クラーケンは、サポートスタッフによる限定的な顧客データ閲覧という2件の内部不正を発見し、恐喝未遂に直面している。
同取引所のニック・ペルココCSOは、システムや資産には一切侵害がなく、常に安全であったと強調している。
クラーケン内部関係者の恐喝事件、サポートスタッフに関わるセキュリティリスクの増大を露呈
暗号資産取引所クラーケンは、サポートスタッフが限定的な顧客データを閲覧した内部者アクセスの2件の事案 を公表した。これをきっかけに、犯罪グループによる恐喝未遂が発生した。
同社のCSOは、各アラートに即座に対応したためシステムの侵害や資産流出は一切なかったとしている。クラーケンのセキュリティ更新声明によれば、いずれのケースでも迅速にサポートアクセスが無効化された。
「現在、犯罪グループから恐喝を受けている。要求に応じなければ、顧客データが表示された内部システムの映像を公開すると脅迫されている」と、ペルココCSOは投稿で述べた。
同社によると、今回閲覧された可能性があるのは約2000件、全ユーザーの約0.02%に相当するアカウントに限られる。
影響を受けたユーザーには個別に通知済み。閲覧はサポートシステムのみに限定されており、取引インフラや資金には影響がなかったとクラーケンは説明している。
クラーケン、恐喝要求を拒否
これらの事案は、犯罪グループが内部映像やデータの公開を持ち出し金銭を要求する事態へと発展した。
クラーケンは恐喝に応じず、要求を拒否したとされる。現在は各国の法執行機関と連携し、犯人特定のため十分な証拠を収集済みと明らかにした。
「関与した全ての人物を法の下に裁くべく、複数の管轄で連邦法執行機関と積極的に協力中だ」と同氏は付け加えた。
今回のケースは、暗号資産やテクノロジー企業のカスタマーサポート職員を買収・勧誘しようとする業界全体の課題を反映したものでもある。
これは、2025年のコインベース事件とも類似している。同事件では賄賂を受けた国外エージェントが顧客情報を流出した。どちらのケースでもシステムへの侵入や資産流出はなく、両取引所は恐喝要求を拒否しながら当局と連携した。
業界全体のセキュリティチームは、今回を受けて監視強化とアクセス制御の厳格化を実施している。ゲーム業界や通信分野でも同様の手法が確認されていると業界報告で指摘されている。
一方、一部ユーザーからは、オフショアによるサポート人員の雇用慣行に対し、「地理的な要因がセキュリティリスクの認識に影響する」との指摘も上がる。
「なぜ先進国の人材を雇わないのか。第3世界のサポートスタッフが犯罪者に買収されないことを祈るようなプラットフォームにはお金を預けたくない。銀行も第3世界ではサポート職員を雇わない」と、あるユーザーが意見を述べている。
クラーケンはこうした指摘にはコメントしていないが、主な安全担保はロケーションではなくアクセス制御であると強調している。
