電話番号、メールアドレス、社会保障番号の下4桁、残高や取引履歴といったアカウントデータなどが含まれていました。Coinbaseは身代金の2000万ドルは支払わないと明言し、影響を受けた顧客には別途補償すると伝えました。また、情報を漏らした社員は即時解雇しており、今後刑事告訴を行う予定であることも明らかにしています。

仮想通貨取引所大手「Coinbase」が顧客データを盗まれるも身代金約29億円の支払いを拒否、損害は最大600億円以上にのぼると予測 - GIGAZINE

このCoinbaseのデータ侵害事件について、ソフトウェアエンジニアのジョナサン・クラーク氏が「発表の4カ月前にフィッシング詐欺を受けた」と報告しています。

クラーク氏によると、2025年1月7日、Coinbaseから「出金手続きを開始しました。完了処理前に担当者から折り返しご連絡いたします」という内容のメールを受信したとのこと。受信から数分後、「Coinbase不正防止担当者」と名乗る人物から電話があり、「口座から多額の送金が開始されたため確認の電話をしている」と伝えられたそうです。

その人物はクラーク氏の個人情報を知っていただけでなく、クラーク氏の口座残高を小数点以下まで把握していました。一見すると本物のカスタマーサポートのようでしたが、不審に思ったクラーク氏はいくつかの質問をしました。

まず、Coinbaseの人間であることを証明するよう依頼すると、電話相手はクラーク氏の個人情報を読み上げました。ただ、盗まれた情報をそのまま読み上げている可能性があるため、これだけでは信用に値しません。次にクラーク氏が「認証済みのメールアドレスからメールを送ってほしい」と頼んだところ、認証済みのメールは送信できないと返してきたそうです。

クラーク氏によると、最初に受け取ったメールは正規のドメイン「@coinbase.com」からのものでしたが、CoinbaseのメールサーバーではなくAmazon SES(Simple Email Service)を経由して送信されていたとのこと。これはつまり、攻撃者が発信元を偽造してメールを送信した可能性があるということです。

加えて、クラーク氏が「折り返し電話をかけても良いか」と尋ねたところ「詐欺対策部門にいるので直接連絡は取れない」と返されたようです。電話終了後にクラーク氏が折り返したところ、無料電話サービスのGoogle Voiceにつながっただけでした。正規の金融機関であれば適切な電話番号を用意しているはずなので、これも不審な点だと考えられました。

一連の情報から詐欺だと確信したクラーク氏は、その日のうちにメールや電話の録音を含めた詳細情報をCoinbaseに報告。同日、Coinbaseのトラスト・セキュリティ部門の責任者から「現在調査中」と返信がありました。

ところが、クラーク氏がおよそ1週間後に「なぜ攻撃者は私の口座残高を知っていたのか」と問い合わせたところ返信がなく、その後も数日かけて返答を要求したもののまったく相手にされなくなってしまったそうです。そしてクラーク氏の報告から4カ月後、Coinbaseが正式にデータ侵害を公表したという流れでした。

クラーク氏は、「最初から私の情報を元に真剣に調査していれば、脅威をいち早く発見できていたかもしれません。実際のデータ流出はいつ発生したのか、1月から5月にかけて同様の攻撃を報告した被害者は他に何人いたのか、それらの報告は適切に調査されたのか、攻撃者から身代金の要求がなければデータ侵害は開示されなかったのではないか、といった疑問が生じます」と話し、Coinbaseの対応を非難しました。

またクラーク氏は、「何らかのプラットフォームがデータ侵害を受けた場合、ユーザーの個人情報は既に攻撃者の手に渡っている可能性があります。誰かが自分のデータを知っていると主張しても、その誰かが正規の人間だとは信用しないでください。電話があれば必ず電話を切り、企業の公式ウェブサイトから入手した番号にかけ直してください。メールがあれば、『ヘッダー』を確認して送信サーバーや認証結果を確認するようにしましょう。分からなければChatGPTやClaudeなどに『フィッシングメールの可能性を示す危険信号があるか教えて』と尋ねましょう。データ侵害を元に戻すことはできませんが、その後詐欺に引っかかる可能性を減らすことはできます」とアドバイスしました。