Ledgerで不正アクセスが発覚
29日(水曜)に、仮想通貨ハードウェアウォレットのLedger社が、6月下旬にデータ侵害が発生したことを発表し、その詳細を発表した。
データ侵害はマーケティングおよびeコマースデータベースに集中しており、結果として約100万件に上る顧客の連絡先およびメールアドレスを含む顧客情報が公開さたが、同社は支払い情報と暗号化資金は影響を受けないと述べた。
Ledger社によると、影響を受けた顧客には電子メールで通知しており、29日に公開されたブログでデータ侵害の詳細を説明。7月14日にLedger社ウェブサイトで報奨金プログラムに参加している研究者から、元帳のウェブサイトでデータが侵害される可能性があると報告を受け、脆弱性に最初に気が付いたと説明している。
同社では、ただちに修正し、内部調査を開始。修正プログラムを適用してから1週間後に、6月25日に、eコマースおよびマーケティングデータベースにアクセスした無許可の第三者が、不正に取得した個人情報をさらに悪用していたことを発見した。なお、この脆弱性はすでに数週間前の6月25日、サードパーティがAPIキーを使用してマーケティングおよびeコマースデータベースにアクセスし、それ以降は無効になっている。
攻撃はマーケティングおよびeコマースデータベースを標的としており、不正侵入した当事者はユーザーのリカバリフレーズまたは秘密鍵にアクセスできなかったと述べている。支払い情報、パスワード、資金については影響を受けておらず、元帳のハードウェアウォレットや元帳ライブのセキュリティ製品は無関係だったと説明しているが、ブログによると、約100万人の顧客の電子メールが漏洩しており、被害は決して小さくない。
仮想通貨資産については安全であり、危険にさらされていいないとLedger社から顧客への電子メールには記載されている。同社はフィッシング詐欺の試みに十分注意することを顧客に推奨し、ユーザーの回復フレーズを決して要求しないことを繰り返し述べている。
Ledger社はブログの中で、今回の事件について「非常に遺憾」であると述べ、謝罪している
プライバシーを非常に真剣に受け止め、独自のバグ報奨金プログラムのおかげでこの脆弱性を発見し、すぐに修正できた。ただし、この状況を回避および修正するために行ったすべてのことに関わらず、この問題によりお客様にご迷惑をおかけすることを心よりお詫び申し上げます。
研究者が脆弱性を明らかにした2日後には、Ledger社によってフランスのデータ保護機関であるCNIL (Commission nationalede l’informatique et des libertés:フランスの情報処理及び自由に関する国家委員会)に報告を提出し、7月21日までにオレンジサイバーディフェンス(Orange Cyberdefense)と提携し、潜在的な損害評価および違反のさらなる特定をしている。
同社は、盗まれたデータがインターネット上で販売されている証拠について、現在もまだ目を光らせているが、これが事実であると信じる理由は何もないとしている。OCDは7月24日に最初のレポートを提出し、CNILによる調査はまだ進行中だ。なお、当初9月に予定されていた外部侵入テストを現在進めているとのこと。
