仮想通貨ウォレット大手レジャー、決済代行業者経由で顧客情報流出

暗号資産（仮想通貨）ハードウェアウォレット大手のLedger（レジャー）が5日、同社が利用する決済代行業者Global-e経由で顧客の個人情報が流出したことを明らかにした。同社は顧客に対してメールで通知し、フィッシング詐欺への警戒を呼びかけている。

Global-eのネットワーク侵害で個人情報が流出

オンチェーン探偵として知られるZachXBT氏（@zachxbt）は5日午後8時30分（日本時間）にXで「コミュニティ警告：レジャーが決済代行業者Global-eを経由して、顧客の個人データ（氏名やその他の連絡先情報）を流出させる別のデータ侵害を受けた。本日早朝、顧客は以下のメールを受け取った」と投稿し、レジャーから顧客に送られたメールの内容を公開した。

レジャーが顧客に送付したメールによると、Global-eは最近、ネットワークの一部で異常な活動を検知した。「Global-eは最近、ネットワークの一部で異常な活動を特定しました。私たちがクラウドシステムの異常な活動に気づいた直後、システムを封じ込めて最終的に保護するための措置を講じました。私たちは独立した法医学専門家に事件の調査を依頼し、氏名や連絡先情報を含む一部の個人データが不正にアクセスされたことを特定できました」と説明している。

流出したのは顧客の氏名と連絡先情報（name and contact information）のみで、秘密鍵や暗号資産そのものは影響を受けていない。

流出した個人情報を悪用したフィッシング詐欺が懸念される。攻撃者は流出した氏名やメールアドレスを使い、レジャーを装った偽のメールやSMSを送信する可能性がある。

ZachXBT氏は今回の情報流出を「別のデータ侵害（another data breach）」と表現しており、レジャーが過去にも同様の事件を経験していることを示唆している。顧客は不審なメールやリンクに注意し、秘密鍵やリカバリーフレーズを第三者と共有しないよう警戒する必要がある。

今回の事件は、サードパーティー（第三者）の決済代行業者を経由した侵害であり、レジャー自身のシステムが直接攻撃を受けたわけではない。しかし、サプライチェーン攻撃のリスクが改めて浮き彫りになった形だ。

関連：トラストウォレット、約11億円の被害者に全額補償プロセス開始──TWTは回復基調
関連：米国人の3人に1人が仮想通貨詐欺の被害経験──平均被害額は約50万円、AI悪用の合成ID詐欺は700%増