コインベースが顧客情報流出事件を受けて前例のない対策に踏み切る
米国の仮想通貨取引所コインベース(Coinbase)は、顧客サービス担当者への賄賂や恐喝未遂を含むデータ侵害事件の発生を受けて、犯人逮捕につながる情報提供者に対し2,000万ドル(約29億円)の報奨金を支払うと発表した。
https://t.co/evpIBMFvRW pic.twitter.com/f6UPdkL5R0
— Brian Armstrong (@brian_armstrong) May 15, 2025
同社は今回の事件を重大な脅威と位置づけ、厳格な対応方針を明らかにしている。コインベースによると、海外のサポート契約業者の一部担当者が、サイバー犯罪者からの賄賂を受け取り、社内ツールを通じて顧客情報を不正に引き出したという。被害は月間アクティブユーザーの1%未満にとどまり、パスワードや秘密鍵、資金への直接的な被害は確認されていない。Coinbase Primeの利用者も対象外だった。
漏えいした情報には、氏名、住所、電話番号、隠された社会保障番号、銀行口座の一部情報、口座のスナップショットなどが含まれる。攻撃者はこの情報をもとに、同社を装って顧客に詐欺的な連絡を試みたとされる。
事件後、攻撃者は2,000万ドルの支払いを要求したが、同社はこれを拒否。代わりに犯人逮捕と有罪判決につながる情報に対して報奨金を提示し、米国および国際的な法執行機関と連携して調査を進めている。関与した契約業者の人物はすでに通報済みである。
補償と再発防止策への取り組み
同社は、今回の事件に関連して不正な送金被害に遭った顧客に対して全額補償を実施する方針を示しており、該当するユーザーにはすでに通知を行っている。
あわせて、出金時の追加本人確認やリアルタイム警告などの保護策も導入したほか、事件に伴う修復費用や補償、関連損失について、1億8,000万ドル(約262.7億円)から最大4億ドル(約583.7億円)の支出が発生する可能性があるとの見通しも示された。
再発防止の一環として同社は、米国内に新たなサポート拠点を設けるほか、内部脅威の検知強化、レッドチームによる模擬侵入テストの継続実施も進めている。また、ブロックチェーン分析企業との連携により、攻撃者の関連アドレスを追跡・凍結する対応もしている。
業界全体への警鐘と今後の課題
今回の事件は、仮想通貨業界における外部からの脅威だけでなく、業務委託先を含む内部の脆弱性を浮き彫りにした。
情報漏えいをきっかけに、詐欺目的のソーシャルエンジニアリングが仕掛けられるケースも増加しており、他の取引所にとっても無視できない課題となっている。コインベースの対策は、仮想通貨取引所におけるセキュリティ意識の底上げにつながる可能性がある。今後は、委託業者の管理体制やアクセス権限の見直しを含めた、より包括的なガバナンス強化が求められるだろう。
