Coinbaseの情報漏洩、公表数ヶ月前から把握していた証拠! 衝撃の録音データが存在か
引用元:https://news.ycombinator.com/item?id=45948058
Reutersの6月2日の記事と5月14日のSEC提出書類へのリンクがあるよ。
Coinbaseは、アウトソーシング会社の顧客データ漏洩を1月から知ってたって、事情を知る6人がReutersに話してる。これは4億ドル規模の侵害に関連してるらしい。2025年5月11日、Coinbaseは身元不明の攻撃者から、一部のCoinbase顧客アカウント情報や内部文書を入手したというメールを受け取ったんだって。
Reuters記事:https://www.reuters.com/sustainability/boards-policy-regulat…
SEC提出書類:https://www.sec.gov/Archives/edgar/data/1679788/000167978825…
へー、すごい興味深いね…。俺がCoinbaseに通報したのは1月7日だから、その日付と一致するよ。多分俺が最初の通報者じゃないと思う。電話で話した相手が、初めての通報ではありえないくらい自信を持ってたんだ。
「アウトソーシング会社」って見出し、こういう話ではよくあることになりそうだね。
たぶんビジネスプロセスアウトソーシング(BPO)企業だろうね。彼らは有名企業と契約して、サイバーセキュリティの実践について嘘をつき、捕まったらブランドを変えるんだ。
ハッキングの格好の標的に聞こえるね。
金を渡せば欲しいものが手に入るのに、わざわざ時間と労力を使ってハッキングする意味ある?
1ヶ月前くらいにUKでCoinbaseを名乗る人から電話がかかってきたんだ。俺はアカウントに5ポンドのBitcoin Cashしか持ってないって言ったら(本当の話)、相手はすぐに興味を失って、後でメールで対応するって言ってたよ。彼らはコールドストレージを持ってるか聞いてきたから、冷蔵庫を持ってるって答えたよ(これも本当)。
俺の年配の友人がCoinbaseのセキュリティアラートをずっと受け取ってるんだ。言うまでもなく、彼女はCoinbaseを使ったこともないし、仮想通貨も持ってないんだけどね。
ハハハ、これ、今度スパム電話があったら使わせてもらうわ!
これ、証拠には見えないな。筆者はフィッシング電話を受けて報告しただけじゃん。Coinbaseにはフィッシングの苦情がいっぱい来てるだろうし、犯人が口座詳細を知ってても珍しくないよ。顧客がうっかり漏らすこともあるし、他のデータ漏洩から情報が流れてる可能性もある。Coinbaseは、また顧客が自分のデータをうまく管理できてない、くらいに思ったんじゃないかな。フィッシングはすごく広まってるから、筆者が別の攻撃に遭ったとしても驚かないね。
最初に思ったのは、ブロックチェーンの取引を俺の名前に紐付けて逆探知したのかなって。でも、ETHとBTCの残高、それに口座開設日も知ってたんだよね。開設日はブロックチェーンを見ればわかるかもしれないけど、Coinbaseのシステムが漏洩してなきゃ、全然関係ない二つの仮想通貨の残高までどうして知ってるのか全く理解できないよ。
>二つの仮想通貨の残高をどう知ったか分からないって?
選択肢はたくさんあるよ。マルウェア、エビルメイド攻撃、ショルダーサーフィン、メールアカウントの乗っ取り、印刷物の不適切な廃棄、以前のフィッシング攻撃、うっかり開示しちゃったとかね。
確かに、それらを完全に排除はできないね。俺はiPhoneでアクセスして攻撃対象領域を制限してるし、情報は印刷したこともないし、メールにもなかったし、第三者に開示したこともないよ。
あとさ、君はCoinbaseの残高をソーシャルメディアに晒したりしないと分かってるけど、何万人もの顧客はそうじゃないだろ?
