読み込み中...
ja
セキュリティ

Coinbaseは5月のデータ流出をどのように回避できたか?

大手ブロックチェーン・セキュリティ企業がゼロトラスト・アーキテクチャへの移行を示唆

  • 編集済み: Aug 22, 2025 at 17:39

2025年5月に起きたCoinbaseのデータ流出は、暗号の最も恐ろしい悪用は、必ずしも無名のDeFiアプリケーションのコードの中で起こるわけではないということを痛感させるものでした。

プログラミング・ロジックにおける冷徹で計算されたハッキングとは異なり、ソーシャル・エンジニアリングは私たちの最も人間的な脆弱性を突きます。

ブロックチェーンセキュリティの大手企業であるCertoraは、中央集権的な取引所はユーザーを保護するためにもっと努力する必要があると主張している。最近のレポートの中で、Certoraは安全なOpSecの実践の重要性を概説し、Coinbaseがどのようにして5月のデータ流出を未然に防ぐことができたかを提案しています。

Coinbaseの5月のデータ流出は69kユーザーを危険にさらす

2025年5月、犯罪者はCoinbase’のオフショア契約者グループを買収し、パスポート、銀行識別子、マスキングされた社会保障番号のような非常に機密性の高い顧客データを取得した。

Coinbaseの最初の情報開示によると、流出が影響を及ぼしたのは、毎月の取引を行っているユーザーの1%未満でした。メイン州司法長官事務所によると、規制当局の報告文書は、この事件によって69,641人もの人々がソーシャル・エンジニアリング攻撃の危険にさらされていることを確認しています。

驚くべきことに、2024年12月の時点で機密データが流出していたことが報告されている。2025年5月11日に情報漏洩が発覚する前に、どの程度の被害が発生していたかを知ることは不可能だ。コインベースはその後、犯罪者に狙われ、資金を失った顧客の損害を全額補償した。

たとえ自分が暗号のベテランだとしても、データ流出が引き起こす被害から免れることはできない。Solana Labsの共同設立者であるRaj Gokal氏は、おそらくソーシャル・エンジニアリング詐欺に騙されたわけではありませんが、インターネット上で個人情報を共有されたことを快く思っていないことは確かです。

コインベースがすべきこと

ブロックチェーンセキュリティの大手企業であるCertoraは、ソーシャルエンジニアリングは悪意のある行為者が利用できる最も簡単な攻撃ベクトルの1つであると指摘している。経験豊富な詐欺師にとって、慣れていないけれども暗号に興味がある層は、手近な果実なのだ。Coinbaseの従業員であると誰かを説得し、彼らのアカウントの安全を確保する手助けをすることができるのであれば、監査された強固なプロトコルの隙間を見つけようとする必要はありません。

投資家はあるレベルまで自分自身を教育する責任がありますが、Certora氏は、取引所はゲームをアップグレードし、悪意があろうとなかろうと、脆弱なインサイダーは危険にさらされやすいという事実を考慮する必要があると主張しています。

Certoraは、Zero Trust Architecture(ZTA)と呼ばれるOpSecムーブメントの機運の高まりを支持しています。簡単に言えば、ZTAはチームが安全なバブルとして会社のネットワークを信頼することをやめることを要求している。リモートワーク、クラウドアプリ、そして不正なフィッシングによって、セキュリティ境界は多孔質で安全ではありません。

取引所は、従業員がOpSecの失策に脆弱であることを認識し、各機密リソースを独自のアクセスルールとチェックでロックする必要がある。すべてのリクエストは検証され、必要最小限のデータしか与えられない。そうすることで、1つの侵害されたアカウントが歩き回ったり、被害を拡大させたりすることがなくなります。

Coinbaseの例に戻ると、Certoraは海外の請負業者に与えられたアクセス権限と機密データの可視性について、正当な指摘をしている。顧客サポート担当者が、ユーザーのパスポートはもちろん、マスキングされた社会保障番号や包括的な口座履歴にアクセスできる理由はありません。

ソーシャルエンジニアリング攻撃から身を守る方法

Coinbaseが今回の件でボールを落としたことは明らかだが、それでも個人はセキュリティ慣行について自分自身を教育することが強く推奨される。投資家が自己保管の見通しに怯えているとしても、中央集権的な取引所に資産を保管する人は、いくつかの黄金で破られないルールから恩恵を受けるでしょう。

  • インバウンドコンタクトを信用しない - どの取引所も、パスワード、2FAコード、またはシードフレーズを尋ねて連絡してくることはありません。このような情報を求めてくる人は悪意があると思ってください。

  • 以下のようになります。

    引き出し許可リストを設定する - 管理している特定のアドレスへの引き出しのみを有効にし、それ以外はデフォルトでブロックします。

    • 以下のようにします。

    指定された暗号アカウントを使用する - すべての暗号アクティビティに一意の電子メールと連絡先番号を使用します。これにより、攻撃ベクトルの表面積が減少し、ハッカーはスピアフィッシングやなりすましに十分なデータを簡単につなぎ合わせることができなくなります。

  • 引き出し限度額を設定する - 口座が侵害された場合、ハッカーがあなたの資産を一挙に盗むのを防ぐのに役立ちます。たとえ数時間でも、すべてを失うか、時間内にアカウントをロックするかの違いになります。

    • 2025年におけるクリプトの盛んな成長と採用は、業界にとって非常に有益です。しかし残念なことに、何百万人もの新規ユーザーと投資家の流入は、悪意のある行為者にとっては食欲をそそるものです。取引所は、ユーザーを保護するために、ゲームを持ち上げる必要があります。さもなければ、業界は、Coinbase’の最近の失態のようなセキュリティリークによって引き起こされる風評被害を克服することはできません。

    ソラナフロアについてもっと読む

    プロップAMMがソラナデフを席巻

    HumidiFiがソラナ最大の取引量を誇るDEXに

    暗号セキュリティの要点

Solana Weekly Newsletter

タグ

関連ニュース