ソース:CryptoValleyJournalオリジナルタイトル:Ledger suffers renewed data leak via payment service provider Global-eオリジナルリンク: ## Ledger、決済サービスプロバイダーGlobal-eを通じたデータ漏洩に再び見舞われるハードウェアウォレットメーカーのLedgerは、別のデータ漏洩の影響を受けました。この事件は、同社の決済サービスプロバイダーであるサードパーティのGlobal-eを通じて発生しました。ブロックチェーンアナリストのZachXBTは、セキュリティの漏洩を公表し、フィッシングのリスク増加を警告しました。Global-eは、Ledgerの顧客の氏名や連絡先情報を含む個人データへの不正アクセスを確認しました。ただし、影響を受けたユーザーの正確な数は開示されていません。最初の声明で、Ledgerは自社のインフラが侵害されていないことを強調しました。このセキュリティの脆弱性は、Global-eのクラウドシステムのみに影響していました。リカバリーフレーズ、秘密鍵、ウォレット残高、支払い情報には影響がなく、Global-eはこれらの機密データにアクセスできません。## セキュリティ議論の焦点となるサードパーティプロバイダーのリスクこの事件は、外部サービスプロバイダーを通じたハードウェアウォレット提供者の脆弱性を浮き彫りにしています。Global-eは、自社のネットワーク内で異常な活動を発見し、直ちに対策を開始しました。同社はフォレンジックの専門家を招き、セキュリティ漏洩の範囲を調査させました。分析により、攻撃者が個人データにアクセスしていたことが確認されました。Ledgerは、国際的な支払い処理のためにGlobal-eをeコマースパートナーとして利用しています。このアプローチにより、ハードウェアウォレットメーカーは異なる地域の顧客にサービスを提供できますが、依存関係も生まれます。支払い処理を専門のサービスプロバイダーに委託することは業界では一般的です。しかし、これにより攻撃の範囲が拡大し、顧客データが複数の企業に保存されることになります。漏洩した情報—氏名や連絡先—は、一見、ウォレットアクセスの資格情報よりも重要性が低いように見えますが、セキュリティの専門家はその結果に警鐘を鳴らしています。このデータを使って、攻撃者はLedgerの従業員になりすましてフィッシングキャンペーンを行い、ユーザーにリカバリーフレーズを漏らさせる可能性があります。## データ漏洩後のフィッシングリスクの高まり公開されたデータは、サイバー犯罪者にとって高度なソーシャルエンジニアリング攻撃の土台となります。影響を受けたユーザーは、詐欺メールの増加を予期すべきです。これらはプロフェッショナルに設計されており、正当なもののように見えます。攻撃者は、実際の顧客データが利用可能である事実を利用して信頼を築きます。Ledgerは、過去の事件後すぐに、リカバリーフレーズ、パスワード、認証コードを求めることは絶対にないと警告しています。この基本的なルールは、デジタル資産を守るための中心的な原則です。ユーザーは、敏感な情報の入力を求める通信を、いかに本物らしく見えても詐欺とみなすべきです。セキュリティ研究者は、影響を受けたユーザーに対し、警戒心を高めることを推奨しています。これには、怪しいメールを無視し、未確認の送信元からのリンクをクリックしないこと、リカバリーフレーズの入力を求めるQRコードのスキャンを避けることが含まれます。さらに、可能な限り二要素認証を有効にすることも推奨されます。## Ledgerにおける繰り返されるセキュリティインシデントの歴史今回の事件は、近年Ledgerに影響を与えた一連のデータ漏洩に加わります。2020年7月には、これまでで最も深刻なセキュリティ漏洩が発生しました。攻撃者は、同社のeコマースおよびマーケティングデータベースにアクセスし、約110万のメールアドレスと、氏名、電話番号、住所などの詳細情報を含む272,000人の顧客の情報を侵害しました。盗まれたデータは、最初は販売され、2020年12月にハッカーのフォーラムで公開されました。これにより、フィッシングキャンペーンや恐喝の波が引き起こされました。当時、Ledgerは2か月以内に171のフィッシングサイトを閉鎖したと述べていました。しかし、その影響はデジタル攻撃をはるかに超えました。犯罪者は、暗号資産保有者の公開された住所を使って、物理的な襲撃—いわゆる「レンチ攻撃」—を行います。2025年1月には、攻撃者がLedgerの共同創設者David Ballandとその妻をフランスの自宅から誘拐し、暗号通貨で身代金を要求し、Ballandの指の一つを切断しました。