Coinbase CISO、年3億ドル損失の詐欺防止策を語る

ソーシャルエンジニアリング詐欺が増加しており、2025年第1四半期を通じてコインベースユーザーが特に標的にされている。ZachXBTによる一連の調査によれば、2024年12月以降、ユーザーは1億ドル以上の資金を失い、年間損失は3億ドルに達した。

異なるユーザーからの苦情を整理した後、BeInCryptoはコインベースのジェフ・ルングルホファーCISOと話し、ユーザーがこの種の攻撃に対して脆弱である理由、攻撃の発生方法、そしてそれを防ぐために何が行われているかを理解した。

コインベース利用者詐欺の深刻度

2025年第1四半期を通じて、複数のコインベースユーザーがソーシャルエンジニアリング詐欺の被害に遭った。ハッキングが時間とともに高度化する中で、これは驚くべきことではない。

最近の調査で、Web3研究者のZachXBTは、コインベースアカウントから大規模な引き出しを受けた異なるXユーザーからのメッセージを報告した。

1/ Over the past few months I imagine you have seen many Coinbase users complain on X about their accounts suddenly being restricted.

This is the result of aggressive risk models and Coinbase’s failure to stop its users losing $300M+ per year to social engineering scams. pic.twitter.com/PjtX7vmjqc

— ZachXBT (@zachxbt) February 3, 2025

3月28日、ZachXBTは1人の個人が約3500万ドルを失った重大なソーシャルエンジニアリングの悪用を明らかにした。その期間中のさらなる調査で、同じ悪用の追加被害者が明らかになり、3月だけで合計4600万ドル以上が盗まれた。

1か月前に終了した別の調査で、ZachXBTは2024年12月から2025年1月の間にコインベースユーザーから6500万ドルが盗まれたことを明らかにした。同氏はまた、コインベースが年間3億ドルの損失をもたらすソーシャルエンジニアリング詐欺問題に静かに取り組んでいると報告した。

コインベースユーザーはソーシャルエンジニアリング詐欺に特に脆弱であるが、一般的に中央集権型取引所もこれらの高度化する攻撃に大きな影響を受けている。

広い文脈はこの状況をどう反映？

近年のソーシャルエンジニアリング詐欺の進化に関する公的データは限られており、やや古い。しかし、利用可能な報告書の数字は驚くべきものだ。

2023年、米連邦捜査局（FBI）傘下のインターネット犯罪苦情センター（IC3）は初の暗号資産報告書を発表した。投資詐欺は暗号資産関連の苦情の最大カテゴリを占め、受け取った約6万9500件の苦情の46％、約3万3000件を占めた。

投資詐欺、またはピッグブッチャリングは、高リターンと低リスクの虚偽の約束で投資家を引き寄せ、特に暗号資産の新参者を大きな利益を逃すことへの恐れで駆り立てる。

IC3の報告書によれば、これらのスキームはソーシャルエンジニアリングと信頼構築に依存している。犯罪者はSNS、デーティングアプリ、プロフェッショナルネットワーク、または暗号化メッセージングを利用してターゲットと接触する。

2023年、これらの投資詐欺はユーザーに39億6000万ドルの損失をもたらし、前年から53％増加した。他のソーシャルエンジニアリング詐欺、例えばフィッシングやスプーフィングはさらに960万ドルの損失を構成した。

これらの詐欺は過去数年間でコインベースユーザーに広範に影響を与えた。

暗号資産ユーザー狙う新たな詐欺手口

コインベース詐欺師は偽のメールを作成する傾向がある。それはクローン化されたウェブサイトの画像と偽のケースIDを使用して正当なものに見せかける。彼らはスプーフィングされた電話を通じてユーザーに連絡し、プライベート情報を利用して信頼を築いた後、これらの詐欺メールを送信する。

