仮想通貨ウォレット「メタマスク」の一部ユーザーのメールアドレスが漏洩した可能性がある。
親会社であるコンセンシスによると、2021年8月1日から2023年2月10日の間にメタマスクにカスタマーサポートチケットを提出したユーザーのメールアドレスが漏洩した可能性があるという。メタマスクはイーサリアムのウォレットで、仮想通貨(暗号資産)を管理するためのプラットフォームだ。
4月14日のブログ投稿によると、何者かがカスタマーサービスの問い合わせチケットを処理するために使用されているコンピューターシステムにアクセスし、メタマスクのユーザーが提出したカスタマーサポートチケットを閲覧した可能性がある。チケットにはメールアドレス等以外、ユーザーを支援するために必要な情報以上は求められていなかった。ただし、「フリーテキストフィールド」が含まれており一部のユーザーは個人を特定する情報を提出した可能性がある。これには「経済・金融情報、名前、姓、生年月日、電話番号、郵便住所」が含まれる場合があるとのことだ。
コンセンシスは今回のセキュリティ侵害事件は、カスタマーサポートチケットを提出した最大7千人のメタマスクユーザーに影響を与えた可能性があると推定している。
この事故を受けて、ハードウェアウォレットプロバイダーのキーストーンは「攻撃者がこの奪取されたメールデータベースを潜在的な被害者を探すために利用する可能性があるため、一部のメタマスクユーザーにフィッシングメールが増えるかもしれない」と警告した。
A third-party service provider that provides customer support ticketing services to ConsenSys was the target of a cyber-security incident
— Keystone | Hardware Wallet (@KeystoneWallet) April 14, 2023
⚠️ Be cautious of the potential increase in phishing emails moving forwardhttps://t.co/HswtDiK5EY
フィッシングは、ユーザーーが攻撃者に機密情報を提供するように誘導する詐欺であり、被害者に信頼できる組織や知り合いからのように見えるメールを送信するかたちをとる。
コンセンシスは今後不正アクセスを排除するための措置を講じたとのべている。2月10日以降に提出されたチケットはこの事件の影響を受けていないはずたという。
さらに同社はアイルランドのデータ保護委員会と英国の情報コミッショナー事務所に侵害を報告するために連絡中だ。また同社のサードパーティーであるカスタマーサービスプロバイダーは、サイバーセキュリティおよびフォレンジックチームと協力して、事故のより詳細な調査を行っている。
メタマスクは2022年末にユーザーのIPアドレスを一部記録していることを明らかにした際に、プライバシー擁護者から批判を受けた。しかし3月にアプリを更新し、どのプロバイダーがこの情報を取得できるかをユーザーがより詳細に制御できるようになった。
翻訳・編集 コインテレグラフジャパン