君が提供したメールの分析からすると、その報告は真剣に受け止めるべきだったのは確かだけど、Coinbaseは昔ながらのOSINTとか個人のプライバシー管理の悪さで得られた個人情報に関する「侵害」の報告メールを山ほど受け取っててもおかしくないんだよ。
電話があったかは知らないな(連絡先を保存してない番号には出ないことが多いから)。でも、Coinbaseを装ったフィッシングメールはもう何年も前から来てるよ。全然新しいことじゃない。攻撃者は単にブロックチェーン上の取引を追跡してるだけかもしれないし。
昔、Coinbaseが入ってたシェアオフィスビルのネットワークの仕事をしたことがあるんだけど、初期に管理パスワードがホワイトボードに書かれてるのを見つけたんだよ。壁がガラスだから廊下から丸見えでね。だからメールで削除するよう伝えたんだ(もちろん請求したけど)。
彼らの対応は、パスワードの上に紙を貼るだけだったよ。
なんという時代だ。
これは全然驚かないね。Bitcoin、というかフィンテック全体が、とんでもなく無謀すぎるよ。
Bitcoinは仮想通貨、ブロックチェーンだよ。Coinbaseはユーザーが仮想通貨を売買できる企業だ。Bitcoinは2008年の無謀な銀行みたいに政府の救済はないからね。
そう言うけどさ、俺フィンテックで働いてるんだよ(買収後の大手で企業的なとこだけど)。うちはめちゃくちゃ規制されてるし、監査も入ってるからね。
「Bitcoinには政府の救済がない」って言われてるけど、もし政府が暗号通貨にガッツリ投資してたら、何かあった時に助けに入る可能性は十分あるんじゃない? 信じられないことじゃないだろ?
Bitcoinは2100万枚のハードキャップがあるから、政府みたいに紙幣を刷って企業を救済できない。もし政府が紙幣を刷れば、それは紙幣の価値を下げてBitcoinの価値を上げる。だからBitcoinはインフレヘッジなんだよ。
「Bitcoinに政府の救済はない」って言うけど、一番有名なBitcoinのブロックチェーンが将来変わる可能性は十分あるし、「本物のBitcoin」っていうのも変わるかもな。Bitcoinだって政治的なゴタゴタからは逃れられないよ。
「それで削除するようにメールしたんだ、請求書も送ってね」ってさ。頼まれてもいないことに勝手に請求書を送ったら、誰もあなたのメールをまともに相手にしなくなるのは当たり前だろ。
GPはCoinbaseの既存ベンダーだった(ネットワークとかIT設定を担当してた)。そんなベンダーの行動を許すかは別として、既存契約があるなら「ネットワークの問題を見つけて文書化して報告した」ってことで数時間分の請求を追加するのは、そんなに無茶な話じゃないと思うけどな。
Bitcoinはこれまでに何度かフォークしてるんだ(https://en.wikipedia.org/wiki/List_of_bitcoin_forks)。どのフォークが成功するかは、ノードランナーやマイナーがどっちにリソースを投入するかで決まるんだよ。政府はBitcoinを不安定にしようと必死だけど、分散型台帳だから、もし操作されてもユーザーはダメージを受ける前からフォークして続けられる。これが分散型ブロックチェーンの強みさ。
「Bitcoinは2100万枚の上限がある」って言うけど、Bitcoinは自然の法則じゃないだろ。もしコインの上限に達したら、マイナーが上限を上げたフォークを動かせばいいだけだよ。そうすれば、また新しいコインが作られちゃうだろ? 本当の希少性が欲しいなら、物理的に希少なものに紐付ける必要があるね。
ああ、彼らがBitcoinをハッキングした時のこと、全部覚えてるよ。
権力は銃口から生まれるんだ。
どうやったらできるのさ?ビットコインの最大のポイントは、コンセンサス変更を強制できないことだろ。これはアルゴリズムと熱力学の法則によって守られてるんだから。
それは素晴らしい逸話だね。嘘だとは言わないけど、Coinbaseが安全ネットゼロの環境で、最も狙われやすい標的の一つでありながら、顧客資金を失ったことがないのは確かに事実だ。今回の顧客データ漏洩は、彼らが秘密鍵と同じくらいそのデータを大切にすべきだと示唆してるね。
もっとコメントを表示(1)
マイナーは完全にフォークを掘り始められるよ。実際、今日からでもできるだろうけど、誰もそのフォークを使わなきゃ意味がないんだ。そしたら彼らは、採掘装置への数億ドルの投資を無駄にしちゃうからね。ノードオペレーターもビットコインではマイナーと同じくらい重要な役割を果たしてるんだ。
でもイーサリアムには政府*の救済があったよ。https://en.wikipedia.org/wiki/The_DAO イーサリアムの政府はアメリカ政府じゃないけどね。
君はそう言うけど、俺はフィンテックで働いてるんだ(まぁ、買収された後の大手企業だけどね)。うちも厳しく規制されてるし、監査も入る。フィンテックでとんでもないものを見てきたよ。
ここにハッキングのすごいインデックスがあるぜ。https://www.web3isgoinggreat.com/?theme=hack これだけ頻繁に起こってるなんて、本当に驚くばかりだよ。
そうだ。だからこそアメリカ合衆国憲法修正第2条は超重要なんだ。政府が権限を乱用しないように、ってことを思い出させてくれるんだから。
君が挙げた記事には政府の救済なんて書いてないよ。チェーンはコミュニティによってハッキング前の状態にフォークされて、ほとんどのユーザーがこのフォークに切り替えて、それをイーサリアムって呼び続けたんだ。
Coinbaseのセキュリティ問題に対して、PlaidやStripeみたいなセキュリティにめっちゃ力を入れてる会社なら、もっと早く対処できたんじゃない?って話だよ。そういう会社は先回りして対策するからね。
https://security.plaid.com/
https://docs.stripe.com/security
俺、イギリスの金融機関で働いてるんだけど、何回もYubikeyとかカスタム認証アプリの導入を提案したのに、英国のどの銀行も対応してないんだよ!セキュリティはそこそこ良いけど、まだ全然足りてないって感じだね。
それって、銀行がハッキングされても「ドルがハッキングされた」って言わないのと同じじゃない?