詐欺師がユーザーにやり取りの正当性を信じ込ませた後、彼らは状況を利用して資金を移動するよう説得する。

これらの詐欺の高度化は、感情的な操作と被害者の特定の脆弱性を示している。中央集権型取引所がこれらの悪用の主要なプラットフォームであることを示している。

ZackXBTの調査とXでのユーザー報告は、ソーシャルエンジニアリング詐欺の範囲とコインベースの管理効果の間のギャップを明らかにしている。

公的な議論では、コインベースが一般的なコンプライアンスツールで盗難アドレスをフラグしていないことが示されている。

詐欺の被害者と資金が凍結されたユーザーは、コインベースに対してこの増大する高コストの問題に対してより強力な行動を求めている。これらの詐欺がどのように発生するかを理解することは、効果的に対処するために不可欠である。

コインベース利用者はどう被害に？

1月、被害者が85万ドルを失った後、調査員に連絡した。その際、詐欺師はスプーフィングされた電話番号から被害者に連絡し、プライベートデータベースから得た可能性のある個人情報を使用して信頼を得た。

5/ They then sent a spoofed email which appeared to be from Coinbase with a fake Case ID further gaining trust.

They instructed the victim to transfer funds to a Coinbase Wallet and whitelist an address while “support” verified their accounts security. pic.twitter.com/pOTQpnMfCz

— ZachXBT (@zachxbt) February 3, 2025

詐欺師は、偽のケースIDを含むスプーフィングメールを送信し、被害者にアカウントが複数の不正ログイン試行を受けたと信じ込ませた。詐欺師は、被害者にアドレスをセーフリストに登録し、別のコインベースウォレットに資金を移すよう指示した。

昨年10月、別のコインベースユーザーが、コインベースサポートを装ったスプーフィング番号からの電話を受けた後、650万ドルを失った。

被害者はフィッシングサイトを使用するよう強要された。8か月前、別の被害者がコインベースのログインをリセットするよう詐欺師に説得され、400万ドルを失った。

ZachXBTは、コインベースが一般的なコンプライアンスリソースで盗難アドレスを報告していないことや、社会工学問題の悪化に対する対応が不十分であると懸念を示した。

BeInCryptoとの会話で、コインベースのジェフ・ラングローファーCISOは、事件の自身の見解を共有した。

Coinbase CISO、ソーシャルエンジニアリング詐欺に言及

コインベースは、ユーザーに影響を与える社会工学詐欺の広範な被害を明確に理解しているが、ラングローファーは、暗号資産業界全体でこの問題に取り組むべきであり、単一の組織に責任を委ねるべきではないと強調した。

「広範な社会工学の課題の中で、もちろんコインベースの顧客も影響を受けている。我々はそれを痛感している。ユーザーを保護するために多くのコントロール改善を進めており、さらに重要なのは、業界全体、すべての暗号資産取引所にこれらのアイデアとコントロールの向上をもたらすために、業界全体と協力していることだ」とラングローファーはBeInCryptoに語った。

コインベースのCISOは、この問題に対抗するための他のプラットフォームとの協力的な取り組みを言及した。

具体的には、ラングローファーは「Tech Against Scams」イニシアチブを指摘し、Match Group、Meta、Kraken、Ripple、Geminiなどの業界プレイヤーとのパートナーシップでオンライン詐欺や金融スキームと戦うことを目指している。

ラングローファーはまた、コインベースが盗難アドレスをフラグ付けする際に同様のアプローチを取っていると付け加えた。

コインベース、盗難アドレスを異なる扱い

BeInCryptoがコインベースに、なぜ人気のあるコンプライアンスツールで盗難アドレスを公開しないのか尋ねた際、ラングローファーは、これらのシナリオに対する異なる手順があると説明した。

「他の取引所と直接コミュニケーションを取り、資産が引き出されたアドレスを知らせる。詐欺的な活動があると確認した場合、詐欺に関連するすべてのウォレットを引き戻し、コミュニケーションを取っている他の取引所にそれらを送信する」と述べた。

ラングローファーはまた、詐欺に関連する情報を配布するために、コインベースが他の暗号資産取引所や組織と協力して設立した情報共有グループであるCrypto ISACについても言及した。

