米大手暗号資産(仮想通貨)取引所Kraken(クラーケン)は、サポートスタッフによる顧客データへの不適切なアクセスと、それに伴う犯罪グループからの恐喝を受けていることを明らかにしました。同社の最高セキュリティ責任者(CSO)であるニック・ペルココ氏は、システムの根幹や顧客資産の安全は維持されていると強調しています。この事案は、Web3業界における内部不正リスクの深刻化を浮き彫りにしています。
内部ツールを通じた不適切なアクセスと恐喝の経緯
Krakenによると、今回の事案はサポートスタッフが内部ツールを使用して限定的な顧客データにアクセスした、2つの独立した出来事に起因しています。1つ目の事案は2025年2月に犯罪フォーラムでの動画投稿に関する情報提供から発覚し、その後2つ目の事案も同様のパターンで特定されました。
犯罪グループは、スタッフが顧客システムを操作している様子を撮影した動画を所持していると主張し、その公開を武器にKrakenに対して金銭を要求しています。しかし、ペルココ氏は「システムの侵害(ハッキング)は受けておらず、資産も危険にさらされていない」と述べ、犯行グループとの交渉や支払いを一切拒否する姿勢を明確にしています。
影響範囲と対策状況
今回の事案により、限定的なデータが閲覧された可能性があるのは、全ユーザーの約0.02%にあたる約2,000アカウントとされています。露出した情報はサポート業務に関連するデータに限定されており、機密性の高い財務管理権限などには及んでいないと説明されています。
Krakenはすでに対象となるユーザーへの通知を完了しており、関与したスタッフのアクセス権限を即座に剥奪し、解雇したことを報告しました。現在は複数の管轄区域にわたる連邦捜査当局と協力し、犯行グループの特定と逮捕に向けて証拠収集を進めています。
業界における内部不正リスクの重要性
今回の事件は、暗号資産取引所の従業員を標的とした組織的な勧誘や内部不正が、業界全体の新たな脅威となっていることを示しています。犯罪組織は、仮想通貨、ゲーム、通信などのセクターの従業員を組織的に勧誘し、内部情報を入手しようとする傾向を強めているとされています。
ビジネスパーソンにとって、外部からのサイバー攻撃だけでなく、内部スタッフの管理やアクセス権限の厳格化といった「インサイダーリスク」への対策が、プラットフォームの信頼性を維持する上で極めて重要であることを再認識させる事例となりました。
ポイント
- Krakenのサポートスタッフが内部ツールを介して約2,000件の顧客データに不適切にアクセスしました。
- 犯罪グループがその際の動画を元に恐喝を行っていますが、Krakenは支払いを拒否し、捜査当局と協力しています。
- ニック・ペルココCSOは、取引システム自体の侵害や顧客資産の流出は一切ないと明言しています。
- 事件の背景には、犯罪組織による暗号資産交換業者の従業員への組織的な勧誘リスクがあると見られています。
- プラットフォーム運営における内部不正対策と、迅速で透明性のある情報公開の重要性が改めて注目されます。