何が起こったのか
2020年7月14日、Ledgerの脆弱性報奨金制度に参加している研究者が、Ledgerウェブサイトにおけるデータ漏洩の可能性を報告しました。 この報告をもとに、当社は直ちにデータ侵害を修正し、内部調査を実施しました。 侵害に対するパッチ適用から一週間後の2020年6月25日、権限のない第三者による、当社データベースに対する不正アクセスがさらに判明しました。このデータベースは、注文の確認やプロモーションメールの送信用に使われているもので、主にメールアドレスで構成されていますが、お客様の姓名、住所、メールアドレス、電話番号などの連絡先や、注文情報などの情報も一部含まれています。 お客様の支払い情報と暗号資産には一切危険はありません。
可能な限り透明性を高めるため、実際に何が起こったのかを説明したいと思います。 不正な第三者が、APIキーを介して、当社のEコマースおよびマーケティングデータベースの一部にアクセスしたことがありました。 APIキーはすでに無効化され、アクセスできなくなっています。
では、どのような個人情報が漏洩したのか。
漏洩が発覚したのは、お客様の連絡先情報と注文情報です。 その大部分はお客様のメールアドレスで、件数はおよそ100万件ほどでした。 さらなる調査の結果、9,500人のお客様について、姓名、住所、電話番号、および注文した商品に関する情報の漏洩が確認されました。 漏洩の規模と、お客様へのコミットメントを踏まえ、当社はすべてのお客様にこの状況をご報告することにいたしました。
詳細な個人情報が流出した9,500人のお客様に対しては、本日、個別にメールをお送りし、より詳細な情報を共有させていただきます。
今回の漏洩においては、お客様の支払い情報、認証情報(パスワード類)などは一切影響を受けておりません。 影響を受けたのは、お客様の連絡先情報のみです。
今回のデータ侵害は、当社のハードウェアウォレットやLedger Liveのセキュリティ、そしてお客様の暗号資産に影響を与えるものではありません。これらはすべて安全に保たれており、これまで危険にさらされたことも一切ありません。
当社が実施した対策と、現在実施している対策について
被害がEコマースとマーケティングの連絡先情報に限られており、迅速な解決が可能であったため、当社はコミュニティに対して警告を行う前に、サードパーティの専門家と詳細な内部調査を実施しました。
7月17日、当社は本件をフランスのデータ保護機関であるCNILに報告しました。この機関は、個人情報の収集、保管、および使用に対するデータ保護法の適用の監視を行っています。 7月21日、当社はデータ侵害による被害の可能性と、潜在的なデータ侵害の可能性を特定するためにOrange Cyberdefenseと提携しました。
当社のセキュリティチームとOrange Cyberdefenseによる、徹底的な調査の結果、Eコマースとマーケティングのデータベースが侵害されたと結論付けられました。 この情報が公開される頃には、影響を受けたすべてのお客様にこの最新情報に関するメールが届いているはずです。
当社は、このデータベースがインターネット上で販売されていないか積極的に監視していますが、現時点では一切確認できておりません。 社内でペネトレーションテストを実施し、さらに当初9月に予定していた外部からのペネトレーションテストも前倒しで実施される予定です。
これまで製品(HW& Vault)を中心に行ってきたセキュリティ、および組織的なプログラムの範囲を、電子商取引に拡大していきます。 当社では、ISO 27001に記載されている要求事項を満たすための手段を講じています。
また、当社はこの状況を徹底的に調査するため、当局に正式な申し立てを行っています。
お客様のプライバシーを最大限に守るため、個人情報を一切保存しないNanoのコンパニオンアプリ「Ledger Live」が、当社のソーシャルメディアアカウント(Twitter、Facebook、LinkedIn)とともに、新製品開発に関する情報の主な窓口となります。
当社のプライバシーポリシーを確認し、当社がお客様の情報をどのように扱っているかを知るにはこちらをクリックしてください。
できること
お客様には、悪質な詐欺師によるフィッシング詐欺に、常に注意を払っていただくようお願いします。原則として、Ledgerがリカバリーフレーズの24単語を伺うことは絶対にありません。 もし「Ledger社の社員を装った人物」から連絡を受け、24単語の入力を求められたら、真っ先にフィッシング詐欺を疑ってください。
当社では、詐欺防止に努めています。この機会に改めてLedger Academyのセキュリティセクションから、セキュリティの基礎知識やフィッシング詐欺に関する情報をご確認ください。
このような事態を招いたことを大変残念に思います。 当社はプライバシーを非常に重要視しており、独自の脆弱性報奨金制度のおかげでこの問題を発見し、すぐに修正を行いました。 しかし、今回の事態を回避・解決するために行った全てのことに関わらず、この件でお客様にご迷惑をおかけしたことを心よりお詫び申し上げます。
ご不明な点がある場合は、当社のFAQをご覧ください。その他の情報については、カスタマーサポートに直接お問い合わせください。
当社のプライバシーポリシーを確認し、当社がお客様の情報をどのように扱っているかを知るにはこちらをクリックしてください。