NFT大手のOpenSeaは、同社のニュースレターのユーザーと購読者のメールアドレスが漏洩したデータ侵害について警告を発しました。水曜日に公開された通知の中で、OpenSeaは過去に同社にメールアドレスを提供したことがある人は、影響を受けた可能性があると示唆しました。
この侵害は、OpenSeaのメール配信ベンダーであるCustomer.ioの従業員によって引き起こされました。通知に記載されているように、氏名が明らかにされていないこの従業員は、アクセス権を不正に利用し、OpenSeaユーザーとニュースレター購読者のメールアドレスをダウンロードし、権限のない外部の第三者と共有したようです。OpenSeaは、Customer.ioと協力してこの事件を調査しており、法執行機関にも報告済みであると述べています。
OpenSeaは、最近133億ドルの評価額を記録したNFT(Non-Fungible Token)取引における最大のマーケットプレイスです。暗号通貨を使って購入されるNFTは、所有権などの詳細情報を記録するためにブロックチェーンにリンクされたデジタルアイテムです。今日のサイバー世界における最新のコモディティであるNFTは、独自性と取引可能性を併せ持ち、多くのコレクターの関心を集めています。しかしながら、NFTは投機性が高く、長期的な投資としては不向きだと考える人もいます。
参照:メタバース チートシート: 知っておくべきことすべて (無料 PDF) (TechRepublic)
OpenSeaは今回の侵害で侵害された人数やメールアドレスを明らかにしていないが、200万人近くに達する可能性がある。仮想通貨分析サイトDune Analyticsが収集したデータによると、イーサリアムネットワークを使用してOpenSeaで少なくとも1回は購入を行ったユーザーは180万人以上いる。
OpenSea の侵害はなぜ発生したのでしょうか?
Customer.io の従業員がなぜ電子メール アドレスを外部に共有したのか動機はまだ明らかにされていないが、一部の専門家はこの事件が偶発的なものではなかったと見ている。
「当該人物がCustomer.ioのOpenSeaアカウントに独自にアクセスしていたことを考えると、この大量のメールはおそらく無許可で送信されたものであり、さらに、当該人物による意図的な悪意ある行為であった可能性も十分に考えられます」と、セキュリティアドバイザリー会社Coalfireのディレクター、カール・スタインカンプ氏は述べています。「この事件の進展に伴い、フィッシング攻撃や個人からNFTを盗むための手段として、この特定のアクセスに対して、当該人物が外部の第三者から金銭を受け取ったのか、あるいは脅迫を受けたのかが明らかになるのは興味深いでしょう。」
セキュリティサービスプロバイダーLookoutのセキュリティソリューション担当シニアマネージャー、スティーブン・バンダ氏は、スタインカンプ氏の要約に同意している。
「OpenSeaのデータ侵害に関しては、金銭的な動機があるように思います」とバンダ氏は述べた。「盗まれた情報や認証情報は、儲かる市場です。今回のケースでは、世界最大のNFTマーケットプレイスの顧客200万件のメールアドレスは、大規模なフィッシング攻撃を仕掛けようとする犯罪者にとって非常に魅力的でしょう。」
被害に遭われた場合の対処法
メールアドレスが侵害されたことを受け、影響を受けた人々はフィッシング攻撃の増加に備える必要があります。OpenSeaはまた、今回の侵害の影響を受けた人々に向けて、以下のヒントも共有しています。
OpenSea を装ったアドレスからのフィッシングメールに注意してください。
opensea.io から送信されたメールのみが正当なものです。この名前のバリエーションを使用したメールにはご注意ください。
OpenSeaのメールから添付ファイルをダウンロードしないでください
正規の OpenSea メールには添付ファイルやファイルのダウンロード要求は含まれません。
OpenSeaメール内のリンクされたページのURLを確認する
正規のOpenSeaメール内のリンクはemail.opensea.ioに解決されます。リンクをよく確認し、opensea.ioのスペルが正しいことを確認してください。
パスワードや秘密のウォレットフレーズを共有しないでください
OpenSea は、この種の機密情報を共有したり確認したりするように要求することはありません。
メールから直接ウォレット取引に署名しないでください
OpenSeaからのメールには、ウォレット取引への署名を直接求めるリンクは含まれていません。特にメールでアクセスした場合は、送信元としてhttps://opensea.ioが記載されていない取引への署名は避けてください。
「ユーザーはソーシャルメディアにおけるなりすましにも十分注意する必要があります」と、デジタルリスク企業Bolsterのマーケティング担当副社長、ライアン・マッカーディ氏は述べています。「仮想通貨やNFTコミュニティは、TelegramやDiscordといったソーシャルメディアチャンネルで非常に活発に活動しています。どちらのチャンネルでも、詐欺師はほぼ全てのブランドになりすましたグループを作成しています。誰かがこれらのコミュニティに参加するためのリンクを送ってきた場合は、必ず本物のコミュニティに参加していることを確認してください。」
