コインベースは、インドのハイデラバードで地元当局が元カスタマーサポート担当者を逮捕したと公表しました。内部の関係者による恐喝スキームを主導した疑いがあり、69,461人のユーザーに影響を及ぼし、最大で3億5500万ドルの事案費用を生じさせました。従業員はサポートツールと内部顧客データへの特権アクセスを悪用し、ソーシャルエンジニアリング攻撃を可能にして顧客の資金を詐取したとされています。コインベースのCEOブライアン・アームストロングは、継続中の調査におけるハイデラバード警察の役割に公に感謝の意を示し、社員の不正行為に対する同社の零容認方針を再確認しました。
メイン州の通知によれば、侵害は2025年5月に初めて発見され、5月14日の事件ファイルには重要な非公開情報の漏洩が記されています。顧客の救済策としては、2025年Q3には4800万ドル、Q2には3億7百万ドルの自発的な払い戻しが含まれており、400百万ドルの上限見積もりのおよそ89%に相当します。この事案の深刻化により、米国司法省による連邦捜査が開始され、運用対応に法的側面が加わり、第三者リスク管理の強化の必要性が強調されました。
この恐喝行為は、盗まれた内部データを用いた標的型のなりすましキャンペーンを利用し、コインベースに対して特権アクセスのプロトコルを強化し、最小権限原則を実施し、高リスク機能に対する多要素認証を強化することを求めました。EUのデジタル運用レジリエンス法(DORA)や英国金融行為規制機構(FCA)のICTリスクに関するガイドラインなどの規制枠組みは、アウトソースされたサービスとデータ保護に対する堅牢な統制の重要性を強調しています。GENIUS法のような立法提案は、暗号資産取引所のコンプライアンス体制の進化をさらに強調しています。
業界のアナリストは、内部関係者による脅威とソーシャルエンジニアリングが結びつき、特にグローバルなサポートチームに依存する企業にとって重要なセキュリティ上の懸念となると警告しています。今回の事案の処理方法は、法執行機関との協力と積極的な顧客アプローチを含み、人的リスクのベクターと技術的統制の交差点について他の取引所のケーススタディとなっています。市場全体の反応は、内部アクセス権の集中を緩和するセルフカストディ(自己保管)ソリューションや、多様化した取引所の利用へと移行する可能性があります。
コメント (0)