もしマイニングパワーが別のチェーンに移ったら、それが新しいBitcoinになるって話だね。具体的な方法は分からないけど、今のBitcoinを支える大金とか、関係者の思惑が絡んでるはず。何かヤバいことが起きたら、みんな他のものに乗り換えちゃうかも。2010年の脆弱性チェーンでマイニングしてる人はいるだろうけど、主流じゃない。状況次第でマイナーは変わるだろうね。
「紙幣の価値を下げる」って言うけど、Bitcoin保有者が救済されるってことは、Bitcoinの価値が下がったってことじゃないの?「ヤバい奴らがBitcoinの価値を吊り上げてたのがバレた」みたいな。米国政府が、米国人のBitcoinをUSDで救済して、その後はBitcoinを米国で禁止するかもね。そうなると、米国以外のBitcoin保有者は超大変。まず米国で大暴落が起きて、政府に助けを求める。次に米国市場が消滅して、売りが殺到するか政府に没収されて、さらに価格が下がるだろうね。
多くのフィンテック企業がセキュリティをマジで真剣に考えてるのは間違いないよ(俺もStripe使ってるし)。でも、「うちは厳しく規制されてて監査も受けてるから大丈夫」っていう発言とは関係ないと思うんだよね。あれはちょっと笑えるわ。
契約外のことで請求するのはおかしいって話だよ。請負業者が頼んでないのに「問題見つけて報告したから請求するね」とか言うのは、普通は契約違反。短いメールでも1時間とか請求するんだからね。俺の経験上、請負業者が自分から動いて新しいことの請求を始めたら、そいつらはこっちから金を巻き上げようとしてるってこと。良い業者ならそんなことしないよ。
この見出しは完全にクリックベイトだよ。「録音」はフィッシャーが著者から情報を引き出そうとしたもので、Coinbaseが情報漏洩を知ってた証拠にはならない。著者がCoinbaseに報告したからって、Coinbaseが自社の情報漏洩を把握してたってことにはならないし、顧客が他の方法で情報漏洩した可能性もあるからね。
俺がCoinbaseに録音とメールを送ったら、彼らは「このレポートはとてもよくできていて、調べるべきことがたくさんあります。今、詐欺師を調査中です」って認めたんだ。
録音はCoinbaseが何を知ってたか証明してない。俺はタイトルがクリックベイトだって意見を支持するよ。だって、二つの点で誤解を招くからね。一つは、Coinbaseが知ってたことを証明するのは録音じゃなくてメールなのに「録音が証明する」って書くと大げさに聞こえるでしょ?もう一つは、メールで証明されるのはCoinbaseが「特定のユーザーへの高度な攻撃を認識してた」ってだけで、大規模なデータ漏洩があったって証明するには情報が足りないんだよ。Coinbaseのアカウントって価値があるから、個人への高度な攻撃は常に起きてるんだし。
記事の情報収集と報告はナイスだけど、情報源がCoinbaseだってどうして分かるんだ?あなたも原因の可能性があるし、他にもいるかもだろ。あ、ごめん、このURLでちゃんと説明してるじゃんか。https://news.ycombinator.com/item?id=45948808
記事はAIが書いたっぽいな。Coinbaseがどうやって情報漏洩を知ったのかは全然書いてなくて、どうでもいい詳細ばかりだ。
記事読んでねーだろ。お前が探してることはそこにちゃんと書いてあるぞ。
面白い話だけど、AIで書いたのがめっちゃムカつくわ。読みにくすぎ。
どうしてAIだって分かるんだ?LLMは誰とも違う話し方だけど、誰かみたいには話すんだよ。人間の話し方を真似してるから、もしかしたら誰かの声が盗まれてるのかも。昔のLLMはWikipediaのスタイルを真似てたからAI認定されがちだったし、今のLLMも誰かのスタイルを真似てる可能性が高いと思うんだ。
