Coinbaseの情報漏洩が4億ドルの損失を引き起こす可能性、KYCが逆にハッカーの金鉱に？

著者：Fairy，ChainCatcher

編集：TB，ChainCatcher

"今回の事件による損失は約1.8億ドルから4億ドルと予想されています。"

一枚の政審は結局、ソーシャルエンジニアリング攻撃を防ぐことはできません….

4月初め、私たちはCoinbaseユーザーが頻繁に精密な詐欺に遭っていると報じ、年間損失は最大3億ドルに達する可能性があると伝えました。現在、真実が徐々に明らかになっています。

昨日、Coinbaseは核心的な詳細を明らかにし、ハッカーが海外のカスタマーサポートスタッフを買収し、アクティブユーザーの個人情報の1%未満を盗んだことが判明しました。長い間隠されていた内部のセキュリティリスクが、ついに明るみに出ました。

栄光は散らず、危機 が 訪れる

S&P 500に上昇する好材料が出てから1週間も経たないうちに、Coinbaseのセキュリティスキャンダルが相次ぎ、株価はすぐに下落し、日内で7.2%の下落を記録しました。

4月初め、The Blockの共同創設者Mike Dudasは、Coinbaseから通知を受け、彼のアカウントが従業員によって不正にアクセスされたことを知らされました。その時、内部データの権限管理に対する懸念が高まっていました。（関連記事：1年間で3億ドルの損失、Coinbaseユーザーが頻繁に精密な詐欺に遭い、背後には"内通者"が情報を漏らしている？）

Coinbaseの昨日の発表では、事件の全貌が初めて明らかにされました：海外のカスタマーサポートスタッフが犯罪者に買収され、月間アクティブユーザーの1%未満のデータをコピーし、公式を装って詐欺を試みました。ハッカーはCoinbaseに対して2000万ドルの口封じ料を要求しました。Coinbaseは支払いを拒否し、同額の報奨金をかけて背後の主犯を追跡し、起訴することを決定しました。

同時に、Coinbaseがユーザー数を虚偽報告しているかどうかの問題も浮上しました。SECは、登録書類に記載された「1億の検証済みユーザー」という重要なデータについて調査を行っており、この指標は2年前に静かに廃止されていました。Coinbaseの最高法務責任者Paul Grewalは、これは前政権の遺留調査であり、関連情報は十分に開示されていると述べましたが、内外の問題が重なり、Coinbaseは再び世論の焦点となりました。

Coinbaseはまだ信頼できるのか？

Coinbaseの信頼性は前例のない試練に直面しています。「安全性とコンプライアンス」を核心の売りにしている上場暗号取引所にとって、敏感なデータの漏洩、ソーシャルエンジニアリング詐欺のリスクの急増、そして潜在的な規制罰則は、明らかに多面的な「顔を叩く」事態です。

Coinbaseの発表内容から見ると、ハッカーが盗んだ情報はほぼユーザーの完全なKYCプロファイルをカバーしています：名前、住所、電話番号、メールアドレス、身分証明書の画像、さらには一部の銀行口座情報まで含まれています。このような情報が不正な手に渡ると、後続のソーシャルエンジニアリング攻撃、フィッシングメール、資金盗難に対して「精密な弾薬」を提供するだけでなく、ダークウェブで転売され、長期的なリスクを形成する可能性があります。

Coinbaseの対応策を見てみると、Coinbaseは今回の事件で詐欺に遭い、攻撃者に送金したユーザーに全額補償することを約束し、セキュリティの脆弱性に対して体系的な修正を行うとしています。カスタマーサポートの権限管理を強化し、アメリカに新たなカスタマーサポートセンターを設けて監視能力を向上させる予定です。同時に、Coinbaseは内部で潜在的な脅威の検出、自動応答、攻撃シミュレーションテストへの投資を増やすことも計画しています。

これらの措置は、後手に回った感がありますが、Coinbaseが「正面から立ち向かう」姿勢を示しています。この一連の救済措置が本当にリスクを抑制し、投資家やユーザーの信頼を再び得ることができるかどうかは、時間と実際の成果によって検証される必要があります。

KYCの論争が再燃

KYCの本来の目的はマネーロンダリング防止やテロ資金対策ですが、実際の運用では、ユーザーのプライバシーが最も集中した情報庫となっています。Coinbaseの今回のデータ漏洩事件は、KYC制度の論争を再び前面に押し出しました。

この騒動の中で、複数のプロジェクトの創設者やCEOが声を上げ、3つの問題について反省を促しました：

1. 「プライバシーと安全の交換」は本当に価値があるのか？

NansenのCEOアレックス・スヴァネビクは、KYC制度がユーザーに大量の敏感情報（身分証明書、パスポート、水道光熱費の請求書など）を提出させる一方で、実際には「本当に捕まった犯罪者はほとんどいない」と率直に述べました。

Casa WalletのCEOニック・ニューマンは、「これが私たちがKYCを収集しない理由です」と述べ、KYCはハッカーにさらなる攻撃の手段を提供するだけだと考えています。

2. 制度の脆弱性がユーザーのリスクを増大させる

プラットフォームがユーザーの敏感情報を収集する場合、相応の保護能力が欠けていると、逆にユーザーをより大きなリスクにさらすことになります。WintermuteのCEOエフゲニー・ガエボイは、Coinbaseが情報漏洩事件を適時に開示しなかったことが、「私たちが直面している愚かで不合理なKYC/AML制度の暗い側面」であると強調しました。彼は、この制度が「地政学と法執行を容易にする一方で、市民のプライバシーを犠牲にし、企業に重い負担を強いることで、犯罪者がより容易に恐喝、誘拐、詐欺を行えるようにしている」と述べています。

3. 情報の蜜罐、さらに強化すべきか？

DeFiance Capitalの創設者アーサーはXプラットフォームで、Coinbaseは本当に問題を解決する必要があると述べ、最終的にCoinbaseプラットフォームがユーザーの重要な情報の蜜罐になってしまった場合、KYCを継続的に要求する理由はないと指摘しました。

暗号業界にとって、「コンプライアンス」がユーザーの敏感情報を強制的に収集する理由となるとき、プラットフォームはそれに伴うデータセキュリティの責任を果たす準備ができているのでしょうか？KYCに関するこの議論は初めてではありませんが、今回の現実の事例は論争をより鋭くしています：規制コンプライアンスとユーザーのプライバシーの間の緊張が、暗号業界が避けられない難題となっています。

コンプライアンスは主流へのチケットですが、同時にデータセキュリティの錬金石でもあります。それは技術力を試すだけでなく、プラットフォームの責任感とガバナンスのレベルを問うものでもあります。

これは引き返せない道であり、長く困難な修行が待っています。

前途は長く、重い責任が伴います。