スプーフィングメール、電話番号、フィッシングサイトに関しては、コインベースは外部のサービスプロバイダーに責任を委ねている。

コインベース、偽コンテンツ氾濫との闘い

ラングローファーは、コインベースが特定または報告を受けたスプーフィングメールの数が、取引所がそれらを削除する能力をはるかに超えていることを認めた。

「残念ながら、それらは非常に多い。5分で10件開けることができる。非常に簡単にできる。だから、あまり多くのことはできない。しかし、特定した場合や顧客が報告した場合には、それらを削除する」と述べた。

コインベースは、そのような場合に循環するスプーフィングやフィッシングキャンペーンを排除するためにベンダーを使用している。

「削除を行うために使用するベンダーがいくつかある。詐欺的な電話番号が出現した場合、詐欺的なURLやウェブサイトが設立された場合には、それらを削除するために発行する。DNSプロバイダーや他の関係者と協力して、できるだけ早くそれらを削除するためにベンダーを使用する」とラングローファーはBeInCryptoに語った。

これらの予防策は将来にとって重要だが、すでに詐欺で数百万ドルを失ったユーザーにとってはほとんど救済策を提供しない。

責任は誰にある？ユーザー対取引所

コインベースは、社会工学詐欺で貯蓄を失ったユーザーのための保険政策の開発についてのBeInCryptoの問い合わせに応じず、この分野でのアプローチは不明のままだ。

しかし、社会工学詐欺は複雑であり、信頼を築くために大きな感情的操作に依存している。この複雑さは、ユーザーの脆弱性に対する責任の度合いと、中央集権的な取引所のユーザー保護措置の潜在的な欠陥についての疑問を提起する。

暗号資産コミュニティ全体では、正当な通信と詐欺の試みを区別するための教育資料がより必要であるという意見が一般的だ。

この問題に関して、ラングローファーは、コインベースがユーザーに突然電話をかけることは決してないと明言した。また、コインベースは最近、詐欺と潜在的に関わるユーザーに警告を発する機能を実装したと述べた。

さらに、CISOは、取引所によって疑わしいとフラグ付けされた取引を行おうとするユーザーにリアルタイムで表示される教育ツールである「詐欺クイズ」を引用した。

この機能は利点だが、ユーザーを保護する能力を定量化するのは難しい。特に、疑わしい活動をどれだけ効率的にフラグ付けするかについては。コインベースは、社会工学詐欺に関連するデータを内部で追跡しているかどうかについてのBeInCryptoの質問に応じなかった。

コインベースの「許可リスト」にも同様の問題がある。

コインベース85万ドル損失

コインベースは、ユーザーが承認された受取人アドレスのセーフリストを作成し、見知らぬまたは未確認のアドレスへの取引を防ぐ機能を提供している。ルングローファーは、コインベースのユーザーにこの対策を採用するよう強く促している。

「我々はすべての小売顧客に、資産を転送することが許可されたウォレットの『許可リスト』を作成する能力を提供している。私のコインベースの個人アカウントでは、『許可リスト』をオンにしており、許可されているウォレットは3つだけだ」とルングローファーは詳述した。

しかし、ザックXBTが明らかにした1月のコインベースユーザーによる85万ドルの詐欺被害は、セーフリストの重大な限界を示している。

被害者が盗難アドレスを追加した後でも、この追加を引き起こす操作が行われる可能性があり、意図した保護が無効化される。

コインベース、ユーザー保護強化可能か？

高度なソーシャルエンジニアリング詐欺は増大する脅威であり、暗号資産ユーザーにとって大きな課題を生んでいる。コインベースユーザーや中央集権型取引所全般が特に影響を受けている。

コインベースの取り組みにもかかわらず、重大な財務損失は、決意の固い詐欺師に対する現行の業界標準の限界を浮き彫りにしている。

協力は全体的に重要であるが、コインベースは主要なプラットフォームとして、ユーザー教育にもっと積極的な努力とリソースを投入する必要がある。

ソーシャルエンジニアリングは主にユーザー主導の問題であり、取引所のセキュリティの失敗ではない。しかし、コインベースのようなプラットフォームは、これらの脅威に対処するための業界全体のイニシアチブを主導する重要な責任を負っている。

失われた数百万ドルは、これらのますます洗練され頻繁になる攻撃からユーザーを守るために、警戒と集団行動が極めて重要であることを強く示している。