サイトアイコン IT NEWS

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

モバイルバージョンを終了