今日の情報が、明日の君をつくる。

ハードウェアウォレットLedgerに不正アクセス発覚=顧客の資金は安全も100万件の個人情報が漏洩

仮想通貨資産を安全に保管できるハードウェアウォレットを開発するLedger(レジャー)は、不正アクセスの被害に遭い約100万件もの個人情報が流出したことを公表しました。

Ledgerで顧客個人情報漏洩

7月29日、Ledger(レジャー)社は公式ブログにて6月下旬から7月にかけ、ウェブサイトへ不正アクセスの被害に遭ったことにより、顧客のメールアドレス約100万件と約9500人の氏名・郵便番号・電話番号・注文情報を含む個人情報が流出していたことを明らかにしました。

当初レジャーのバグ報奨金プログラムに参加している調査員によって7月14日の時点で、マーケティングとEコマースのデータベースに脆弱性が見られるとの指摘を受け、問題を修正しました。

しかしその後の調査により、すでに6月25日には脆弱性を利用したハッカーによってAPIキーを使用して、ユーザーの情報にアクセスしていたことが発覚しました。なお現在はこのAPIキーは無効化されています。

一方パスワードや口座情報などの支払い情報はハッカーによってアクセスされていないといいます。なお、今回の個人情報のハッキングによる顧客の仮想通貨資産に影響はないと保証しており、今回の顧客情報流出事件はレジャーのハードウェアウォレットおよびLedger Liveのセキュリティには関係ないと強調しています。

求められる厳重な対策と対応

レジャー社は「誠に遺憾である」と述べるとともに謝罪とバグが修正済みであることをブログで述べています。

顧客へ個人情報が危険に晒されていることを通知した後、7月17日にフランスのデータ保護機関であるCNIL(情報処理と自由に関する国家委員会)に通知、7月21日はセキュリティーサービス会社Orange Cyberdefense(オレンジ・サイバーディフェンス)と提携し、データ漏洩の潜在的被害の分析および告発状を提出して、全面的な調査の実施を進めています。

またメールアドレスが流出したことにより、顧客へ復旧フレーズで設定したパスワードをレジャーから求めるメールを送ることは無いと強調し、フィッシング詐欺の2次被害に遭わぬよう注意喚起しています。

盗まれた個人情報がインターネット上で販売されているかどうか、積極的に監視していることも明らかにしており、現在そのような悪質な行為の形跡は見受けられないと報告しています。

今回、顧客資産は無事だったものの被害に遭ったユーザーはパスワードなどの再設定を余儀なくされることになりました。また、個人情報がハッカーのもとに渡るのは気持ちの良いものではなく、セキュリティ面の課題も浮き彫りとなりました。