ブログ記事, 企業ニュース | 2021/01/13

アップデート:お客様のデータ保護と詐欺師の起訴に向けた取り組みについて

セキュリティ
データ侵害

Ledger製品のセキュリティは競合の追随を許しません。Ledger Nano製品は 市場で認証を受けた唯一のハードウェアウォレットであり、現在もその安全性が維持されています。一方、犯罪者はLedgerの利用者を対象に、さまざまなタイプの攻撃でフィッシング詐欺を行っています。 最近、ShopifyはLedgerの利用者がShopify社のデータ盗難の影響を受けていることを発見しました。詳細はこちらで開示されており、Ledgerは通知を受けています。

<TL;DR>

Ledgerに狙いを定めた敵は、常に様々な角度からデータにアクセスしようとしており、引き続きセキュリティ体制を強化する必要があります。 これは業界全体で取り組むべき問題であり、Ledgerもこの戦いで役割を果たすべく尽力しています。

今回のブログでは2020年に起きたデータ盗難事件と、セキュリティ対策を強化し正義を守るための継続的な活動についてユーザーの皆様にお知らせします。

  • この度、Ledgerのお客様情報の取り扱い方法を変更する運びとなりました。 お名前、ご住所、お電話番号など、お客様の個人情報をできるだけ早く完全に削除することを目標としています。 お客様に対する義務(お客様のご注文にお応えすることなど)や法律(会計や法的義務など)を果たすために必要なデータを、最低期間以上は保持しないよう、自社およびサードパーティプロバイダーで取り組んでおります。 保存が必要なデータはさらに分離された環境に配置されます。
  • 当社では積極的に重要なセキュリティ情報や技術情報を、Ledger Liveを通じて伝達するメッセージングモデルを導入する予定です。 メールやソーシャルメディアは、製品に関するメッセージやお知らせを発信するためにのみ使用されます。
  • Ledgerは、Ledgerおよびお客様に対する攻撃の責任者を特定し起訴できるよう数多くの追加リソースを投入しており、 逮捕・起訴につながる情報に対しては10BTCの報奨金を提供しています 。 さらに他の企業も賞金プログラムに参加し、暗号資産コミュニティをより安全な場所にしてくれることを期待しています。

セキュリティに関するお知らせ:24単語は絶対に第三者と共有しないでください。 Ledgerより24単語をお尋ねすることは、決してありません。 Ledgerを装った人物から24単語を尋ねられた場合、それはLedgerではなく犯罪者です。 リカバリーシードの24単語を入力が必要な場所は、Ledger Nanoのみであり、Ledger Liveで求められることは決してありません。

<TL;DR>

今回の記事では、可能な限り透明性の高い方法で当社のデータ侵害に関する出来事を振り返ってみましょう。 課題を解決するため、Ledgerチーム全体が総出を挙げて取り組んでおります。 この記事は長くなりますが、Ledgerがお客様のデータを安全に保ち、犯罪者を捕らえて起訴するための取り組みについてできる限り多くの情報をお伝えしたいと考えております

1- 出来事

まず簡単に状況をおさらいしましょう。2020年7月14日、ある研究者が当社の報奨金プログラムを通じて、当社のEコマースおよびマーケティングデータベースにおけるデータ侵害について報告しました。 当社は直ちにデータ侵害を修正し、内部調査を開始しました。 その結果、悪意のある攻撃者がサードパーティのAPIキーを介して、当社のEコマースおよびマーケティングデータベースに不正にアクセスしていたことが判明。 Ledger社とサードパーティのフォレンジック企業であるOrange Cyberdefense社が行った調査により、100万件以上のメールアドレス、氏名、住所、注文商品、電話番号など約9500件の顧客記録が盗まれたことが確認されました。 当社は直ちに(2020年7月29日)お客様にお知らせするとともに、調査情報を関係当局と共有しました。

2020年12月20日、盗まれたデータベースの全内容がフォーラムで公開されました。 そのデータベースを確認し、100万件以上のメールアドレスに加え、氏名、住所、電話番号を含む約27万2000件の顧客記録が盗まれたことが判明しました。 この問題が発見され次第すぐ、当社は影響を受けたお客様にメールで警告を行いました(2020年12月21日)。

こちらで新しい情報をお伝えさせていただきます。2020年12月23日、当社のEコマースサービスプロバイダーであるShopifyより、同社のサポートチームの不正なメンバーがLedgerを含む顧客の取引記録を入手したという、マーチャントデータに関わるインシデントに関する通知を受け取りました。 複数のエージェントが2020年4月および6月に顧客の取引記録を不正にエクスポートしていました。 Shopifyによると、これは2020年9月に発生した200以上の加盟店に影響を与えたインシデントに関係しているものでしたが、2020年12月21日まで、Ledgerもこの攻撃の対象になっていることをShopifyは把握していませんでした。 当社はShopifyがデジタルフォレンジックの専門家と弁護士に依頼してこの問題の調査を継続し、カナダと米国の両方の法執行機関に通報したとの報告を受けています。

