暗号資産取引所「Liquid(リキッド)」は2021年1月20日に、昨年11月に発生したドメイン登録サービスにおける不正アクセスの調査結果をまとめた最終報を公開しました。同社の発表によると『2020年11月13日までの口座開設や取引開始作業で入力されたメールアドレス・氏名・暗号化されたパスワード・APIキーなど169,782件の流出が確認された他、2018年10月までに本人確認プロセスのために提供された身分証明書・セルフィー画像・住所証明などの本人確認書類28,639件が不正アクセスを受けた可能性がある』とされています。
「本人確認書類を含む多数の重要情報」が被害に
Liquid(リキッド)は2020年11月13日に悪意のある第三者によって同社アカウント・ドメインの登録情報を変更される被害を受けており、これによって同社のシステム・インフラの一部で不正アクセスを受けていました。Liquidはこれまでにも「第1報・第2報」を通じて不正アクセスの調査結果を報告していましたが、今回の発表では「最終報」として”不正アクセスの被害を受けた個人情報の具体的な中身”などが明らかにされています。
同社の発表によると『2020年11月13日までの口座開設や取引開始作業で入力されたメールアドレス・氏名・暗号化されたパスワード・APIキーなど169,782件の流出が確認された他、2018年10月までに本人確認プロセスのために提供された身分証明書・セルフィー画像・住所証明などの本人確認書類28,639件が不正アクセスを受けた可能性がある』とされています。
また『2020年11月13日午前5時58分〜2020年11月14日午前1時39分までの期間にユーザーからLiquidへと送付された電子メール』も不正アクセスを受けた可能性があるとされており、『現在のところお客様の個人情報等の不正利用等の事案は確認されておりませんが、今後も引き続き状況を注視して参ります』と説明されています。
「流出情報を悪用した新たな被害」に要注意
Liquidがユーザーから預かっている暗号資産や資金への被害は確認されていないとされているものの、流出の可能性が報告されている「メールアドレス・氏名・暗号化されたパスワード・APIキー・身分証明書・セルフィー画像・住所証明」などといった情報は、外部サービスへの新規登録やパスワード変更などと様々なことに悪用することができる重要な情報であるため、被害を受けたと考えられるユーザーは十分な注意が必要です。
Liquid側は『2020年12月23日により高度なセキュリティ機能を提供するアカウント・ドメイン管理会社への移行を完了し、2021年1月4日にセキュリティ面で優位性のあるクラウド管理サービスへ移行を完了、あわせて社内での開発関係のセキュリティ管理プロセスの厳格化を実施済み』だと報告していますが、『スパムメールやフィッシングが増加し、さらに個人情報が盗まれるようなリスクが考えられる』としてユーザーに以下のような対応を取ることを求めています。
- セキュリティ強化対策の一環としてパスワードと2段階認証の変更を推奨
- 取引明細や口座残高等に異常がないことの確認をお願い
- 自分の口座に不審な動きを発見した場合は、Liquidおよび警察への連絡をお願い
ユーザーからは批判の声が殺到
今回の発表を受けてSNS上などでは「Liquid」に対する批判の声が強まっており『流出した情報を悪用して不正に銀行口座を開設されたり、アカウントを開設される可能性がある』『コインチェック事件を超える深刻な問題だ』などと批判する意見が数多く投稿されています。
Liquid側からの新たな発表は今のところ行われていないものの、Twitter上では集団訴訟のメンバーを募るツイートなども行われているため、今後これらの問題が集団訴訟に発展する可能性もあると予想されます。
