フラクタルIDのデータ漏洩、パスワードを再利用した従業員の2022年のハッキングに起因

分散型アイデンティティスタートアップおよびKnow-Your-Consumer（KYC）認証プロバイダーであるFractal IDは、7月14日に発生したデータ漏洩についての事後報告を公開しました。同社によると、漏洩したデータには「名前、メールアドレスまたは電話番号、ウォレットアドレス、物理的な住所、アップロードされた書類の画像や写真」が含まれる可能性があり、約6,300人のユーザー、つまりFractal IDのデータベースに登録されているユーザーの0.5％に影響を与えたとしています。

ベルリンに拠点を置くFractal IDは、Polygon、Ripple、Nearを含む少なくとも8つの暗号プロトコルに対してコンプライアンス支援を提供しており、250社以上の企業を顧客に持つと ウェブサイト に記載されています。

脅威アクターは、侵害された従業員のアカウントを通じてシステムにアクセスしました。従業員がシステムへの管理者レベルのアクセス権を持っていたため、ハッカーは内部のデータプライバシーシステムを「回避」することができたと同社は述べています。攻撃が始まってから29分後に自動システムがエンジニアに通知し、攻撃者を排除することができました。

攻撃の責任を主張する者が身代金を要求しましたが、同社は交渉を拒否し、ベルリンのサイバー犯罪法執行機関に連絡しました。また、影響を受けたユーザーにも連絡を取ったと事後報告に記載されています。同社は、今後の攻撃に対する防御策として、機密データへのアクセス権を持つアカウントの制限や、未知のIPアドレスからのログイン要求のブロックなど、いくつかの対策を講じる予定です。

初期のハッキングは2022年に遡る

サイバー犯罪インテリジェンス企業Hudson Rockの研究者によると、従業員のマシンは2022年9月に最初に侵害されました。このマシンは、2019年4月に初めて観測された一般的なMalware-as-a-ServiceであるRaccoon 'infostealer' に感染していました。

「コンピュータは2022年に感染していましたが、被害者はパスワードを変更しなかったため、ハッカーがアカウントに侵入し、ハッキングを開始することができました」と研究者は書いています。

「オペレーターは私たちのopsecポリシーとトレーニングに従いませんでした。今後、オペレーターがこれを回避できないようにするための技術的な対策を講じました。これはソフトウェアの脆弱性の結果ではありませんでした」とFractal IDは事後報告に記載しています。

米国司法省は、2022年に26歳のウクライナ国籍のMark SokolovskyをRaccoon Infostealerの運営を共謀したとして起訴しました。これは、暗号通貨で月額わずか200ドルでハッカーに貸し出されていたとされています。FBIは、「世界中の数百万の潜在的な被害者から盗まれたデータの中に、5,000万以上のユニークな資格情報や識別形式（メールアドレス、銀行口座、暗号通貨アドレス、クレジットカード番号など）が含まれている」と特定しましたが、その数は過小評価されている可能性が高いと認めています。

ロシアのウクライナ侵攻後に死亡を偽装しようとしたが失敗したSokolovskyは、今年2月に米国に引き渡されました。米国政府は、ユーザーが自分の資格情報が侵害されているかどうかを確認できるウェブサイトも設置しました。