ブログ記事, 企業ニュース | 2022/05/25

Ledger CEOのメッセージ – 7月のデータ流出に関する最新情報。 情報漏洩にかかわらず、皆さまの暗号資産は安全です。

セキュリティ

Ledgerを日頃ご利用のお客様

すでにご存知の通り、Ledgerはサイバー攻撃の標的となり、2020年7月にデータ侵害が発生しました。 昨日、RaidforumにLedgerの顧客データベースの内容が投稿されたとの情報がありました。 これは、2020年6月からの当社の電子商取引データベースの内容と思われます。

事件発生時の7月には、外部のセキュリティ機関に依頼し、利用可能なログのフォレンジックレビューを実施しました。 このログの検証により、約100万件のメールアドレスと、より詳細な個人情報(郵便番号、氏名、電話番号)を具体的に特定できる、9,532件の情報が盗まれていることが確認されました。

昨日公開されたデータベースでは、より多くの詳細情報が流出していること、当社のお客様の住所、氏名、電話番号などの詳細情報が約27万2千件が流出していることが判明しました。 これらの詳細は、今回解析できたログには記載されておりません。 当社の事業とコミュニケーションにおいて、透明性の確保は常に最優先されております。 これは現在も変わりありません。

この数時間に、様々な噂や解釈が生まれていますが、今起きている事態の現実を再確認するため、基本的な事実をいくつか述べさせていただきます。

Ledgerは、このような自体が発生したことを非常に深く反省しております。 多くのお客様が、メールやSMSによるフィッシングキャンペーンの標的にされており、大変ご迷惑をおかけしております。 お怒りや失望の方も多いことでしょう。

Ledgerの第一の目標は、常にお客様の暗号資産に最高の保護とセキュリティを提供することです。それは今後も変わりはありません。 明確にしておきたいのは、今回のデータ侵害は当社のハードウェアウォレット、アプリ、お客様の資金には一切関係がなく、影響も発生しないということです。 皆様の暗号資産は安全です。 大変遺憾な事態ではありますが、今回の情報漏洩は電子商取引に関連する情報のみでした。

Ledgerは、データセキュリティをさらに強化すべく全力を尽くしています。 この数カ月間、当社はお客様の24単語を盗もうとする詐欺師への対抗策を実施し続けてきました。 このことは、当社のウェブサイトやブログに詳しく記載されています。 また、こちらのページで、は現在進行中のフィッシングキャンペーンの状況をまとめて確認できるようになりました。現在進行中のフィッシングキャンペーン。 また、数日後に入社する新しい最高情報セキュリティ責任者と共に、世界レベルの人材を採用しています。 その他報奨金プログラムDungeon、24時間365日のシステムテストを可能にするすべての手順など、当社のすべてのセキュリティ対策と取り組みをさらに強化しています。 こうした取り組みは、フィッシングに対する戦いのページにすべて記載されています。

また、一部の配送先が流出したことで、物理的な攻撃の可能性を懸念する声も寄せられております。 この状況によって生じたご不安は、心より理解いたしておりますが、流出したデータとウォレットの中の資金との間には、いかなる相関関係もないことを改めてご認識いただくことが重要となります。

いずれにせよ、Ledgerは、物理的な攻撃の脅威が常に存在することを念頭に置いて設計されており、 ご自身を保護するための機能が実装されています。

  • 誤ったPINコードを3回連続で入力した場合、セキュリティ対策としてデバイスは3回目の入力でリセットされます。
    (出荷時設定へのリセットを参照)
  • 最後に、リカバリーシートは自宅の金庫に保管しないでください。 銀行の金庫の方がはるかに安全です。 バックアップにすぐにアクセスできないことで、物理的な脅威への耐性が高まります。
    Ledger 101 —パート3:ハードウェア使用時の最善策を参照)

今回の件に関わらず、ご自宅に多くの資産を保管されている方は、ご自身のセキュリティ対策を定期的に評価し、常に最善の市場標準を適用することをおすすめします。https://www.ledger.com/academyおよびhttps://www.ledger.com/で、豊富なリソースをご覧ください。

ここまで述べてきましたが、お客様が直面する攻撃のほとんどは、24単語を盗もうとするオンライン詐欺です。 何度も繰り返しますが、最も大切なことは 24単語を誰とも共有してはいけないということです。 Ledgerとも共有してはいけません。 こちらからお伺いすることも決してありません。 また、LedgerがSMSや電話でお客様に連絡することも絶対にありません。 「24単語を誰とも共有していなかった場合でも、資金に影響があるのか」という質問が多くの方から届いています。 ここで明確にしたいことは、 いいえ。 お客様の資金は安全です。

当社の責任を矮小化することなく事実を述べさせていただくと、私達が生きる現代では、サイバー攻撃がますます増加し続けています。2020年には、その発生件数が史上最高数に達しました(世界最大のデータ侵害とハッキング—Information is Beautiful)。 これはデジタル技術の加速によって、世界中で拡大している問題です。 セキュリティの未来への投資は、これまで以上に必要かつ緊急なものとなっています。 それこそがLedgerの使命であり、セキュリティ基準を向上させるための投資を継続的に行っています。 今回の件について、Ledgerがお客様に返金を行わないのもそれが理由です。当社がお客様に提供できる最善かつ誠実な対応は、献身的な努力を続け、提供する製品のセキュリティを継続的にアップグレードするための投資を行っていくことに他なりません。

この「#StopTheScammers」の戦いでは、当社と暗号資産コミュニティが一丸となって立ち向かうことが重要となります。

Ledgerでは、今後も本件の進展に関する透明な情報をコミュニティに提供すべく、分析を続けながら最新情報を更新していきますhttps://www.ledger.com/phishing-campaigns-status

ご不明な点がございましたら、まずはよくある質問をご覧いただき、それでも問題が解決しない場合は、カスタマーサポートへお問い合わせください。

今後ともよろしくお願いいたします。
Pascal Gauthier
Ledger CEO

Version française

Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.

Chers clients Ledger,

Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.

Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.

La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.

La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.

Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.

Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.

Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.

Soyons clairs : vos crypto-monnaies sont en sécurité.

Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.

Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.

Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.

Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.

Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.

Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :

  • Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (出荷時設定へのリセットを参照)
  • Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Ledger 101 — パート4: 高度なセキュリティの原則を参照)
  • Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Ledger 101 — パート3:ハードウェア使用時の最善策を参照)

De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy& https://www.ledger.com/.)

Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.

Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.

Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (世界最大のデータ侵害とハッキング — Information is Beautiful)。 C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.

Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.

Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.

Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.

Sincèrement,
Pascal Gauthier,
CEO de Ledger

お問い合わせ

お知らせはブログからご確認いただけます。 メディア関連の連絡先:
[email protected]