いろんな視点や詳細な分析記事を書くと「ChatGPT使った?」って聞かれがち。みんな短く分かりやすい返信に慣れて、それが人間的だと混同してるみたい。「人間がそんなに頑張るなんてありえない」ってか皮肉。
でも他の記事はAIっぽいな。絵文字多すぎ、箇条書きだらけ、短いセクション多すぎ、AI生成っぽいアートとか。この記事でAI使われてたとしても、他よりマシだけど。
首尾一貫してるって?読みにくいよ。Brett Farmerのことや「4ヶ月」のこと、BTC残高とSSNを知ってたって3回も繰り返したり、Google Voiceの番号だったって何度も言ったり、記事が同じこと何度も繰り返しすぎだろ。
私もAIっぽいと思ったよ。エムダッシュ(標準じゃないけど)とか、「XだけじゃなくYだ」っていう結びのフレーズが多かったな。言葉にするのは難しいけど、記事に大袈裟な感じもある。記事が悪いってわけじゃない、かなり良いと思う。でもAIの兆候はあるよ。
LLMに文句言ってる人たちの投稿みたいだな。もちろん、そういう人たちと違って、LLMは新しいテクノロジーへの不満を大声で言い続けるだけじゃなくて、多様な会話に意味のある価値を加える新しいアイデアも表現できるけどね。
LLMは文章作成や関連付け、たまにはちゃんとした洞察もできるけど、時間の無駄になるようなひどいものもまだ作るよね。第三者にLLMの出力を見せるなら、それがちゃんと前者で後者じゃないことを確認する義務があるよ、特にノーチェックのLLM出力だって断りなしならね。
著者だけど、この記事はAIを使ったよ。漠然と書かせたわけじゃなく、電話の文字起こし、メール確認、ニュース調査、構成、執筆、校正までAIに手伝ってもらったんだ。30分で1日分の作業ができて、まるでスタッフライターがいるみたい。20年前はブログしてたけど、今はAIなしじゃ書けないから、AIはすごく助かる。AI特有の表現もあるけど、僕はこのやり方で問題ないと思ってる。内容が薄いAI記事は嫌だけど、すべてがそうじゃないからね。
読者にメールヘッダーの解析にChatGPTやClaudeを使えって言うのは変じゃない?まるで「見ればわかるだろ」って言ってるようなもんだよ。
このコメントの意味がわからないな。僕はAIが詐欺メールの危険な兆候を見つけるのにすごく役立つツールだとわかったから、それを共有したかったんだよ。
彼がAIで書いたのかは知らないけど、同じことを何度も繰り返してるよね。記事の長さは1/3でも同じ情報量が伝わったはずだよ。
もっとコメントを表示(2)
LLMに関する何の価値もない愚痴の投稿より、大手企業の実際のセキュリティインシデントに関する詳しいブログ記事の方が、はるかに時間の無駄にならないよ。その記事は無料だし、誰も読むのを強制されてない。LLMで要約してもいいんだからね。LLMで書かれた記事に文句言うのは、自分で読むことを選んだのに文句を言ってるようなもんだ。著者と読者の間に契約なんてないんだから。無料のスープを飲んでおいて塩辛いって文句言うのと同じだよ。
もちろん読むことを強制する奴はいないさ。でも、ここは知的議論のためのコンテンツを共有するサイトだよね?だから、同じようなゴミ記事がラベルなしで投稿されてて、記事の途中でそれがわかったら、時間を無駄にしたってイライラするよ。君のスープの例えを使うなら、ここはレストラン共有サイトだとして、新しいKoreanの店が人気だから行ってみたら、結局いつものAlのまずいスープが出てくるようなもんさ。その場合、「あー、ここもAlのひどいスープだよ」ってコメントを残すのは全然おかしくないでしょ。
このブログ記事は人間の言葉じゃない、典型的なAIの駄文だね。(へへ、ごめん。)冗長すぎて要点が伝わらないし、箇条書きやemダッシュの使いすぎ、「私が報告したこと/Coinbaseが間違ったこと」って表現とか、全部が駄文臭いんだ。一度これらの微細なパターンに気づくと、もうそうとしか見えなくなるよ。これらの特徴をまとめたチートシートを作ってあげようか?
