著名なハードウェアウォレット提供企業であるLedgerは5日、新たなセキュリティインシデントに見舞われたと報じられている。ブロックチェーン調査者ZachXBT氏が、サードパーティの決済プロセッサーGlobal-eを通じて、顧客の個人情報が漏洩したと明らかにした。
今回の新たな流出は暗号資産のセキュリティへの懸念をさらに強めるものであり、数日前にはTrust Wallet利用者で未承認の資金流出が発生、さらに数時間前にはMetaMask利用者が攻撃を受けている。
SponsoredGlobal-e社の情報流出でLedger利用者データ漏洩
ZachXBT氏によると、被害を受けた利用者宛てのメールから、氏名や連絡先情報が不正アクセスされたことが判明した。Ledger社は報道によれば、Global-eに関連するクラウドインフラの一部で異常な動きを検知したと認めている。報告によれば、同社は迅速に事態の封じ込めに動いた。
同社は外部のフォレンジック(鑑識)専門家も招へいし、原因解明とシステム保護に取り組んでいる。
ウォレットの資金や秘密鍵が漏洩した証拠はない。ただし専門家は、被害にあった顧客はフィッシング攻撃や詐欺のリスクが高まると警告する。なぜなら、漏洩したデータがソーシャルエンジニアリング攻撃に悪用される恐れがあるためである。
Ledger社のインシデントは、決済や物流で外部業者に依存するリスクを浮き彫りにする。サードパーティが機微な顧客情報を管理することで、攻撃対象となる面積が広がる現実。
パートナー企業の継続的な監視と厳格な審査は、個人情報と業界全体の信頼を損なう事態を防ぐために不可欠。
Sponsored暗号資産業界のセキュリティ低下か
今回の流出はLedgerが2020年に経験した事件を想起させる。当時、攻撃者がECおよびマーケティングデータベースへ不正アクセスし、数十万ユーザーの個人情報が流出した。
その際は大規模なフィッシング攻撃も発生し、ユーザーはリカバリーフレーズや暗号資産を奪う詐欺的手法の標的となった。
こうしたインシデントの連続は、Ledger社に対し、ベンダー管理、社内のセキュリティ対策、そして利用者自身による資産防御の教育強化を求める圧力となる。
一方で、本稿はMetaMask利用者が攻撃を受けてからわずか数時間後に報じられている。BeInCryptoによれば、悪質な攻撃者は2要素認証(2FA)を装うフィッシング詐欺を展開し、ユーザーのシードフレーズを盗み取っている。
Ledger社の流出事件も、Trust WalletのChrome拡張機能ハッキング事件から2週間足らずで発生した。Trust Walletの事件では、およそ700万ドル分の利用者資金が影響を受けた。この事案を受け、バイナンス創業者のチャンポン・ジャオ氏は内部関与の可能性も示唆した。
調査により、アップデート提供のパイプライン、認証情報管理、サードパーティ依存性といった領域の脆弱性が浮き彫りになった。
これら一連の出来事は、業界に構造的な弱点が存在することを示す。サプライチェーンリスク、拡張機能を利用した攻撃、ベンダー流出が、ウォレット事業者にとって主要な懸念事項となっている。
暗号資産の普及が進むなか、業界は利便性と安全性のバランスを取り続けている。一方で、攻撃者はチェーンの最も脆弱な部分を執拗に狙い続けている。
