ハードウェアウォレット「Ledger」で不正アクセス被害｜個人情報約100万件が流出

暗号資産（仮想通貨）のハードウェアウォレットを開発・運営している「Ledger（レジャー）」は2020年7月29日に、同社が今年6月下旬に不正アクセスの被害を受け、約100万件にのぼる顧客情報が流出したことを発表しました。

こちらから読む：カルダノ、Shelleyへのアップグレードを完了「暗号資産」関連ニュース

メールアドレスなど「約100万件の個人情報」が流出

Ledger（レジャー）は2020年7月29日の発表で、同社のウェブサイトが2020年6月下旬に不正アクセスの被害を受け、約100万件の顧客情報が流出したことを明らかにしました。Ledger社は2020年7月14日に同社の報酬金プログラムに参加している研究者からの報告を受けて、Ledgerのウェブサイトでデータ侵害が発生していることに気付いたとのことで、この報告直後に問題点を修正し、内部調査を開始したと説明されています。

調査の結果、2020年6月25日にeコマースおよびマーケティングのデータベースが無許可の第三者に侵害されていたことが発覚したとのことで、このデータ侵害によって「顧客の氏名・住所・メールアドレス・電話番号などの連絡先」と「注文の詳細」などの情報が流出したとされています。ただし、ユーザーのリカバリーフレーズや秘密鍵などにはアクセスされていないため「支払い情報」や「暗号資産」などは安全だと説明されています。

流出した主な情報は"顧客のメールアドレス"だとされており「約100万件のメールアドレス」が流出したとされています。また、氏名・住所・電話番号・注文商品などのデータに関しては「9,500人分のデータ」が流出したとのことです。なお、不正アクセスの影響を受けた顧客には、すでに電子メールで通知を行っていると報告されています。

顧客の暗号資産に関する情報は流出していないため『暗号資産は安全である』と説明されているものの、Ledger社は『フィッシング詐欺に注意するように』と強調しています。メールアドレスなどの情報が流出しているため、悪意のある第三者がLedger社になりすまして『ウォレットの回復フレーズを送信してください』といった内容のメールを送信してくる可能性がありますが、Ledger社は『Ledgerがあなたの回復フレーズ24語を尋ねることは決してないため、そのようなメールが届いた場合は"フィッシング詐欺である"と考えてください』と説明しています。

Ledger社は研究者から脆弱性の報告が行われた2日後には、フランスのデータ保護機関である「CNIL（フランスの情報処理及び自由に関する国家委員会）」に報告書を提出しており、21日にはヨーロッパを代表するセキュリティサービスプロバイダーである「Orange Cyberdefense（オレンジサイバーディフェンス）」と協力して潜在的な損害評価および違反のさらなる特定に取り組んでいます。

>>「Ledger」の公式発表はこちら

こちらの記事も合わせてどうぞ

【ハードウェアウォレット一覧】対応銘柄・特徴などメーカー別に紹介：仮想通貨まとめ

【要注意】Ledger Liveの「偽Chrome拡張機能」見つかる