現在も続くLedger の情報漏洩による脅迫メールの恐怖
ハードウェアウォレットで知られるLedger(レジャー)ユーザーで、ハードウェアウォレットの製造元から、さらに20,000人の顧客が別の大規模データ侵害の影響を受けたと報告する脅迫メールを受信していたことが分かった。
NEXTMONEYの特集記事「仮想通貨ハードウェアウォレットLedgerで不正アクセス発覚【顧客情報流出】」、「仮想通貨ウォレットLedgerのユーザー個人情報がダークサイトで公開」で報じたように、Ledgerでは2020年6月に発生した不正アクセスによる被害が現在も続いている。
Recently, we shared news of a data dump. On December 23, we were alerted by our e-commerce provider Shopify about an incident in April & June ’20 where their rogue team members exported merchants’ customer databases. Ledger was included. More details: https://t.co/NHU3IbDL0a pic.twitter.com/DHQQ9arxCu
— Ledger (@Ledger) January 13, 2021
Ledgeは、ハードウェアウォレットのeコマースプロバイダーShopifyの不正な従業員から情報が漏洩。しかし、「これらの攻撃は、あなたとあなたの暗号を安全に保つ製品を構築してリリースするという私たちの決意を強めただけです」と述べた。
最後のデータ漏えいで272,000人の顧客に影響を与えた後、さらに別の1人が追加の20,000人の元帳顧客の顧客記録を漏らしていることも発覚。事態は現時点でまだ収拾していない。
Shopifyは、12月23日にLedgerに警告し、この件で取得した情報の93%が以前のデータダンプと類似しており、侵害された顧客レコードの7%が新たなものだったと報告している。Shopify側は200以上の企業顧客などに影響を及ぼしたが、Ledgerは2020年12月21日まで攻撃の標的になっていることを発見できていなかったという。
Ledgerが情報を保持する理由について、同社は「私たちの目標は、個人データ(名前、住所、電話番号など)をできるだけ早く完全に削除することです」とブログで述べている。
被害ユーザーが脅迫メールを公表
Darrin Burlew(ダリン・バーリュー)とDenni Hornig(デニー・ホーニグ)という名乗る人物から、昨年6月から続くLedgerのデータ漏えいで個人情報が公開され、強迫メールがユーザーに送信されている。
F**k sake!
This is my actual home address in the email.
I don’t even know what to say, but @Ledger you absolutely useless waste of space.
Stay safe everyone 🙏🏾 $VET #VeChain #VeFam #VTHO #VET #CryptoFam pic.twitter.com/T3gLuU7gsg
— Saleh Ahmed Ⓥ (@SalehAhmedd_) January 14, 2021
TwitterユーザーのCrypthomie氏は、Ledgerを所有している父親が1月15日に脅迫メールを受け取ったとツイート。
同氏によるとメールには、父親の名前、自宅住所、電話番号が含まれており、0.3BTC(約120万円相当)または10ETH(約125万円相当)を要求。要求をのまない場合、身体的暴力に直面することになると記載されていたとして次の様に語っている。
私は脅迫メール非常に真剣に受け止めており、Ledgerは非常に大きな間違いを犯した。何百人もに脅迫メールを送信する詐欺師が恐怖を与え、運を試していることは知っていますが、家族の安全に関しては別の話です。だまされてはいけません。誰もあなたを殺すためにあなたの家に来ることはありませんが、この不安感はスキャンダルであり、Ledgerはそれについて何かをしなければなりません。
また、別のLedgerユーザーであり、ツイッターユーザーでもあるSaleh Ahmed氏も脅迫メールを受け取った事をツイッターで報告し、「メールに記載された実際の自宅の住所です。何と言ったらいいのかわからないけどLedgerは絶対に無駄だ。私はみんなの安全を守る」とツイートしている。
脅迫メールには、24時間以内に仮想通貨身代金を支払うことを要求する内容が記載されているほか、指示に従わなかった場合、“恐ろしい”結果に直面すると記載されている。別の脅迫メールには、「あなたとあなたの愛する人すべてに起こりうる結果を想像できますか?」といった文章や「間違った選択をして、自分のためにすべての小さなことを台無しにしないことを願っています。」などと記載されていた事も判明した。
これらの攻撃に対応して、Ledgerは、分析会社のChainalysisなどと協力して、詐欺師のウォレットを追跡すると発表。同社は、違法取引を法執行機関に報告し、取引所に侵入した場合、仮想通貨凍結の可能性があると述べた。
NEXTMONEY 「ハードウェアウォレット企業Ledger、データ漏洩情報にBTC報奨金提供」で報じたように、今回の件でLedgerは詐欺師の「逮捕と起訴の成功につながる情報」のため、10 BTCの報奨金を手配した。しかし、リスクが継続していると考えるユーザーの中には、セキュリティの欠如と補償の要求に不信感を表明し、同社の対応に満足していないユーザーもいる。
Recently, we shared news of a data dump. On December 23, we were alerted by our e-commerce provider Shopify about an incident in April & June ’20 where their rogue team members exported merchants’ customer databases. Ledger was included. More details: https://t.co/NHU3IbDL0a pic.twitter.com/DHQQ9arxCu
— Ledger (@Ledger) January 13, 2021
TwitterユーザーのCryptoPilot2氏は次のように述べた。
10BTC報奨金は、報奨金ハンターではなく、影響を受ける顧客に提供されるべきだ。