米国ビットコインATM大手バイトフェデラル社がデータ侵害を公表
ビットコインATM大手バイトフェデラル(Byte Federal)は、データ侵害によりID、社会保障番号、取引履歴など、5万8000人のユーザーの機密情報が漏えいした。
バイトフェデラルは、データ侵害により約5万8000人の顧客の個人情報が漏えいしたことを明らかにした。フロリダに拠点を置く同社は、米国最大のビットコインATM運営会社の1つであり、全国で1,350台以上のビットコインATMを運営しており、米国内トップ10の仮想通貨ATM運営会社の中で8位にランクされている。
同社は2024年12月12日(木曜日)、メイン州司法長官に提出した書類で侵害を公表。申請書の中で同社は、9月30日の実際の攻撃から約49日後の11月18日に侵害を発見したと述べている。注目点は、同社は侵害を確認するとすぐに業務を停止したことえ、攻撃による資産損失はなかったと開示する一方で、攻撃中に数千人のユーザーに影響するデータ侵害が発生したと述べている。
仮想通貨エコシステム内の個人データセキュリティに懸念の声
ハッカーは、サードパーティソフトウェアとして広く使用されている開発者プラットフォームGitLabの脆弱性を悪用し、同社のネットワークにアクセスしている。
Byte Federalは、侵害されたデータには、名前、住所、電話番号、政府発行の ID など、顧客の機密情報が含まれていると述べ、漏えいしたその他のデータには、社会保障番号、取引履歴、さらにはユーザーの写真も含まれていたとのことだ。
侵害を発見すると、同社はすべての顧客アカウントをハードリセットし、社内のパスワードを更新するという迅速な措置を講じたうえで、この事件について遺憾の意を表し、サイバーセキュリティ対策の強化に取り組んでいることを顧客に保証。ハッカーが上記のデータにアクセスした証拠はないと主張。しかし、この侵害により、特にサードパーティソフトウェアに依存するサービスにおいて、仮想通貨エコシステム内の個人データのセキュリティに関する懸念が生じている。
11月のブログ投稿で同社は、業務でGitLabを使用していることを認め、攻撃者が悪用した脆弱性はその後対処されたことを確認し、次のように述べている。
ユーザー保護は引き続き最優先事項であり、プラットフォームのセキュリティを確保するためにあらゆる可能な措置を講じています。
サイバー攻撃の増加傾向の一環
今回のデータ侵害は、仮想通貨プラットフォームとインフラストラクチャーを標的としたサイバー攻撃の増加傾向の一環と言える。
最近、ハッカーがコインベース(Coinbase)のAML(マネーロンダリング防止)検出システムを回避し、プラットフォームから1,590万ドルを窃取。捜査官は、攻撃者がCoinbase Commerceの抜け穴を悪用したことを発見し、規制の厳しい環境でも脆弱性があることを浮き彫りにした。
一方、バイトフェデラル社は侵害の影響を受けた顧客に対し、金融口座と信用報告書で異常な活動がないか監視するようアドバイスしたものの、このような事件の後によく行われる個人情報盗難保護サービスを影響を受けたユーザーに提供するかどうかは明らかにしていない。
