コインベース、ハッカーが2000万ドル要求－社員買収し顧客データ窃盗

米最大の暗号資産（仮想通貨）交換業者コインベース・グローバルは15日、顧客サポート担当者がハッカー集団に買収され、顧客情報が流出したと明らかにした。ハッカー集団は顧客情報の削除と引き換えに2000万ドル（約29億円）の身代金を要求してきたという。

　　同社はブルームバーグ・ニュースとのインタビューで、今年１月から顧客サポート担当者の一部による不審な動きを認識し始めたと認めた。

　　事情に詳しい関係者によると、ハッカー集団は１月以降、ほぼ常時、最も重要な顧客データの一部に不正アクセスしていた。関係者は社内情報を理由に匿名を条件に語った。

　　コインベースは身代金の要求には応じない方針を示し、代わりに犯人の逮捕・起訴につながる情報に対して2000万ドルの懸賞金を提示している。また、この問題を巡り最大４億ドルのコストが発生する可能性があるとの見通しを示した。

　　関係者によれば、ハッカー集団は複数の顧客サポート担当者を買収し、顧客の氏名や生年月日、住所、国籍、政府発行ＩＤ、一部の銀行情報、口座開設日や残高の情報を不正取得した。この情報を基に、ハッカーがコインベースを装って顧客に連絡し、口座への不正アクセスを図る可能性がある。また、顧客になりすまして他の金融機関の口座を狙う可能性もある。

　　関係者の話では、ハッカーは顧客情報に事実上オンデマンドでアクセス可能な状態を５カ月間にわたり維持していたという。ただ、コインベースのフィリップ・マーティン最高セキュリティー責任者（ＣＳＯ）氏はブルームバーグ・ニュースとのインタビューで、不正な情報共有が確認されてすぐに該当者のアクセス権を停止しており、ハッカーが継続的にアクセスできたわけではないと述べた。

　　マーティン氏によると、ハッカーはインドで事業の外部委託やサポート業務に携わっていたコインベースの従業員や契約社員を買収していた。同社は今回の不正アクセスの発覚後直ちに、関与した社員・スタッフを特定し、解雇した。

　　コインベースによると、影響を受けたのは利用者の１％未満だった。被害額は全額補償するとしている。

　　コインベースのＳ＆Ｐ500種株価指数の構成銘柄採用を来週に控えたタイミングで今回の問題が起きた。15日のニューヨーク市場で同社株は7.2％安で通常取引を終えた。

　　一方、米紙ニューヨーク・タイムズ（ＮＹＴ）はコインベースが過去の開示で、ユーザー数を不正確に報告した可能性があるとして、米証券取引委員会（ＳＥＣ）が調査していると報じた。バイデン前政権当時に始まった調査の一環だという。

　　コインベースのポール・グレワル最高法務責任者（ＣＬＯ）は声明で、「この調査は前政権下から引き継がれたもので、当社が２年半前に開示をやめた指標に関するものだ。その指標については、すでに完全に開示した」と説明。「調査を継続すべきでないと当社は確信しているが、引き続きＳＥＣに協力して解決を目指す」とコメントした。

原題：Coinbase Hack Rocks the Company That Led Crypto Into Mainstream、Coinbase Hackers Had Access to Customer Data Since January、Coinbase Workers Leaked Data to Hacker Seeking $20 Million (2)、Coinbase Shares Drop on Report of SEC Probe of Its User Numbers（抜粋）