Coinbaseのデータ漏洩事件の内幕：インドのカスタマーサポートセンターとティーンエイジャーハッカーグループ

原文作者：Ben Weiss、Jeff John Roberts

原文编译：Luffy，Foresight News

Coinbaseの共同創業者兼CEOブライアン・アームストロングが2022年にインドのバンガロールで行ったイベントでスピーチを行う

2025年5月15日、Coinbaseは数万の顧客の個人データが盗まれたことを公表しました。これは同社の歴史上最大のセキュリティ事件であり、最大4億ドルの損失が見込まれています。このデータ漏洩は、その規模だけでなく、ハッカーの攻撃手法にも注目されています。具体的には、海外のカスタマーサービス担当者を賄賂で買収し、機密の顧客情報を入手したのです。

Coinbaseは、情報を提供し、犯罪者の逮捕と有罪判決を助ける通報者に2000万ドルの報奨金を支払うことを公表しましたが、攻撃者の身元やハッキングの詳細についてはほとんど情報を公開していません。

『フォーチュン』誌の最近の調査（Coinbaseとハッカーとの間の電子メールを含む）は、この事件の新たな詳細を明らかにし、英語を話す若いハッカーで構成された緩やかなネットワークが部分的に責任を負っていることを示唆しています。同時に、調査結果は、いわゆるBPO（ビジネスプロセスアウトソーシング）がテクノロジー企業のセキュリティ運営の弱点であることを浮き彫りにしています。

内通者の犯行：アウトソーシングカスタマーサービスが突破口に

物語はテキサス州ニューブラウンフェルズにある小規模上場企業TaskUsから始まります。他のBPOと同様に、この会社は海外の従業員を雇用し、低コストで大手テクノロジー企業にカスタマーサービスを提供しています。同社のスポークスマンによると、今年1月、TaskUsはインドのインドールにあるサービスセンターから226人の従業員を解雇し、Coinbaseのために働いていました。

米国証券取引委員会に提出された書類によれば、TaskUsは2017年からCoinbaseにカスタマーサービス担当者を提供しており、この協力関係はこのアメリカの暗号通貨大手にとって多大な労働コストを節約してきました。しかし問題は、顧客がアカウントやCoinbaseの新製品について問い合わせる際、彼らが海外のTaskUsの従業員と話している可能性が高いことです。これらの代理人の給与はアメリカの従業員よりも低いため、賄賂を受け入れやすいのです。

「今年の初め、私たちは2人の個人が私たちの顧客の情報に不正にアクセスしたことを発見しました」とTaskUsのスポークスマンはCoinbaseに言及しながら『フォーチュン』誌に語りました。「私たちは、この2人がCoinbaseに対するより広範で組織的な犯罪活動に雇われていると考えています。この活動は、Coinbaseがサービスを提供している他の多くの供給者にも影響を与えています。」

Coinbaseの規制文書によれば、TaskUsは今年1月に従業員を解雇し、Coinbaseが顧客データの盗難を発見する1ヶ月も経たないうちに行われました（注：Coinbaseは2024年12月にデータ漏洩を発見しました）。火曜日、ニューヨークでCoinbaseの顧客を代表して提起された連邦集団訴訟は、TaskUsが顧客データを保護する上での怠慢を指摘しました。「私たちは訴訟についてコメントすることはできませんが、これらの主張には根拠がないと考えており、私たち自身を弁護します」とTaskUsのスポークスマンは述べました。「私たちは顧客データの保護を最優先事項とし、グローバルなセキュリティプロトコルとトレーニングプログラムを強化し続けます。」

このセキュリティ事件に詳しい情報筋によれば、ハッカーは他のBPO企業にも成功裏に攻撃を行い、各事件で盗まれたデータの性質は異なるとのことです。

これらの盗まれたデータは、ハッカーがCoinbaseの暗号金庫に侵入するのには不十分でしたが、確かに犯罪者が偽のCoinbaseカスタマーサービスを装い、顧客に接触して暗号資産を渡すよう説得するのに役立つ豊富な情報を提供しました。同社は、ハッカーが69,000人以上の顧客のデータを盗んだと述べていますが、その中で何人がいわゆる「ソーシャルエンジニアリング詐欺」の被害者になったかは明らかにしていません。この事件におけるソーシャルエンジニアリング詐欺は、犯罪者が盗まれたデータを利用してCoinbaseの従業員を装い、被害者に暗号資産を移転させるものです。

Coinbaseは声明の中で、「私たちがすでに公表したように、最近、ある脅威行為者が海外のカスタマーサービスに2024年12月に遡る顧客アカウント情報を要求したことを発見しました。私たちは影響を受けたユーザーと規制当局に通知し、関与したTaskUsのスタッフや他の海外カスタマーサービスとの接触を断ち、管理を強化しました。」と述べました。声明はまた、詐欺で資金を失った顧客への補償を行っていることを付け加えました。

