事故から学ぶ

暗号通貨ウォレットにハッキング 100万件の個人情報が流出

事故概要

業種 暗号通貨
発生時期 2020/6/25
漏えい人数 1,000,000
事故概要

暗号通貨ハードウェアウォレット開発企業Ledgerが公式サイトで、数百万件の個人情報が流出したと発表した。流出したのはユーザーの氏名、メールアドレスや住所、電話番号、購入済みの製品情報。一方、支払いデータ、銀行カードや暗号化された口座情報などはハッキングされていないという。
Ledgerによると、ハッカーは6月25日、APIキーを使ってウォレットのデータベースにアクセス。その後の7月14日、ハッカーが攻撃した脆弱性の存在が明らかになった。これを発見したのは、脆弱性の特定を目的とする特別プログラムに参加した研究者。その研究者には報酬はビットコインで支払われる。
同社は、脆弱性はすでに修正されたと発表した。またハードウェアウォレットの利用者には、フィッシング攻撃の可能性に備え、ウォレットへのアクセスを回復するための秘密鍵を口外しないように求めている。
ブロックチェーン分析を専門とするChainalysisは7月28日、ハッキングなどの違法行為に関わったビットコインが89万2000 BTC(約1兆500億円)にのぼると発表した。「汚れた」ビットコインの多くは、盗まれた個人情報などの違法な品物が販売される闇市場で利用されている。

引用元 SPUTNIC

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?

■ 推奨対策

対策:

大量の個人情報を扱う企業は、ありとあらゆるネットリスクにさらされる。一度に大量に漏えいした個人情報を利用した、次の犯罪を誘発することになる。防御態勢に投資をためらう企業は、大量の個人情報を扱う資格はない。

具体例:

すべての手口を防御するのは困難だ、と企業は言うが、やること、やれることも数多くある。タイムリーに適切な手を打つことが求められているので、365日24時間セキュリティレベルの更新を続けていくことである。この程度でいいか、という判断をする企業には大量の個人情報を扱う資格はないので、直ちに廃業すべきである。経営者にはその覚悟が求められる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。