フォレンジック企業であるOrange Cyberdefense社とともに、約292,000人のお客様に影響があったことが立証されました。 このデータベースは前回の攻撃で公開されたものと93%が類似していましたが、今回の侵害では、メールアドレス、氏名、住所、注文商品、電話番号など、約20,000件の新しい顧客記録が含まれていました。

2020年6月末以降にLedger製品を購入された方、またはLedger.com以外で購入されたお客様は、これらの事件によりお客様のデータが流出している事実はありません。

この2件の攻撃に関するよくある質問への回答はFAQをご覧ください。 フィッシング詐欺の種類について理解を深めたり、フィッシング詐欺を当社チームに報告するには、こちらのページをご参照ください。

このような攻撃を受けても第三者と24単語を共有しない限り、Ledgerのハードウェアウォレットは影響を受けず、お客様の暗号資産も安全です。Ledgerになりすました第三者にこの情報を教えないでください。また、Ledgerからリカバリフレーズをお尋ねすることは決してありません。

2- Ledgerの対応策

7月14日に発覚したデータ侵害について

2020年7月14日に侵害のパッチを行いました。 2020年7月17日にフランスのデータ保護局に報告。 2020年7月20日より、Orange Cyberdefense社によるフォレンジックを開始しました。 お客様にデータ侵害の事実をお伝えする前に、Orange Cyberdefense社による調査を完了し、できるだけ多くの事実を収集することが必要であり賢明な措置でした。

最終報告書が完成した2020年7月29日、メールデータベースのユーザー全員にメールを送信同日、プレスリリースでメディアに状況を報告しました。 その後、2020年8月5日、フランス検察庁に告発しました。

お客様を狙ったフィッシング詐欺について

ここ数ヶ月、お客様を狙ったフィッシング詐欺が多発しています。 当社はそうした攻撃について、メールやウェブサイト、Ledger Live内、Twitter、Reddit、その他のサードパーティのプラットフォームで、お客様に警告するためのコミュニケーションを積極的に行っています。 2020年10月22日には、フィッシング詐欺に関するメールを全データベースに送信しました。 ビジネス・インテリジェンスとサイバー犯罪を専門とする企業のWebdroneと提携し、フィッシングウェブサイトの作成者を特定しました。 Corsearch詐欺との継続的なプログラムにより、レジストラを通じて迅速にフィッシングサイトをシャットダウンしており、現在までに216のサイトを閉鎖することができました。

社内ブランド保護チームは、フィッシング詐欺の対応を継続。 Corsearchは、当社の代理として国際的な調査機関と協力しています。 2020年12月16日、このようなフィッシング詐欺を識別し、新たに受けた攻撃を報告できるよう、フィッシング詐欺の解剖学的構造を共有する特設ページを開設しました。

Chainalysisなどと提携しながら、詐欺師が使用した暗号資産のウォレットを追跡しています。 発見された場合は法執行機関に報告して、対応を依頼します(例えば、取引所で暗号資産が使用された場合に凍結するなど)。

複数の私立調査会社と協力しながら、攻撃に関与した個人を見つけ出し、追跡することを続けています。 集められたすべての手がかりや情報は関連当局と共有されます(新たな情報をお持ちの方は下記の報奨金プログラムをご覧ください)。 フィッシング詐欺については、Ledgerもフランスの検察庁に告発し、Ledgerと捜査官が収集した情報を定期的に共有しています。

このように、Ledgerでは昨年のこの時期と比べ、情報提供の要請が急激に増加しています。 お客様とのコミュニケーションを大切にし、的確な情報でお応えしたいと考えております。 この需要に対応するため、2020年にはより多くのリソースを採用。さらに2021年もこの対応を継続していく予定です。 カスタマーサポートに遅延が発生しており、誠に申し訳ございません。皆様にできるだけ早くお答えできるよう最大限に努力しております。 このブログ記事とFAQでお客様がお探しの回答が見つかれば幸いです。

Shopifyのデータ侵害について

Shopifyが関係した事件の調査は継続中であり、状況が進展次第詳細をお知らせします。 本日の時点では、2020年12月26日にフランスのデータ保護局に通報しております。 Orange Cyberdefense社によるフォレンジックの完了後の2021年1月13日、侵害の影響を受けたすべてのお客様にメールでお知らせしました。 当社はShopifyおよび検察庁と協力してこの件に取り組んでおり、さらにFBIと王立カナダ騎馬警察が中心となって捜査が進められています。 また、Legerはこの出来事をフランスの検察庁に報告して不正なエージェントを告発しました。 当社はShopifyと協力し、新しい内部プロセスを用いてセキュリティの強化を続けております。

3- 次のステップ

データ侵害やフィッシング詐欺は業界全体の問題です。 当社は日々この問題に取り組み続けていますが、今回はお客様の保護を強化することを目的とした新しいプランの開始についてお伝えしたいと思います。