単に文章が下手な人もいるってだけだよ。
AIが書いた文章って、完璧すぎる文法、繰り返しの言葉、視点の変化がない、やたらem-dashを使う、当たり障りのない意見が多いとかの特徴があるよね。人間らしい文章には間違いや独特の言い回しがあるんだよ。
LLMについて知らないだけじゃない?LLMが絵文字付きコードを出すのは、人が本当にそうしてるからじゃなくて、LLMを強化学習でそうさせた結果だよ。過剰な箇条書きも、バカな人たちが「これがいい」って思ってることの表れなんだ。
無料のスープキッチンで文句を言うのは筋違いだよ。もっと美味しいものが欲しいならレストランに行けばいい。慈善行為にケチをつけるなんて、自己中心的で傲慢だよ。
記事が長すぎて読者の時間を無駄にしてるよ。AIで文章を良くするのはアリだけど、無駄な言葉で水増しするのは社会的なルール違反じゃないかな。AIで要約させられるように、せめて免責事項を付けてほしい。
ChatGPTの出力って毎回違うし、モデルもどんどん変わるから、たとえ専門家でもその正確性は保証できないよ。詐欺メール判別とかに使うと、間違った情報を教えてしまって、あなたの信用が落ちる可能性もあるよ。
モデルの種類によって使い分けが大事だね。ChatGPT 4は大学生、ChatGPT 5.1 Proはベテラン専門家みたいに考えてるよ。Pro版ならこういう質問にも信頼できるし、結果が毎回違っても方向性は変わらないから大丈夫だよ。
ソースの真実性も大事だけど、記事の文体も気になるよね。AIが書いたような文章って、やたらと大げさで冗長なのに、普通の段落が少ないから、読むのが本当に苦痛だよ。
私、「LLMみたいに話す」って言われたことあるんだ。細かく説明しすぎるからだって。昔は「人間ウィキペディア」とか言われてたけど、ボットみたいって言われるのは初めてで、めちゃくちゃ傷ついたよ。だから、AI使用の告発には敏感になっちゃうんだよね。
正しいこと言ってるのに低評価されてるじゃん。微妙な意見だと「ロボット」って呼ばれるなら、俺はLLMの支配の方がいいな。AI批判は人間性の基準を下げて、知的な議論を妨げてる。LLMの優れた記事なら「人間のクソ文章」より全然良い。文章は内容で評価してほしいし、書かれ方でストローマン論法を作るのはやめてほしいね。煽りとして、コメントはem dashで締めさせてもらうよ。
AIの文章に文句は言いたくないけど、AIのゴミを避けるためにも言わせてほしい。AIが書いた記事の文章自体はマシになったけど、まだまだだよ。長い箇条書きとか、「レッドフラッグ」とか、中身のないドラマチックな見出しとか、寄せ集めのテーマとかが多すぎる。
特に気になるのは、具体的事実から結論が導かれてないこと。「筋の通らないタイムライン」って言うけど、大規模な調査なんだから時間がかかるのは当然でしょ?個別の顧客にすぐ返事しないのが「筋が通らない」って決めつけるのはおかしくないか?AIはbroader contextを考慮せず、表面的な判断をしてるみたいだよ。
こんなに重大な申し立てについて、たった1時間すら記事を書くのが面倒ってことは、結局読む価値のある内容なんてないって自分でわかってるんだろ。
タイムラインは面白いけど、これだけでCoinbaseがこの報告から「情報漏洩を把握していた」とは証明できないし、強く示唆もしてないだろ。スクリーン・スクレイピング・マルウェアはよくあるし、アナリストが顧客がやられたと考えるのは普通だよ。顧客はよくやられるし、すぐ近くの企業を責めがちだからね…
それはわかるけど、俺はこの件で電話録音とかメール、メールヘッダーを送ったら、trust and safetyの責任者から「この報告はすごくしっかりしてる。調査することがたくさんあるから、今この詐欺師を調査するよ」って返事をもらったんだ。
彼らは調査して、最終的に根本原因を突き止めて対処したんだろ。あなたの報告が承認されただけで、Coinbaseが情報漏洩を何ヶ月も前から知ってたって具体的な証拠になるって、なんでそう思うのか理解できないね。
OPが読んでるか知らないけど、俺も同じ時期にCoinbaseのハックを検知したよ。たぶんDiscordチャンネルのAPIキーまで全部やられてたから、central secrets managerもcompromiseされてた可能性が高いね。これらは4月か5月頃にやっとリセットされたんだ。
それは驚かないな — 何年か前、俺はCoinbaseのバグバウンティで、仮想通貨引き出しの「必須」2FAをバイパスできる脆弱性を報告したことがあるんだ。そしたら彼らはわずかな報酬を払って、もうリスクじゃないのにその報告を永久に埋もれさせやがったよ。
メールにはちゃんとしたDKIM署名があったんだね。サポートエージェントはcommerce@coinbase.comから好きなメールを送れる権限があったの?もしないなら、詐欺師はどうやって適切に署名されたメールを送ったんだ?
