Coinbase 史上最悪のデータ侵害が発覚: アウトソーシングされたカスタマーサービススタッフが何万件もの顧客データを携帯電話で密かに撮影し、1 枚あたり 200 ドルで販売していた。

元記事:ベン・ワイス、フォーチュン

ユリヤ（PANews）編集

5月、Coinbaseは、ハッカーが数千人の顧客の個人データを盗み出し、それを利用して被害者を騙して暗号資産を渡させようとしたことを公表しました。Coinbaseは、この事件による損失は最大4億ドルに上る可能性があると発表しました。公式には、このハッキングはインドのアウトソーシング会社の内部関係者によるものとされていますが、米国最大の暗号資産取引所であるCoinbaseは、関与した人物の特定をまだ明らかにしていません。新たな裁判所文書により、容疑者の身元と、この事件における彼の役割が明らかになりました。これはCoinbase史上最悪のセキュリティ侵害です。

集団訴訟専門の法律事務所グリーンバウム・オルブランツが火曜日に提出した修正訴状によると、ハッキングはTaskUsの従業員であるアシタ・ミシュラ氏に関連していた。TaskUsはテキサス州に拠点を置く上場企業で、大手テクノロジー企業にアウトソーシングによるカスタマーサービスサポートを提供しており、低賃金労働市場で事業を展開している。ミシュラ氏はインドのインドールにあるTaskUsのサービスセンターで勤務していた。

訴状によると、ミシュラ容疑者は2024年9月から、社会保障番号や銀行口座情報を含む顧客の機密情報を盗み始めた。彼女はこれらの情報をハッカーに売却することに同意し、ハッカーはコインベースの従業員を装って被害者を騙し、暗号資産を送金させた。

2024年9月から2025年1月にかけて、ミシュラともう一人の共犯者は、顧客情報の窃盗にTaskUsの従業員をさらに募集し、「複雑な放射状陰謀ネットワーク」を形成し、TaskUsのコンピューターを介してCoinbaseの顧客データを犯罪者に流用した。訴状には、チームリーダーやオペレーションマネージャーまでが関与していたと主張する元TaskUs従業員の発言が引用されている。

TaskUsがようやく問題に気付いた頃には、ミシュラ氏の携帯電話には1万人以上のCoinbase顧客データが保存されていました。訴状によると、ミシュラ氏とその共犯者は写真1枚につき200ドルを受け取り、時には1日に最大200枚のCoinbase顧客アカウントの写真を撮影していたとのことです。Coinbaseは規制当局への提出書類の中で、最終的に6万9000人以上の顧客が影響を受けたと開示しています。

フォーチュン誌が以前報じたように、この賄賂計画の首謀者は、「ザ・コム」と呼ばれる緩やかなハッカー集団に属する10代から20代前半の若者たちであるようだ。

コインベースは以前、攻撃は12月下旬に発生したと述べていたため、データ盗難が2024年9月に始まったという主張は重要である。

もう一つの注目すべき展開として、TaskUsは今月、外部ベンダーだけでなくCoinbaseの社内従業員もハッキングに関与していたと主張したが、同社はそれ以上の詳細は明らかにしなかった。

事件発覚後、コインベースの広報担当者はフォーチュン誌に次のように語った。「当社は直ちに影響を受けたユーザーと規制当局に通知し、影響を受けた顧客に補償を行い、サプライヤーと社内スタッフの管理を強化し、TaskUsとの提携を解消しました。身代金の支払いは拒否し、代わりに容疑者の逮捕と有罪判決につながる情報提供者に対し2,000万ドルの報奨金を設定しました。」

TaskUsは修正された訴状についてのコメント要請に直ちには応じず、フォーチュンはすぐにはアシタ・ミシュラ氏を見つけることができなかった。

TaskUsは以前フォーチュン誌にこう語っている。「当社は顧客とそのユーザーデータのセキュリティを最優先事項と考えており、世界的なセキュリティプロトコルとトレーニングプログラムを強化し続けています。」

一連の隠蔽

訴状で語られている内容は、今年最大の仮想通貨ハッキング事件の一つであり、コインベースの10年以上の歴史の中で最も深刻な侵害事件について、これまでで最も詳細な説明となっている。

他の原告側の弁護士は、ハッキング事件に関してCoinbaseを提訴しており、Coinbaseはこれらの訴訟を仲裁に持ち込むよう求めてきました。仲裁は歴史的に、企業の経済的損失や悪評を軽減する上で役立ってきました。これが、集団訴訟会社がCoinbaseを直接提訴するのではなく、アウトソーシングプロバイダーであるTaskUsを提訴することを選択した理由かもしれません。

訴訟の中で、法律事務所はTaskUsが「疑惑を知る者を黙らせるための措置を講じている」と非難した。フォーチュン誌が既に報じているように、TaskUsは1月にインドールで従業員226人を解雇した。訴訟では元従業員の発言を引用し、会社がこの思い切った措置を取ったのは、陰謀グループが「TaskUsのシステムに徹底的に侵入したため、会社は関与した者全員を特定できなかった」ためだと主張した。

さらに、TaskUsは2月10日、訴訟で「重大な隠蔽工作」の一環とされている漏洩事件の調査を当初担当していた人事チームを解雇することを決定した。

グリーンバウム・オルブランツ氏による新たな訴訟提起は、コインベースがハッキングを公表してから約2週間後の5月に提出した当初の訴状の修正版である。同社はこれまでにも、航空会社が「窓側席」を販売しながら実際には窓のない壁際に乗客を座らせていたと主張する訴訟など、注目を集めた訴訟を複数起こしている。

コインベースは、この訴訟を同取引所に対するハッキング関連のすべての訴訟に対する統合訴訟に含めるよう求めている一方、タスクアスは、この訴訟を却下し、より広範な統合訴訟への組み込みを阻止する申し立てを提出した。

「修正された訴状は、このデータ漏洩がどのように発生したかについて前例のない詳細を明らかにしており、私たちは引き続き、すべての責任者の責任を追及するために熱心に取り組んでいきます」と、グリーンバウム・オルブランツの共同創設者カーター・グリーンバウム氏は声明で述べた。