ブルームバーグの調査によると、世界最大級の暗号資産取引所であるCrypto.comが、未公表のセキュリティ侵害を受けたと報じられている。
この報告は、ソーシャルエンジニアリング戦術を用いて企業を狙うハッカー集団「スキャッタード・スパイダー」との関連を指摘している。このグループは主にティーンエイジャーで構成され、従業員を騙して認証情報を引き出すことに長けている。
SponsoredCrypto.com、セキュリティ問題隠蔽疑惑で批判
ブルームバーグによれば、攻撃者はITスタッフを装い、Crypto.comの匿名の従業員にログイン情報を渡すよう説得したという。内部に侵入した後、上級スタッフのアカウントを狙ってアクセスを拡大しようとした。
Crypto.comはブルームバーグに対し、攻撃は「ごく少数の個人」にしか影響を与えず、顧客の資金は無傷であると強調した。
同社は本稿執筆時点で、事件に関する追加情報を提供していない。
一方で、セキュリティ専門家は、取引所が侵害を公表しない決定がそのセキュリティ慣行への信頼を損なうと主張している。
彼らは、事件の詳細を共有しないことが、ユーザーに対して露出の範囲についての不確実性を残し、さらなる攻撃の可能性に対して脆弱にすると主張している。
この懸念は、以前にコインベースが同様の侵害を受け、顧客に年間3億ドル以上の損失をもたらしたことからも重要である。
オンチェーン調査員のZachXBTは、Crypto.comが意図的に侵害を隠蔽したと非難した。同氏は、これがプラットフォームが未公表のセキュリティ問題に関連付けられた初めてのケースではないと強調した。
Sponsored彼のコメントは、取引所が評判を守るために侵害を静かに軽視することに対する業界全体の不満を反映している。
一方で、この事件は業界が顧客確認(KYC)システムに依存していることへの批判を再燃させた。
匿名のセキュリティ研究者Pcaversaccioは、この問題に対して鋭く反応し、KYC要件がハッカーにとって巨大なデータの蜜壺を作り出していると主張した。
“パスワードは簡単に変更できるが、パスポートはそうではない。彼らはそれをよく知っている。我々は基本的に彼らの監視ビジネスの担保にされているのだ”と研究者は述べた。
この懸念は、規制の枠組みに対する業界全体の懐疑心と一致している。
今年初め、コインベースのブライアン・アームストロングCEOは、銀行秘密法と既存のマネーロンダリング防止規則を時代遅れで効果がないと批判した。
同氏は、企業が意に反して機密データを収集することを強いられていると説明した。彼によれば、これらの要件は、企業や顧客に負担をかけるにもかかわらず、犯罪を防ぐ効果はほとんどないという。
“我々はそれを収集したくないし、顧客もそれを嫌っている。我々は意に反してそれを収集することを強いられている。そして、それは犯罪を防ぐ効果がない。データを見ればわかる”とアームストロングは述べた。
