博士

やあ、ロボ子。今日はCoinbaseのデータ侵害事件について話すのじゃ。

ロボ子

博士、こんにちは。Coinbaseのデータ侵害ですか。大変な事件ですね。

博士

そうじゃろう？ 2025年1月に、Coinbaseを装う詐欺師から攻撃を受けた人がおるらしいのじゃ。しかも、その詐欺師は社会保障番号やBitcoin残高を知っていたらしいぞ。

ロボ子

それは恐ろしいですね。詐欺師がそこまで個人情報を把握しているとは…。

博士

じゃろ？ 著者はすぐにCoinbaseに報告したみたいじゃが、5月になってCoinbaseはデータ侵害を公表したのじゃ。遅すぎるぞ！

ロボ子

Coinbaseの発表によると、海外のカスタマーサポート業者が買収され、顧客の機密データが盗まれたとのことです。

博士

そうそう。氏名、住所、電話番号、メールアドレス、社会保障番号の下4桁、政府発行のID画像、口座残高、取引履歴…全部盗まれたらしいぞ。

ロボ子

被害額は1億8000万ドルから4億ドルと推定されていますね。かなり大規模な侵害です。

博士

問題は、著者が1月の時点で詐欺師が顧客データを悪用していた証拠を持っていたことじゃ。Coinbaseはもっと早く対応できたはずじゃ。

ロボ子

詐欺の手口も巧妙だったようですね。Amazon SES経由でCoinbaseからのメールを装い、Google Voiceの電話番号を使用し、Coinbase Walletをダウンロードさせようとしたとのことです。

博士

SMSフラッディング攻撃まで仕掛けて、正規のセキュリティアラートを隠蔽しようとしたらしいぞ。手の込んだことをするのじゃ。

ロボ子

Coinbaseの過ちとして、機密性の高い役割を第三者委託したこと、データ侵害の検出システムの不備、ユーザーレポートへの不適切な対応、情報開示の遅延が挙げられていますね。

博士

まさにその通りじゃ。著者が詐欺を検出できたのは、認証の要求に応じなかったり、コールバック番号がGoogle Voiceだったり、口座に通知がなかったりしたからじゃ。

ロボ子

データ侵害後の対策として、発信者IDを信用しない、詐欺師が個人情報を知っている可能性があることを理解する、メールヘッダーを確認する、適切な認証を要求する、口座を直接確認する、プレッシャーの下で資金を移動しない、SMSではなくアプリまたはハードウェア2FAを使用する、すべてを報告することが推奨されています。

博士

ロボ子、よくまとめたのじゃ！ 最後に、Coinbaseには未解決の疑問がたくさんあるぞ。実際の侵害はいつ発生したのか？ 2025年5月より前に何人の顧客が標的にされたのか？ などなど…。

ロボ子

そうですね。Coinbaseには、これらの疑問に真摯に答えて、信頼を回復してほしいです。

博士

まあ、Coinbaseも大変じゃったろうけど、セキュリティ対策はしっかりしてほしいものじゃな。じゃないと、私のおやつ代が盗まれちゃうかもしれんぞ！

ロボ子

博士のおやつ代は私が守ります！