フランス警察は数日間の拘束後、二人を解放しました。この事件は、暗号企業のデータ漏洩が生命に関わる結果を招く可能性があることを示しています。2020年12月には、eコマースサービスプロバイダーのShopifyを通じて別の事件も発生しました。そこでは、腐敗した従業員が2020年4月と6月に顧客の取引データを不正に輸出しました。その後、LedgerとShopifyに対してクラスアクション訴訟が提起されましたが、2021年11月にカリフォルニアの裁判所によって却下されました。2023年12月には、サプライチェーン攻撃を通じてLedgerのConnect Kit JavaScriptライブラリが侵害されました。この短期間で、影響を受けた分散型アプリケーションとやり取りしたユーザーから約50万ドルが盗まれました。この事件は、初めて顧客データだけでなく、直接的な金銭的損失ももたらしました。## 信頼の問題と業界標準繰り返されるセキュリティインシデントは、ハードウェアウォレット提供者の耐性に疑問を投げかけます。Ledgerは一貫して、実際のハードウェアウォレットとそこに保存されている秘密鍵は侵害されていないと強調しています。この製品のセキュリティと企業のデータの分離は技術的には正しいですが、不十分です。データ漏洩の長期的な影響は、継続的なフィッシングキャンペーンに現れます。2020年の漏洩に影響を受けた人々は、何年も後になっても詐欺的な連絡を受け取っています。データは、影響を受けた個人が暗号資産を保有している限り、その価値を保持し続けます。業界にとっては、サードパーティプロバイダーに求められる適切なセキュリティ基準の問題が浮上します。ハードウェアウォレットメーカーは、自社のシステムを保護するだけでなく、パートナーが同等のセキュリティ対策を実施していることを保証しなければなりません。支払い処理やマーケティングサービスのアウトソーシングは、制御が難しい依存関係を生み出します。Ledgerのユーザーは、引き続き同社を信頼し続けるかどうかの判断を迫られます。ハードウェアウォレット自体は、ユーザーがリカバリーフレーズを漏らさなければ、依然として安全と考えられています。しかし、より大きなリスクは、攻撃者がターゲットキャンペーンに利用できる暗号資産保有者としての露出した身元にあります。
Ledgerのデータ漏洩がGlobal-e経由で発生:フィッシングリスクの高まりとサードパーティのセキュリティ懸念
ソース:CryptoValleyJournal オリジナルタイトル:Ledger suffers renewed data leak via payment service provider Global-e オリジナルリンク:
Ledger、決済サービスプロバイダーGlobal-eを通じたデータ漏洩に再び見舞われる
ハードウェアウォレットメーカーのLedgerは、別のデータ漏洩の影響を受けました。この事件は、同社の決済サービスプロバイダーであるサードパーティのGlobal-eを通じて発生しました。ブロックチェーンアナリストのZachXBTは、セキュリティの漏洩を公表し、フィッシングのリスク増加を警告しました。
Global-eは、Ledgerの顧客の氏名や連絡先情報を含む個人データへの不正アクセスを確認しました。ただし、影響を受けたユーザーの正確な数は開示されていません。最初の声明で、Ledgerは自社のインフラが侵害されていないことを強調しました。このセキュリティの脆弱性は、Global-eのクラウドシステムのみに影響していました。リカバリーフレーズ、秘密鍵、ウォレット残高、支払い情報には影響がなく、Global-eはこれらの機密データにアクセスできません。
セキュリティ議論の焦点となるサードパーティプロバイダーのリスク
この事件は、外部サービスプロバイダーを通じたハードウェアウォレット提供者の脆弱性を浮き彫りにしています。Global-eは、自社のネットワーク内で異常な活動を発見し、直ちに対策を開始しました。同社はフォレンジックの専門家を招き、セキュリティ漏洩の範囲を調査させました。分析により、攻撃者が個人データにアクセスしていたことが確認されました。
Ledgerは、国際的な支払い処理のためにGlobal-eをeコマースパートナーとして利用しています。このアプローチにより、ハードウェアウォレットメーカーは異なる地域の顧客にサービスを提供できますが、依存関係も生まれます。支払い処理を専門のサービスプロバイダーに委託することは業界では一般的です。しかし、これにより攻撃の範囲が拡大し、顧客データが複数の企業に保存されることになります。
