シンシア・グティエレス(Cynthia Gutierrez)さんは当初、チボ(Chivo)のダウンロードに抵抗感を持っていた。チボは、エルサルバドル政府が同国でのビットコイン利用のために開発し、9月8日にリリースしたデジタルウォレットだ。
彼女は、ハッカーが「DUI」と呼ばれる身分証明書の9桁の番号に結びつけられたウォレットをアクティベートしていると聞き、10月16日にアプリをダウンロード。
「このような事態がどんどん広がって、身近な人たちにも被害が及んでいました」と、彼女は語った。
個人情報を入力すると、彼女の番号はすでに、ウォレットと結びつけられていることを知らせるスクリーンが表示された。自分のデータが違法行為に使われていることを恐れ、彼女はすぐにスクリーンショットを取った。
出典:Cynthia Gutierrez
グティエレスさんの事例は、ビットコインが法定通貨となり、チボが大規模に使われ始めた9月以来、ソーシャルメディアや地元団体に寄せられている数百もの報告の1つに過ぎない。
10月9日から10月14日の間で、エルサルバドルの人権団体「Cristosal」には、チボを使ったなりすましの報告が755件寄せられたと、同団体のリナ・モンティ(Rina Montti)さんは話す。
その大半は、なりすまし犯罪の多発について聞いたエルサルバドル国民が、ウォレットをアクティベートしようとして判明したものだ。
ハッカーには動機がある。チボアカウントを開設すると、30ドル相当のビットコイン(BTC)が受け取れるのだ。ブケレ大統領政権によるビットコイン利用促進のための戦略だ。
当記事執筆時点では、エルサルバドル政府は、チボにまつわるなりすまし犯罪についてのコメントの求めに応じていない。
ビットコインの法定通貨化によってブケレ大統領は、通貨の未来の国際的議論の中心にエルサルバドルを位置付けた。法定通貨化に際しては、顧客がビットコインを差し出した場合に、すべての業者がビットコインを受け入れなければならないとするビットコイン法7条に対するものなど、批判の声も寄せられた。
大統領はその後、ビットコインでの支払い受け入れは強制ではないと語った。国民は、大統領の発言と法律の文言のずれに困惑した。
8月に行われた調査では、国民の65〜70%がビットコインの法定通貨化に反対を表明。通りでのデモ行進も複数行われた。
ブケレ大統領が9月末に公表した最新の公式データによると、200万人以上がチボをダウンロード。ブケレ政権のビットコイン導入の積極的な取り組みにはさらに、火山からのエネルギーを使ったビットコインマイニングも含まれている。
だますのは簡単
チボの公式ウェブサイトによれば、アカウントの開設には、DUIの両面をスキャンし、顔認証をすることで、登録者の身元を確認する必要がある。しかし、このシステムに不備があることを、複数の国民が報告している。
「La Gatada SV」というチャンネルを運営するエルサルバドル人ユーチューバーのアダム・フローレス(Adam Flores)さんは、なりすまし被害について耳にした時、祖母がチボアカウントを開設していないことを思い出し、テストしてみることにした。
祖母のDUIのコピーしか持っていなかったが、試してみると、驚くことに、コピーは受け付けられたのだ。
認証プロセスを続けると、リアルタイムでの顔認証を求められた。そこでフローレスさんは、壁に貼ってあった映画『ターミネーター』のポスターからサラ・コナーの写真を使うことにした。
数秒後には、チボはフローレスさんの祖母を歓迎し、フローレスさんは30ドルを手にした。彼はこの一連のプロセスの動画を、証拠としてCoinDeskに送ってくれた。
ソーシャルメディアにアップされたその他の事例でも、コーヒーカップなど、適当な写真でDUIを置き換え、顔認証テストを通過できることが報告されている。
エルサルバドル国民は、必ずしも自分でアカウントを開設しようとはしない。モンティ氏によると、なりすましの被害を報告した700人の大半は、受け取り手の欄に自分のDUI番号を入力し、チボを通じて送金するよう知人に頼んだ人たちであった。その時に、アドレスが送金を受けられる状態、つまり、すでに何者かによってDUI番号が登録されていることを知ったのである。
なりすましを心配したラモン・エスキベル(Ramón Esquivel)さんは10月11日、自分のDUI番号にリンクしたウォレットに送金するよう知人に頼んだ。驚いたことに、アカウントをアクティベートしたこともないのに、送金は成功した。