まず第一に、当社はお客様のデータの保有をしない方針です。お客様からの信頼は、データを保有することよりもはるかに価値があります。 お客様がLedgerに直接製品を注文される際には、ご注文を郵送するためにお客様の情報が収集されます。 会計規則や法的義務によりEコマースの購入データは一定期間保存することが義務付けられていますが、 Shopifyの侵害を受け、GDPRの原則を超えた最高水準アプローチを取れるよう、当社ではこのデータの取扱い方法を変更します。

  1. お名前、ご住所、お電話番号など、お客様の個人情報をできるだけ早く完全に削除することを目標としています。 お客様に対する義務(お客様のご注文にお応えすることなど)や法律(会計や法的義務など)を果たすために必要なデータを、最低期間以上は保持しないよう、自社およびサードパーティプロバイダーで取り組んでおります。 保存が必要なデータはさらに分離された環境に配置されます。 例えば、氏名、住所、電話番号などのEコマースのご注文情報は、商品の発送から3ヶ月後には別の場所に保管できるように取り組んでおります。
  2. また、お客様の個人情報が表示される場所を最小限に減らします。 例えば、お客様にお送りするご注文確認メールや氏名、住所、電話番号を削除し、データがECメールプロバイダーを通過しないようにします。
  3. 今後、積極的に重要なセキュリティ情報や技術情報は、Ledger Liveを通じてのみお伝えするというモデルを導入する予定です。 メールやソーシャルメディアは、製品に関するメッセージやお知らせを発信するためにのみ使用されます。
  4. さらに、すべてのサプライヤーとパートナーに対して詳細な再評価を行い、継続して最高基準を満たしていることを確認していきます。

第二に、今回のような窃盗や攻撃は、調査や起訴を行わなければなりません。 暗号資産の繁栄を妨げる窃盗者は、代償を支払わなければなりません。 当社は警察や私立調査会社と協力して、引き続き本件の対応を行いながら、さらに戦力を増強しています。

  1. データ盗難の犯人を特定するために、経験とアプローチを活用できるよう、さらなる調査会社を採用しています。 今後も世界の法執行機関と協力して、可能な限り責任者を見つけ出し、逮捕と起訴を行う予定です。
  2. また、合法的に得られた新情報がLedgerとお客様に対する攻撃の責任者の特定、逮捕、起訴の成功につながる場合、報奨金を支払います。 Ledgerは、10BTC(アドレス:bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc)を最初の報奨金積立として、ウォレットにシードしました。 報奨金の進呈はLedgerの裁量で行われ、次のような要素が考慮されます。情報は合法的に入手されたものかどうか。 新情報かどうか。 その情報はどの程度重要で、どの程度捜査の進展に役立ち、起訴の直接的なきっかけとなるのか。 起訴を行うことができたか。 詳細は、当社の報奨金プログラムの条件をご確認ください。
  3. 当社では、この取り組みを業界他社と共同で行うことを発表しています。 当社は、暗号資産コミュニティに対する犯罪の追求を目的とした報奨金プログラムへの継続的な資金提供を、同分野の他の企業や個人に働きかけています。 暗号資産業界のCEO陣には、是非ご参加いただきたく思います。このプロジェクトに参加したいと思われる方は至急ご連絡ください。

このような事態が発生して、お客様に心配とご迷惑をおかけしたことを深くお詫び申し上げます。 お客様の安全を守ることはLedgerの使命であり、本件の発生を非常に深刻に受け止めております。 当社は、今後ハードウェアウォレットのセキュリティの唯一の柱である24単語を廃止し、個人のお客様に資金保証・保険を開始する技術的ソリューションを間もなく発表する予定です。 今回の攻撃は、お客様とお客様の暗号を安全に保つための製品を構築し、リリースするという当社の決意を強めるものとなりました。 2021年には、皆様に喜んでいただける革新的で安全な製品やサービスを発表する予定です。 Ledgerは、今後も最も安全な製品を作り、暗号資産のエコシステムを守ることに尽力します。 それこそが当社の願いです。

この機会に、ご自身の身を守るためにあらゆる手段を講じるようあらためてご注意ください。 暗号資産の価値が上がり、より多くの人がエコシステムに参加するようになればなるほど、注意しなければならないことです。 Crypto Caseyは動画ポッドキャストで、現在の状況と身を守る方法を分かりやすくまとめています。 ご自身と暗号資産を安全に保つため、あらゆる手段を講じてください。

ここに集結する私たちは、暗号資産の価値と未来を信じています。 Ledgerは今回非常に重要な教訓を学びましたが、今後も皆様の信頼を得られるよう努力してまいります。 謙虚な心で。 より力強く、粘り強い組織になれるよう進化していきます。

今後ともよろしくお願いいたします。

Pascal, Ian, Antoine, Matt, Charles



お問い合わせ

お知らせはブログからご確認いただけます。 メディア関連の連絡先:
[email protected]