サポート権限の悪用で情報取得 犯罪グループは動画とデータを盾に身代金を要求
クラーケン(Kraken)は、内部関係者によるセキュリティインシデントに関連し、犯罪グループから恐喝の脅威を受けていると明らかにした。
Kraken Security Update
We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It’s important to start with the most important points: our systems were never…
— Nick Percoco (@c7five) April 13, 2026
Kraken セキュリティアップデート 現在、犯罪グループから脅迫を受けており、要求に応じなければ顧客データが映った社内システムの動画を公開すると脅されています。まず…
攻撃者は顧客データの一部や内部動画を保有していると主張しているが、同社はシステム侵害や顧客資金への影響は確認されていないとしている。今回の事案は外部からの侵入ではなく、社内のカスタマーサポートシステムへのアクセスが悪用されたことに起因する。
2025年および今年初めに発生した複数の内部アクセス事案では、サポート担当者が内部ツールにアクセスする様子が動画として記録され、氏名や住所などの限定的な顧客情報が取得された可能性がある。
クラーケンによると、約2,000アカウントが影響を受けた可能性があり、対象ユーザーには注意喚起が行われている。問題発覚後、同社は関係者のアクセス権限を即時に取り消し、内部調査を開始した。
その後、攻撃者は入手したとされる動画やデータをもとに、公開を示唆して身代金を要求する恐喝に転じた。同社はこれに対し、支払いには応じない姿勢を示している。
コアシステムは無傷 資金被害なしも内部リスクの存在が浮き彫りに
クラーケンは今回の件について、取引システムやコアインフラへの不正侵入は確認されておらず、顧客資金が危険にさらされた事実はないと説明。また、秘密鍵や財務情報の流出も確認されていないとしている。
同社は複数の管轄区域にまたがる法執行機関と連携し、関係者の特定と対応を進めている。すでに恐喝未遂の阻止にも成功したとしている。
今回の事案は技術的な脆弱性ではなく、内部アクセスを起点とした点に特徴がある。近年はセキュリティ対策の強化に伴い、攻撃の焦点がシステムから人へと移行していると指摘されている。
クラーケンは内部統制の見直しを進めており、同様の事案の再発防止に向けた対策を強化している。今回の出来事は、仮想通貨業界における内部リスクの重要性を改めて示すものとなった。
