ビットコインATMを運営するコインクラウド社は2月以来倒産しているが、その機械がハッカーに悪用されたと言われている。これにより、30万件の個人情報と7万件の自撮り写真が盗まれたと言われている。事実かどうかは別として、このケーススタディは学ぶべき教訓に満ちている。
ハッカーがCoin CloudのビットコインATMを狙ったと報告
。
ビットコイン(BTC)やその他の暗号通貨用の現金自動預け払い機(ATM)は、エコシステムに参入するためのシンプルで斬新な方法であり、世界中の様々な国で見かけることができる。
しかし、そのようなサービスを提供する企業の一つであるCoin Cloudが昨年2月に破産を申請した一方で、vx-undergroundのサイバーセキュリティ専門家は、ハッカーが数千人のATM顧客の個人情報を盗むことに成功したことを明らかにした。
以下のツイートで共有されているスクリーンショットが示唆するように、この個人情報は合計で30万件、7万枚の自撮り写真に相当する。
An unknown Threat Actor(s) claim to have compromised Coin Cloud.
彼らは、7万人の顧客の自撮り写真(ATMカメラ経由)と、社会保障番号、生年月日、姓、名、電子メールアドレス、電話番号、…を含む30万人の顧客の個人情報を流出させたと主張している。pic.twitter.com/TJ7RUK18Yq
– vx-underground (@vxunderground) November 12, 2023
Theブロックの同僚から連絡を受けたvx-undergroundチームは、ハッカーまたはハッカーがこの情報をプライベートチャンネルで共有しており、「流出したデータベースは間もなくオンラインで利用可能になる可能性がある」と説明した
。
この
からどのような結論が得られるだろうか?
まず第一に、我々はこの情報から一歩引く必要がある。実際、より詳細なソースがなければ、その信憑性を証明することは難しい。とはいえ、それが事実であろうとなかろうと、この事件は非常に興味深い問題を提起している。
暗号通貨を購入する場合、中央集権的な取引所と同様に、国によってはKYC(Know Your Customer:顧客確認)の本人確認が必要になることがある。
このプロセスには法的な正当性があるものの、それでも多数の中央集権的なプレーヤーによる大量の個人データの収集が伴う。さらに、これらのデータベースが保存され、保護され、使用される方法は比較的不透明である。
ハッカーは主に彼らのサービスを通過するお金を盗むことに関心があるが、個人データも同様に価値のある戦利品である。ATM Coin Cloudのハッキングが証明されれば、犯罪者はフィッシングに悪用できる非常に詳細な取引履歴を手に入れることになる。
そうなれば、犯罪者たちは関係する投資家に手紙を書き、例えば、セキュリティ対策として、「こんな日に、こんな時間に、こんな町の、こんなATMコイングラウドで」購入した暗号通貨について何らかの措置を取るべきだと伝えることが可能になる。この行為は、罠にはまった人々にとっては、暗号通貨を盗まれる結果となる。
さらに、これらの人々が暗号のエコシステムに精通していることを知っているため、別のフィッシングの試みでは、彼らを騙して悪意のあるプログラムをダウンロードさせ、安全でない秘密鍵を持つウォレットをコンピュータでスキャンさせようとする可能性もある。
このように、個人データの流出は直接的に金銭を盗むものではないが、悪意のある人物によってどのように利用されるかを認識しておくことは重要である。セキュリティ・システムにおいて、人的要因は最も弱いリンクであることが多いため、これは事実上、数多くのソーシャル・エンジニアリング手法への扉を開くことになる。