5月18日、ブルームバーグはCertiKの共同創設者でコロンビア大学教授のRonghui Gu氏を招き、Coinbaseのデータ漏洩事件についての見解を述べた。同氏は次のように指摘した。「デジタル資産トレーダーは、データ漏洩によるプライバシーの問題を非常に懸念している。資産は秘密鍵だけで転送でき、回復するのはほぼ不可能であるため、犯罪者の主な標的となっているからだ。」この発言は、業界のセキュリティエコシステムの根本的な矛盾を直接指摘しています。つまり、オンチェーン防御技術が絶えずアップグレードされる中で、物理世界からの脅威が新たな弱点となっているのです。
ブロックチェーン ネットワークのセキュリティの全体的なレベルは向上していますが、犯罪者はそこで止まることはありません。代わりに、彼らは常に防御の弱点を探索し、新たな攻撃経路を探します。 CertiKの「Hack3d: 2024 Annual Security Report」によると、フィッシング攻撃はブロックチェーン上で最も一般的かつ最も影響力のある攻撃方法となっており、昨年は約10億5,000万米ドルの損失を引き起こしました。この傾向は、攻撃者が純粋に技術的な脆弱性から、ソーシャル エンジニアリングや物理的な脅威など、より簡単に実行でき、高い報酬が得られる攻撃方法に移行していることを示しています。 Coinbase のデータ漏洩事件や、最近頻発している誘拐などのオフラインの脅威により、単一ポイントの保護では包括的なカバーを提供することが難しい現状がさらに浮き彫りになりました。
セキュリティは、決して一元的な競争ではなく、常に進化し続ける攻撃と防御のゲームです。 CertiK は、テクノロジー企業、政府機関、法執行機関間の連携を含む、より広範なセキュリティ連携ネットワークの構築を求めています。フランス政府がWeb3.0実践者向けに緊急ホットラインを開設したことからもわかるように、オンチェーン防御、データプライバシー保護、物理的なセキュリティ対策を組み合わせることによってのみ、この「デジタルと物理の戦い」に対処できるのです。
以下は完全なレポートです。
Web3.0の大物が誘拐を防ぐために多額の金でボディーガードを雇う
コインベースがハッカーが顧客の自宅住所や口座残高を盗んだことを明らかにするずっと前から、ジェスロ・ピルマン氏は、大量のデジタル資産を保有する顧客の間でボディーガードなどのセキュリティサービスを求める人が増えていることに気づいていた。
ピルマン氏はアムステルダムに拠点を置くインフィニット・リスクス・インターナショナルに勤務しており、同社はデジタル資産保有者への物理的セキュリティとインテリジェンスサービスの提供を専門としている。 Web3.0業界では誘拐事件が頻発しており、デジタル資産保有者の間では懸念が高まっている。先週には、攻撃者グループがフランスのWeb3.0プロジェクト幹部の娘と孫を誘拐しようとした事件もあった。
「問い合わせが増えており、一部のクライアントは長期的なパートナーシップを始めることを選んでおり、不意を突かれることを望まないWeb 3.0投資家も増え、より積極的なリクエストを行っている」とピルマン氏は述べた。 「このレベルの投資と賢明なセキュリティ対策を講じることは避けられないコストだと認識しています。」
Web3.0 投資家が直面する物理的なセキュリティ リスクは、従来の金融顧客が直面するリスクとは異なります。ビットコインやイーサリアムなどのパブリックブロックチェーンネットワークでは、資産を即時かつ匿名で転送できます。つまり、投資家が秘密鍵やアクセス権の引き渡しを余儀なくされると、資金は数秒以内に消失し、回復の可能性はほとんどなくなります。従来の銀行口座が盗まれた場合、法執行機関は通常、口座を凍結したり、その他の措置を講じたりして、被害者が損失を回復できるよう支援することができます。
Coinbase がデータ侵害を受けた後、こうしたセキュリティ上の懸念はさらに高まりました。ハッカーは顧客の名前、住所、口座残高にアクセスできただけでなく、その情報を使って富裕層の顧客の居場所を追跡することも可能になり、物理的なセキュリティ脅威のリスクがさらに高まりました。これはフランスで誘拐未遂事件が起きてからわずか数日後のことである。
コインベースのデータ侵害の被害者数名は、身元を明かすことで自分たちの安全がさらに危険にさらされることを懸念し、ブルームバーグのインタビューを拒否した。
「デジタル資産トレーダーは、データ侵害後のプライバシー懸念に特に敏感になっている」と、ブロックチェーンセキュリティ企業CertiKの共同創業者でコロンビア大学コンピュータサイエンス教授のRonghui Gu氏は述べた。 「秘密鍵が手元にある限り、デジタル資産は瞬時に転送でき、回復することはほぼ不可能であるため、デジタル資産トレーダーは犯罪者にとって格好の標的となっている。」