「ハッカーが私のDUIを使っていることが分かり、怒りを覚えた」と、エスキベルさんは語った。彼は検察庁宛てに苦情を申し立てた。「私の身元を使ってマネーロンダリングが行われ、私が悪人になってしまうかもしれない」と、彼は主張した。
他の事例では、ハッカーが別のハッキング被害者のアカウントへと送金するケースもあった。
カスタマーサポート
ガブリエラ・ソーサ(Gabriela Sosa)さんは2週間前、自分のDUIを使ってチボをアクティベートしようとしたが、すでに登録したことを伝えるエラーメッセージが表示された。
彼女はすぐに、チボの公式サポートの電話番号に連絡。「数日電話をかけ続け、チボポイントというヘルプセンターに行くよう指示された」と語る彼女は先週、ヘルプセンターに出向いた。アカウントは取り戻せたが、お金は戻ってこなかった。
ソーサさんはツイッターで、30ドルが送金されたアカウントの詳細を公開。アカウント保有者の名前はミカエル・サンタクルーズ(Michael Santacruz)であった。
その数日後、同僚がそのツイートのスクリーンショットをサンタクルーズさんに送ったが、彼はチボアカウントをアクティベートしていなかった。ソーサさんはこのやり取りも、ツイッターで公開している。
サンタクルーズさんはアカウント開設を試みたが、DUIが登録済みというメッセージを受け取った。ソーサさんと同じように、彼もヘルプセンターに行きアカウントを取り戻した。そこで、自分のアカウントが5つのハッキングされたアカウントから送金を受けるために使われていることが判明したのだと、彼は語った。
出典:Gabriela Sosa
この問題に取り組んでいるNGOは、人権団体のCristosalだけではない。社会的責任監査に取り組むAcción Ciudadanaは10月12日、団体代表とディレクターのDUIでウォレット登録が行われたことを受け、検察庁に申し立てを行なった。
申し立てから2週間が経っているが、Acción Ciudadanaによれば、検察庁からの回答はない。
テクノロジー専門の弁護士ローラ・ナタリー・ヘルナンデス(Laura Nathalie Hernández)さんの元には、チボでのなりすまし被害について助けを求める声が寄せられている。被害者に対して彼女からの最初のアドバイスは、ソーシャルメディアに投稿して事態を公表し、検察庁に報告することだ。
ヘルナンデスさんによると、まずはチボアプリを管理する組織を調べるべきだ。「しかし、誰が責任を追っているのか、私たちにもあまり情報がない」と彼女は話す。「誰が管理しているのか、第三者企業が関わっているのか、分からない。透明性がない」
不透明な責任の所在
チボの利用規約によれば、アカウントの認証は、政府がウォレットをローンチするために立ち上げた民間企業CHIVO S.A. de C.V.が行う顧客確認(KYC)プロセスを条件としている。この認証プロセスには「プロセスを完全に遵守するのに必要な情報と書類の提供が含まれる」
同社の責任は不明瞭だ。規約によると、ユーザーは「サイトにアクセスするのに使われるいかなる情報、DUI、パスワード、コードも第三者に公開、提供しない」ことに同意することになっている。
しかし規約には、同社は「ハッキングやパスワードの損失によって未許可の第三者がアカウントにアクセスすることでユーザーに生じた損失の責任は負わない」とも記されている。
チボのサポートスタッフは、本物のアカウント保有者が情報を提供せずに生じたハッキングの場合には、誰が責任を負うのかというCoinDeskからの質問に回答していない。
ウォレットには、認証サービスは同社が直接、あるいは同社が認証のために契約した第三者が提供すると記載されている。しかし、チボのサポートスタッフは、チボに認証サービスを提供する第三者についての質問にも答えていない。
最終的に失った30ドルを取り返したソーサさんは、チボアプリやブケレ政権に不満があるのではなく、ただこの問題についての関心を高めたいだけだと強調した。
グティエレスさんはまだ、お金を取り戻してはいない。「カスタマーサービスに連絡したが、答えをもらえておらず、こういった場合にどうすれば良いのか明確な仕組みもない」と彼女は語った。
エスキベルさんは、30ドルにも、政府の公式アプリにも興味がないとして、次のように語った。
「私がビットコインが使うとしたら、自分のお金を自分でしっかり管理できるウォレットで使う」
|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock.com
|原文:Identity Thieves Exploit El Salvador’s Chivo Bitcoin Wallet’s Setup Process
