オンランプを提供のTransak、9万3000名規模の個人情報流出──従業員による業務外でのPC使用が原因
  • トランサック(Transak)が情報流出を起こしたが、その原因となったデータ侵害は、社会保障番号やクレジットカードの詳細には無関係だったことから、「軽度または中程度」の被害に分類された。
  • 犯行声明を出したランサムウェアグループによる要求が行われている。
  • トランサックの関係者はCoinDeskに対し、漏洩の責任を負うべき従業員たちは「退職した」と語った。

暗号資産(仮想通貨)業界の従業員が業務以外の目的でラップトップを使用したことが、約9万3000人のユニークユーザーが影響を受けるデータ漏洩を引き起こし、現在、あるランサムウェアグループが標的企業との交渉を試みている。

その標的企業となったトランサックは、顧客が暗号資産を購入できるようにするために多くの有名ブロックチェーン関連企業が使用する「オンランプ」サービスを提供しているが、現地時間10月21日のブログ投稿でデータ漏洩の被害に遭ったことを明らかにした。トランサックによると、漏洩した情報は「名前」と「基本的な身元情報」に限られた。

トランサックのCEO、サミ・スタート(Sami Start)氏はCoinDeskのインタビューで、今回の侵害の影響を受けたのは9万3000人で、その中には暗号資産関連の金融商品で身元確認のために顧客が使用したパスポート、IDカード、自撮り写真が含まれたと明かした。

同社は今回の事件を「軽度または中程度」に分類しているとスタート氏は述べた。より大きなリスクをもたらす可能性のある機密情報が含まれていなかったためだ。さらに同社によると、影響を受けたのはユーザーベースのわずか1.14%だった。

「銀行取引明細書はなく、社会保障番号はなく、クレジットカード情報もなく、アクセスされた電子メールやパスワードさえもないため、この事件の深刻さはかなり限定的だ」と同氏は述べた。

ランサムウェアグループが犯行声明

同CEOは、トランサックが顧客に連絡を取り、法執行機関とデータ規制当局に通知したと述べた。

しかし同社は、攻撃元を自称するランサムウェアグループとの交渉を求められる立場にもある。盗まれたデータを削除するために3万ドルが要求されたとの話があるが、すでに当該グループは、その件について高笑いしている。

同ランサムウェアグループによると、データはトランサックの顧客におけるより大規模なサブセットから取得されており、一部の財務データも含まれていたという。

「今回の侵害は、トランサックのインフラを通じて処理されたすべてのKYC(顧客確認)データに影響を与えた」と、同ランサムウェアグループは運営する公開のテレグラム(Telegram)グループで主張した。「我々は300GB以上のデータを抽出した。これには、政府発行のID、住所証明、財務諸表、ユーザーの自撮り写真などの機密性の高い個人文書が含まれている。」

同グループは、手元にある盗難データの一部しか公開していないと主張している。トランサックが要求した金額を支払わない場合は、「残りのデータを漏らすか、最高額の入札者に売却する」と同グループは脅迫した。

人気のオンランプ

トランサックは、クレジットカードで暗号資産(仮想通貨)を購入できるようにするなど、法定通貨から暗号資産への橋渡しとなるツールを開発者に対して提供してる。同社のウェブサイトによると、トランサックはメタマスク(Metamask)やトラストウォレット(Trust Wallet)などの主要なブロックチェーンウォレットに組み込まれている。コインベース(Coinbase)や米国バイナンス(Binance.US)などの暗号資産取引所も同社のサービスを利用している。

スタート氏はCoinDeskに対し、同社がランサムウェアグループとの交渉には興味ないと語った。

「この連中が本当に行ったのか、それとも単に自分の功績だと主張しているのかは不明だ」と同氏は語った。「連中は証拠を公開し、当社のKYCベンダーのスクリーンショットをいくつか示したが、他の誰かがそれをどこかに投稿し、自身による行為だと主張した可能性がある。」

同氏によると、データ侵害は従業員が「業務外の目的でラップトップを使用した」ために発生したとのことだ。

「該当する従業員たちは退職した」と同氏は語った。 「彼らはラップトップで仕事に関係のない活動を行い、スクリプト(悪意のあるスクリプト)を実行してシステムにアクセスした。」

これにより、ハッカーたちはトランサックにおけるサードパーティのユーザー認証、つまり KYC(顧客確認)サービスの 1 つにアクセスすることができた。スタート氏によると、この特定のベンダーのシステムには「脆弱性」があり、攻撃者は侵入したデバイスを介して同社のユーザーデータのサブセットをダウンロードできた。

CoinDesk とのインタビューで、スタート氏はデータ侵害の被害はこのKYC サービス領域のみに限定されていると主張した。

「他のシステムへのアクセスがあったという噂は事実ではない」とスタート氏は述べた。今回の攻撃者は「従業員のダウンロードフォルダーにあったスクリーンショットをいくつか入手した可能性がある。おそらく他のシステムのスクリーンショットが 1 つか 2 つだろうが、アクセスしたのはこの 1 つのベンダーのみであり、私が言及したユーザーのみであった。それ以外の可能性を主張する者がいた場合、誰であっても反論する。」

|翻訳・編集:T.Minamoto
|画像:Shutterstock
|原文:Crypto Employee’s Use of Laptop Outside of Work Cited in Data Breach Affecting 93K Transak Users