オンラインセキュリティ対策が強化されるにつれ、一部の攻撃者はより直接的な物理的な脅威に目を向けるようになっています。センチネルのCEO、チャールズ・マリノ氏は、Web3.0業界の急速な発展により、ネットワーク防御を突破することが極めて困難になっており、犯罪者は物理的な攻撃を通じて資産を入手する必要があると指摘した。
「現在、Web 3.0 業界における脅威の状況は非常に深刻です」とマリノ氏は語った。
安全性に対するこうした高い重点は、業界リーダーのセキュリティ支出にも反映されています。 4月の規制当局への提出書類によると、コインベースは昨年、CEOブライアン・アームストロング氏の個人的な警備に620万ドルを費やしており、これはJPモルガン・チェース、ゴールドマン・サックス、エヌビディアといった伝統的な金融・テクノロジー大手のCEOの額をはるかに上回る額だ。
コインベースの代表者はコメントの要請に応じなかった。
Coinbase は、侵害の影響を受けたのはアクティブユーザーの 1% 未満であると主張したが、ハッカーは数か月にわたって顧客の名前、住所、ID 画像、取引記録、口座残高にアクセスできた。インドの顧客サポートスタッフの中には、賄賂と引き換えにハッカーに社内データへのアクセスを提供した者もいた。
犯罪者はこの情報を利用して、一部の Coinbase 顧客を騙し、アカウントへのアクセス権を渡させたり、コインを直接転送させたりしています。従来の銀行でのデータ侵害と同様に、この個人情報はオンライン詐欺や個人情報の盗難にも使用される可能性があります。しかし、長い間匿名で市場に参加してきた Web 3.0 投資家にとって、物理的な脅威は特に心配なものです。
先週パリで起きた誘拐未遂事件では、犯人はフランスのデジタル資産取引所ペイミアムのCEOの家族を標的にしていた。この事件は最終的に阻止されたものの、これは最近起きた一連の同様の事件の最新のものに過ぎなかった。今年1月、フランスのWeb3.0ウォレットスタートアップLedger SASの共同創業者デビッド・バランド氏とそのパートナーは誘拐事件で重傷を負い、バランド氏は指も失った。
この脅威の高まりに対応して、フランス政府は緊急措置を講じ始めました。フランスのブルーノ・リテールロー内務大臣は先週金曜日、 Web 3.0業界向けに優先緊急ホットラインが設置され、 Web 3.0幹部とその家族にセキュリティチェックと保護アドバイスを提供するためにエリート警察部隊が組織される予定であると述べた。
ソーシャルメディアでは、最近のコインベース攻撃とフランス人誘拐事件が幅広い議論を巻き起こしており、多くのデジタル資産トレーダーは近い将来フランスへの渡航を避けると述べた。カンヌで毎年開催されるブロックチェーンカンファレンス「EthCC」も、今夏のイベントに向けてセキュリティを強化した。主催者の広報担当者は、会議では地元警察と協力するだけでなく、複数の部門からなるフランスの法執行機関、特殊部隊、民間警備会社を調整して潜在的な脅威に対処すると述べた。これは主に地元警察に頼っていた前年までの慣行とは異なる。
しかし、こうした問題はフランスに限ったことではありません。ビットコインのセキュリティ専門家ジェイムソン・ロップ氏は長年にわたり、デジタル資産保有者に対する物理的な攻撃に関する公開データベースを維持してきた。今年だけでも、データベースには世界中で20件以上の同様の事件が記録されている。
米国の一部デジタル資産関連企業も、経営幹部向けのセキュリティ投資を増やし始めている。例えば、サークル・インターネット・グループは2024年にCEOのジェレミー・アレール氏の個人的な警備に約80万ドルを費やし、ロビンフッド・マーケッツはCEOのウラド・テネフ氏に160万ドルを費やした。
これらの数字は低くはないが、テクノロジー大手の数字と比べるとまだ見劣りする。 MetaのCEOであるザッカーバーグ氏は昨年、個人のセキュリティに2,720万ドルを費やし、Alphabetのサンダー・ピチャイ氏は820万ドルを費やしており、これはどのWeb 3.0企業よりもはるかに高額だ。
ピルマン氏の会社、インフィニット・リスクス・インターナショナルは、ボディーガードサービスに加え、防弾車両、住宅セキュリティ評価、ソーシャルメディア監視サービスも提供し、顧客がうっかり自分の居場所を明かさないように支援している。
「顧客は、自ら経験するかニュースで見るまでは、脅威の深刻さに気づかないことが多いが、一度気づけば、非常に真剣に受け止める」とピルマン氏は述べた。 「デジタル資産は現実世界のリスクも伴うことを人々は認識し始めている。」
