オンランプを提供のTransak、9万3000名規模の個人情報流出──従業員による業務外でのPC使用が原因

暗号資産（仮想通貨）業界の従業員が業務以外の目的でラップトップを使用したことが、約9万3000人のユニークユーザーが影響を受けるデータ漏洩を引き起こし、現在、あるランサムウェアグループが標的企業との交渉を試みている。 その標的企業となったトランサックは、顧客が暗号資産を購入できるようにするために多くの有名ブロックチェーン関連企業が使用する「オンランプ」サービスを提供しているが、現地時間10月21日のブログ投稿でデータ漏洩の被害に遭ったことを明らかにした。トランサックによると、漏洩した情報は「名前」と「基本的な身元情報」に限られた。 トランサックのCEO、サミ・スタート（Sami Start）氏はCoinDeskのインタビューで、今回の侵害の影響を受けたのは9万3000人で、その中には暗号資産関連の金融商品で身元確認のために顧客が使用したパスポート、IDカード、自撮り写真が含まれたと明かした。 同社は今回の事件を「軽度または中程度」に分類しているとスタート氏は述べた。より大きなリスクをもたらす可能性のある機密情報が含まれていなかったためだ。さらに同社によると、影響を受けたのはユーザーベースのわずか1.14%だった。 「銀行取引明細書はなく、社会保障番号はなく、クレジットカード情報もなく、アクセスされた電子メールやパスワードさえもないため、この事件の深刻さはかなり限定的だ」と同氏は述べた。

ランサムウェアグループが犯行声明

同CEOは、トランサックが顧客に連絡を取り、法執行機関とデータ規制当局に通知したと述べた。 しかし同社は、攻撃元を自称するランサムウェアグループとの交渉を求められる立場にもある。盗まれたデータを削除するために3万ドルが要求されたとの話があるが、すでに当該グループは、その件について高笑いしている。 同ランサムウェアグループによると、データはトランサックの顧客におけるより大規模なサブセットから取得されており、一部の財務データも含まれていたという。 「今回の侵害は、トランサックのインフラを通じて処理されたすべてのKYC（顧客確認）データに影響を与えた」と、同ランサムウェアグループは運営する公開のテレグラム（Telegram）グループで主張した。「我々は300GB以上のデータを抽出した。これには、政府発行のID、住所証明、財務諸表、ユーザーの自撮り写真などの機密性の高い個人文書が含まれている。」 同グループは、手元にある盗難データの一部しか公開していないと主張している。トランサックが要求した金額を支払わない場合は、「残りのデータを漏らすか、最高額の入札者に売却する」と同グループは脅迫した。