漏洩した情報—氏名や連絡先—は、一見、ウォレットアクセスの資格情報よりも重要性が低いように見えますが、セキュリティの専門家はその結果に警鐘を鳴らしています。このデータを使って、攻撃者はLedgerの従業員になりすましてフィッシングキャンペーンを行い、ユーザーにリカバリーフレーズを漏らさせる可能性があります。
データ漏洩後のフィッシングリスクの高まり
公開されたデータは、サイバー犯罪者にとって高度なソーシャルエンジニアリング攻撃の土台となります。影響を受けたユーザーは、詐欺メールの増加を予期すべきです。これらはプロフェッショナルに設計されており、正当なもののように見えます。攻撃者は、実際の顧客データが利用可能である事実を利用して信頼を築きます。
Ledgerは、過去の事件後すぐに、リカバリーフレーズ、パスワード、認証コードを求めることは絶対にないと警告しています。この基本的なルールは、デジタル資産を守るための中心的な原則です。ユーザーは、敏感な情報の入力を求める通信を、いかに本物らしく見えても詐欺とみなすべきです。
セキュリティ研究者は、影響を受けたユーザーに対し、警戒心を高めることを推奨しています。これには、怪しいメールを無視し、未確認の送信元からのリンクをクリックしないこと、リカバリーフレーズの入力を求めるQRコードのスキャンを避けることが含まれます。さらに、可能な限り二要素認証を有効にすることも推奨されます。
Ledgerにおける繰り返されるセキュリティインシデントの歴史
今回の事件は、近年Ledgerに影響を与えた一連のデータ漏洩に加わります。2020年7月には、これまでで最も深刻なセキュリティ漏洩が発生しました。攻撃者は、同社のeコマースおよびマーケティングデータベースにアクセスし、約110万のメールアドレスと、氏名、電話番号、住所などの詳細情報を含む272,000人の顧客の情報を侵害しました。
盗まれたデータは、最初は販売され、2020年12月にハッカーのフォーラムで公開されました。これにより、フィッシングキャンペーンや恐喝の波が引き起こされました。当時、Ledgerは2か月以内に171のフィッシングサイトを閉鎖したと述べていました。しかし、その影響はデジタル攻撃をはるかに超えました。犯罪者は、暗号資産保有者の公開された住所を使って、物理的な襲撃—いわゆる「レンチ攻撃」—を行います。2025年1月には、攻撃者がLedgerの共同創設者David Ballandとその妻をフランスの自宅から誘拐し、暗号通貨で身代金を要求し、Ballandの指の一つを切断しました。フランス警察は数日間の拘束後、二人を解放しました。この事件は、暗号企業のデータ漏洩が生命に関わる結果を招く可能性があることを示しています。
2020年12月には、eコマースサービスプロバイダーのShopifyを通じて別の事件も発生しました。そこでは、腐敗した従業員が2020年4月と6月に顧客の取引データを不正に輸出しました。その後、LedgerとShopifyに対してクラスアクション訴訟が提起されましたが、2021年11月にカリフォルニアの裁判所によって却下されました。2023年12月には、サプライチェーン攻撃を通じてLedgerのConnect Kit JavaScriptライブラリが侵害されました。この短期間で、影響を受けた分散型アプリケーションとやり取りしたユーザーから約50万ドルが盗まれました。この事件は、初めて顧客データだけでなく、直接的な金銭的損失ももたらしました。
信頼の問題と業界標準
繰り返されるセキュリティインシデントは、ハードウェアウォレット提供者の耐性に疑問を投げかけます。Ledgerは一貫して、実際のハードウェアウォレットとそこに保存されている秘密鍵は侵害されていないと強調しています。この製品のセキュリティと企業のデータの分離は技術的には正しいですが、不十分です。
データ漏洩の長期的な影響は、継続的なフィッシングキャンペーンに現れます。2020年の漏洩に影響を受けた人々は、何年も後になっても詐欺的な連絡を受け取っています。データは、影響を受けた個人が暗号資産を保有している限り、その価値を保持し続けます。
業界にとっては、サードパーティプロバイダーに求められる適切なセキュリティ基準の問題が浮上します。ハードウェアウォレットメーカーは、自社のシステムを保護するだけでなく、パートナーが同等のセキュリティ対策を実施していることを保証しなければなりません。支払い処理やマーケティングサービスのアウトソーシングは、制御が難しい依存関係を生み出します。Ledgerのユーザーは、引き続き同社を信頼し続けるかどうかの判断を迫られます。ハードウェアウォレット自体は、ユーザーがリカバリーフレーズを漏らさなければ、依然として安全と考えられています。しかし、より大きなリスクは、攻撃者がターゲットキャンペーンに利用できる暗号資産保有者としての露出した身元にあります。