ハッカーがバイナンス法執行機関へのアクセスを販売
重大なセキュリティ上の過失として、@Miembroという匿名ユーザーが、ブラックハットハッキング犯罪フォーラムBreach Forumsにバイナンス(Binance)の法執行機関の要求パネルアクセスを売りに出していることが明らかになった。
提示価格はビットコイン(Bitcoin/BTC)またはモネロ(Monero/XMR)で10,000ドル(約142万円)で、仮想通貨取引所内の機密データの安全性について深刻な疑問を投げかける展開となっている。販売者は2023年12月14日(木曜日)、@Miembroの名で、提供されるアクセスは法執行機関のみが使用すると主張し、3日から7日の応答時間で無制限のリクエストを約束していた。
この主張の信憑性は当初不確かだったが、その後の調査で、より深刻な状況が判明。ハッカーは、ウガンダ、フィリピン、台湾の警察官のメール認証情報を漏えいしてアクセスしたとみられており、バイナンス自体は侵害されていないが、ハッキングのハイライトは、彼らが与えられた情報を保護するためにサイバーセキュリティを修正する必要があるとのこと。
漏えい情報はバイナンスの侵害を意味するものではない
ハッカーはBreach Forumsで、漏えいしたツールがメールアドレス、電話番号、取引ID、ウォレットにアクセスできることを確認したが、この攻撃はバイナンス自体の侵害を意味するものではないとのことだ。
ハドソンロックの研究者は、法執行当局関係者のものとされる漏洩した認証情報によってアクセスを得ていたことを発見。その中には、台湾の犯罪捜査局職員、ウガンダ警察、フィリピン国家警察の対サイバー犯罪グループなどが含まれている。また、マルウェアに感染したコンピューターがこのセキュリティ侵害を引き起こしており、システムの重大な脆弱性が浮き彫りになったとのこと。さらに調査を進めると、サードパーティサービスであるKodexが、法執行機関の要請を検証するためにバイナンスによって使用されていることが判明。今回の侵害は、ハッカーが入手した認証情報を使ってこのシステムを悪用した可能性を示している。
今回のセキュリティインシデントは、バイナンスにとって波乱の時期に発生した。同取引所は現在、フィリピンの規制問題に取り組んでおり、無登録取引所として運営されているとして証券取引委員会から禁止される可能性に直面している。
さらに、米国の裁判所は最近、バイナンスのジャオ・チャンポン(趙 長鵬:Zhao Changpeng)元CEO(最高経営責任者)に対し、商品取引所法および商品先物取引委員会の規制に違反したとして、1億5,000万ドル(約213.7億円)の支払いを命じた。同時に、バイナンスはCFTC(商品先物取引委員)の強制措置を終結させるために27億ドル(約3846.4億円)を支払わなければならないとのこと。
このように法的な課題とセキュリティ上の課題が重なり、バイナンスは不安定な立場に置かれており、その法執行要請パネルへのアクセス権の売却は、ユーザーの信頼を損なうだけでなく、仮想通貨取引所の業務の完全性と安全性についても重大な懸念を引き起こしている。