この記事の要点
- Krakenが2026年4月14日、不正アクセス事案を公表
- 顧客約2,000件のサポート情報閲覧の可能性が判明
- 犯罪グループの恐喝要求を拒否し捜査機関と連携
- サポート部門経由の侵入で業界の内部不正リスク浮上
Krakenで不正アクセス、顧客データ約2,000件閲覧か
米仮想通貨取引所Kraken(クラーケン)は2026年4月14日、顧客サポートシステムへの不正アクセスにより、約2,000件の顧客アカウント情報(サポート対応履歴など)が閲覧された可能性があると明らかにしました。
同社のチーフセキュリティオフィサーであるニック・ペルココ氏は、犯罪グループから身代金を要求されていることをXで公表したうえで「悪意ある行為者とは一切交渉しない」と表明しています。
ペルココ氏によると、問題は顧客サポートシステムへの不正アクセスで、2025年2月と直近に計2件の不正アクセス事案が確認されています。
犯罪グループは内部システムへのアクセス映像を収めた動画を保有していると主張した上で、要求に応じなければメディアやSNS上で公開すると脅迫しているといいます。
影響が及んだ可能性のある顧客アカウントは約2,000件で、全体の0.02%にあたるとされています。一方で、ウォレットの秘密鍵や取引パスワードなどの資産アクセス情報は対象外であり、顧客資金への影響も確認されていないと説明しています。
クラーケンはすでに業界パートナーや法執行機関と連携し、関係者の特定と捜査を進めています。
Kraken Security Update
We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It’s important to start with the most important points: our systems were never…
— Nick Percoco (@c7five) April 13, 2026
Kraken セキュリティアップデート
現在、当社は犯罪グループから恐喝を受けています。彼らは要求に応じなければ、顧客データが表示された当社の内部システムの動画を公開すると脅しています。まず重要な点を明確にします。
当社のシステムが侵害された事実はなく、顧客資産にリスクはありません。また、当社はこうした犯罪者に金銭を支払うことも、交渉に応じることも一切ありません。
当社は、顧客サポートデータの一部に対する不適切なアクセスを2件特定し、いずれも停止しました。
TrustWallet、大規模不正流出
サポート経由の侵入、外注リスク浮上
投稿動画が発端、侵入が2回発生
最初の不正アクセス事案は2025年2月に発生しました。ペルココ氏は犯罪フォーラムに投稿された動画について情報提供を受け、調査を進めた結果「自社のサポートチームメンバーによる不正アクセスが判明した」と説明しています。
同氏によれば、該当メンバーのアクセス権はただちに剥奪され、追加のセキュリティ対策も導入されました。また、影響を受けた顧客への通知も完了したとしています。
しかし、その後も同様の不正アクセスを示唆する別の動画について新たな情報提供があり、2件目の事案が浮上しました。
クラーケンは1件目と同様に調査を実施し、関係者のアクセスを遮断したうえで、影響を受けた顧客への通知も行ったとしています。ペルココ氏によると、こうした対応を取った直後から、犯罪グループによる恐喝要求が始まったといいます。
一方で、今回の不正アクセスが社内スタッフによるものなのか、外部委託先のサポートスタッフによるものなのかについては、現時点で公表されていません。
このため、利用者の間ではサポート業務の外部委託体制に対する懸念も広がっています。SNS上では、委託先の管理体制やアクセス権限の範囲を問題視する声も相次いでいます。
2,000件閲覧、規模めぐり意見対立
外注体制への懸念に加え、利用者の関心は「閲覧された可能性があるデータの中身」にも向かっています。
クラーケンによると、対象となったのは顧客サポートシステム上の限定的な情報であり、ウォレットの秘密鍵や取引パスワードなどの資産アクセス情報は含まれていません。
ただし、同社が「非常に少数」と表現した約2,000件の顧客アカウントについては、コミュニティ内で「決して小さな規模ではない」との見方も出ています。
X上では「閲覧された2,000件は残高が大きい高額資産保有者である可能性が高く、物理的な脅迫を狙うレンチ攻撃のリスクが現実的だ」との指摘も見られました。
こうした懸念に対し、クラーケンは今回の事案を、仮想通貨業界だけでなくゲーム業界や通信企業も標的とした、内部関係者の勧誘を通じた攻撃の一環だと位置づけています。
同社は、今回の経緯を公表した理由について、業界全体への警鐘として情報共有を行う必要があったためだと説明しています。
身代金拒否、証拠確保で対抗
クラーケンは、今回収集した情報と詳細な分析に基づき、関与した全員の特定や逮捕につながる十分な証拠を把握しているとの見解を示しています。
捜査は継続中のため詳細は公表されていませんが、関連情報を持つ人物には直接連絡するよう呼びかけています。
また、同社が身代金の支払いを明確に拒否している背景には、要求に応じることが犯罪グループへの資金提供につながり、さらなる攻撃や追加要求を招く可能性があるとの判断があります。
なお、クラーケンは今年3月にFRB(米連邦準備制度)のマスターアカウントを取得した米国初の仮想通貨企業となっており、制度的な信頼性が高まるなかで今回の事案が発生したことも、市場関係者の注目を集める要因となっています。
「JELLYJELLY」暴騰を巡る不正疑惑
内部不正リスク、仮想通貨業界全体の課題に
今回の事案は、クラーケン固有の問題にとどまらず、仮想通貨業界全体が抱える課題を浮き彫りにしました。
仮想通貨取引所を狙ったインサイダー脅威や社会工学的攻撃は、ゲーム業界や通信業界も巻き込む形で広がっており、サポート部門が攻撃者の入口として狙われやすい実態が改めて示されています。
今回のケースでは、不正アクセスを行った人物が社内スタッフだったのか、外部委託先の担当者だったのかについて、現時点では明らかにされていません。
そのため、サポート業務の委託先管理やアクセス権限の運用実態について、クラーケンが今後どこまで情報を開示するかが、利用者の信頼回復に向けた次の焦点となりそうです。
不正アクセス・ハッキング関連の注目記事
Source:ニック・ペルココ氏X投稿
サムネイル:Shutterstockのライセンス許諾により使用
