米ブルームバーグの調査で、世界最大級の暗号資産取引所Crypto.comが未公表のセキュリティ侵害を受けていたことが明らかになった。ハッカー集団「スキャッタード・スパイダー」による攻撃とされる。
同集団は主に10代で構成され、ソーシャルエンジニアリング手法で企業の従業員から認証情報を詐取する手口で知られる。暗号資産業界では取引所の透明性を巡る議論が再び活発化している。
SponsoredITスタッフ装い従業員から情報詐取
ブルームバーグによると、攻撃者はITスタッフを装った。Crypto.comの匿名従業員にログイン情報を渡すよう説得したという。システム内部に侵入後、上級スタッフのアカウントを標的にアクセス権限の拡大を図った。
Crypto.com側はブルームバーグに対し、攻撃の影響は「ごく少数の個人」に限定されたと回答。顧客資金に被害はないと強調した。同社は本稿執筆時点で、事件の追加情報を提供していない。
セキュリティ専門家からは批判の声が上がる。取引所が侵害を公表しない判断が、セキュリティ体制への信頼を損なうと指摘する。事件詳細の非開示により、ユーザーは被害範囲を把握できない。さらなる攻撃に対する脆弱性も残ると主張している。
過去にもコインベースで大規模被害
この懸念には根拠がある。過去にコインベースが同様の侵害を受けた際、顧客に年間3億ドル超の損失が発生した経緯があるためだ。
オンチェーン調査員のZachXBT氏は、Crypto.comが意図的に侵害を隠蔽したと非難。同氏によると、同プラットフォームが未公表のセキュリティ問題と関連付けられるのは初回ではないという。
Sponsored同氏のコメントは業界全体の不満を反映している。取引所が評判保護のため、侵害を静かに軽視する傾向への批判だ。
KYCシステムがハッカーの標的に
一方で、この事件は業界が顧客確認(KYC)システムに依存していることへの批判を再燃させた。
匿名のセキュリティ研究者Pcaversaccioは、この問題に対して鋭く反応し、KYC要件がハッカーにとって巨大なデータの蜜壺を作り出していると主張した。
“パスワードは簡単に変更できるが、パスポートはそうではない。彼らはそれをよく知っている。我々は基本的に彼らの監視ビジネスの担保にされているのだ”と研究者は述べた。
この懸念は、規制の枠組みに対する業界全体の懐疑心と一致している。
今年初め、コインベースのブライアン・アームストロングCEOは、銀行秘密法と既存のマネーロンダリング防止規則を時代遅れで効果がないと批判した。
同氏は、企業が意に反して機密データを収集することを強いられていると説明した。彼によれば、これらの要件は、企業や顧客に負担をかけるにもかかわらず、犯罪を防ぐ効果はほとんどないという。
“我々はそれを収集したくないし、顧客もそれを嫌っている。我々は意に反してそれを収集することを強いられている。そして、それは犯罪を防ぐ効果がない。データを見ればわかる”とアームストロングは述べた。