企業の代表を装ったソーシャルエンジニアリング詐欺は新しいものではありませんが、ハッカーがBPO企業を攻撃する規模は非常に珍しいです。犯罪者が明確に特定されていないものの、いくつかの手がかりは英語を話す若いハッカーで構成された緩やかな組織を強く示唆しています。

ティーンエイジャーハッカーグループ：「彼らはビデオゲームから来た」

5月中旬にCoinbaseのデータ漏洩事件が公表された数日後、『フォーチュン』誌はTelegramで自称「puffy party」と名乗る男性と交流しました。彼は自分がハッカーの一人であると主張しました。

この匿名のハッカーと話した他の2人のセキュリティ研究者は、『フォーチュン』誌に対し、彼が信頼できると考えていると述べました。そのうちの一人は、「彼が私に共有した内容に基づいて、彼の主張を真剣に考え、彼の主張が虚偽である証拠を見つけられませんでした。」と語りました。2人の研究者は、いわゆるハッカーとの会話による召喚状を恐れて匿名を希望しました。

交流の中で、この男性はCoinbaseのセキュリティチームとの電子メールのやり取りの多くのスクリーンショットを共有しました。彼がCoinbaseとコミュニケーションを取る際に使用した名前は「Lennard Schroeder」です。彼はまた、Coinbaseの元幹部に属するアカウントのスクリーンショットも共有し、そこには暗号取引と大量の個人詳細が表示されていました。

Coinbaseはこれらのスクリーンショットの真実性を否定していません。

自称ハッカーが共有した電子メールには、2000万ドルのビットコインでの身代金要求（Coinbaseは支払いを拒否）や、ハッカーグループが一部の不正資金で同社の禿頭のCEOブライアン・アームストロングに髪を購入するという嘲笑的なコメントが含まれていました。「私たちは彼のために植毛手術をスポンサーすることを望んでいます。そうすれば、彼は世界を自由に旅することができます。」とハッカーは書きました。

Telegramのメッセージの中で、この人物（『フォーチュン』誌はセキュリティ研究者から彼の存在を知りました）はCoinbaseに対する軽蔑を表明しました。

多くの暗号通貨の強盗事件はロシアの犯罪団体や北朝鮮の軍によって実行されていますが、今回のハッカーは「Comm」または「Com」と呼ばれるティーンエイジャーや20代の若者で構成された緩やかな連合によるものとされています。

過去2年間、Commグループに関する報道は他のハッカー事件のメディア報道に登場しており、今月初めの『ニューヨークタイムズ』の記事では、一連の暗号通貨盗難を実行した容疑者がこの組織のメンバーであると自称しています。『ウォールストリートジャーナル』によれば、2023年、調査官はこの組織のハッカーがラスベガスのいくつかのオンラインカジノを攻撃し、MGMリゾートに3000万ドルの身代金を要求しようとしたとしています。

通常は金銭を追求するロシアや北朝鮮の暗号ハッカーとは異なり、Commグループのメンバーは注目を集めることといたずらの快感を求めることが多いです。彼らは時折協力してハッキングを行いますが、誰がより多くを盗むかを競い合うこともあります。

「彼らはビデオゲームから来て、そして高得点を現実世界に持ち込むのです。」と暗号フォレンジック調査会社Cryptoforensic Investigatorsの調査ディレクター、ジョシュ・クーパー・ダケットは言います。「この世界では、彼らのスコアはどれだけお金を盗んだかです。」

Telegramのメッセージの中で、この自称ハッカーはCommのメンバーが強盗の異なる段階を担当していると述べました。彼のチームはカスタマーサービスを賄賂で買収し、顧客データを収集し、そのデータを社会工学詐欺に精通した他のチームメンバーに渡します。彼らは、異なるCommの関連グループがTelegramやDiscordなどのソーシャルプラットフォームで行動の異なる部分をどのように実行するかを調整し、盗んだ資金を分配していると付け加えました。

暗号調査会社Tracelonの創設者セルジオ・ガルシアは『フォーチュン』誌に対し、Coinbaseへの攻撃の説明がCommグループの運営方法や他の暗号のソーシャルエンジニアリング詐欺に関する彼の観察と一致していると述べました。情報筋によれば、最近のソーシャルエンジニアリング詐欺で顧客を攻撃した者は、流暢な北米英語を話しているとのことです。

BPO従業員の給与について知っている情報筋によれば、インドのTaskUsの従業員の月給は500ドルから700ドルの間です。TaskUsはコメントを拒否しました。ガルシアは『フォーチュン』誌に対し、この数字はインドの一人当たりGDPよりも高いが、カスタマーサービスの低賃金は彼らが賄賂を受け入れやすくすることが多いと述べました。「明らかに、これは鎖の中で最も弱いリンクであり、彼らには賄賂を受け入れる経済的動機があります。」と彼は付け加えました。