Ledger、Global-e Systemsを通じて顧客データ流出を確認

Cryptotale2026/01/06 06:32

原文を表示

著者:Cryptotale

Global-eでの不正アクセスにより、Ledger顧客の氏名および連絡先情報が流出しました。
Ledgerは、ウォレットの資金回復フレーズやプライベートキーにはアクセスされていないことを確認しています。
セキュリティ専門家は、流出した連絡先データがフィッシングや詐欺のリスクを高めると警告しています。

ハードウェアウォレットメーカーのLedgerは、サードパーティの決済処理業者であるGlobal-eのシステム内で発生した不正アクセスによる新たなデータ流出に直面しています。このインシデントでは、Global-eのクラウドインフラから顧客の氏名や連絡先などの個人情報が窃取されました。ウォレットの資金、プライベートキー、またはリカバリーフレーズが侵害された形跡は一切ありません。

Global-eは影響を受けた顧客に電子メールで通知し、クラウド環境の一部で異常な活動を検知したため調査を開始したと述べました。この通知では、Ledgerの顧客がどれだけ影響を受けたかや、正確な攻撃時期は明かされていません。この通知は、ブロックチェーン調査員のZachXBTがXで共有したことで初めて公に広まりました。

コミュニティ：Ledgerは決済プロセッサーGlobal-eを通じて再びデータ漏洩を起こし、顧客の個人データ（氏名およびその他の連絡先情報）が流出しました。

本日早くにも顧客は以下のメールを受け取りました。pic.twitter.com/RKVbv6BTGO
— ZachXBT (@zachxbt) 2026年1月5日

Ledgerはこのインシデントを認め、侵害は完全にGlobal-eのシステム内で発生したと述べました。同社によれば、Global-eがデータ管理者として顧客への通知を行ったとのことです。

Global-eによるサードパーティ侵害の確認

Global-eは不正な活動を特定し、迅速にセキュリティ管理を適用して問題の封じ込めを図ったと発表しました。その後、外部のフォレンジック専門家を招いてインシデントを詳細に調査しました。
この調査により、個人顧客データの一部への不適切なアクセスが確認されました。

電子メール内で、Global-eは顧客に対し「独立したフォレンジック専門家を招いてインシデントの調査を実施しました」と伝えています。また、調査員は「氏名や連絡先情報など一部の個人データが不適切にアクセスされた」と確認しました。本声明では、支払い情報や認証資格については触れられていません。

Ledgerもこれらの調査結果を反映しました。同社によれば、不正アクセスはGlobal-eの情報システム内に保存されていた注文データに影響を与えたとのことです。Ledgerは、今回のインシデントが自社の内部インフラ、デバイス、アプリケーションには影響を及ぼしていないことを繰り返し強調しています。

Ledgerの対応とセキュリティ範囲

Ledgerは、自社のセルフカストディ型製品には今回のインシデントの影響がないことを強調しました。
同社は、Global-eがリカバリーフレーズやウォレット残高、デジタル資産の秘密にアクセスできないことを明確にしています。Ledgerのハードウェアおよびソフトウェアシステムは通常通り稼働しています。

「これはLedgerのプラットフォーム、ハードウェア、ソフトウェアシステムの侵害ではありません」と同社は述べています。
また、Global-eはLedger.comを通じて購入した顧客の購入および注文関連情報のみを処理していたと付け加えました。Ledgerの公式SNSチャンネルでは、現在アクティブなセキュリティインシデントは報告されていません。

同社はさらに、Global-eが顧客へ直接連絡した理由を説明しました。Ledgerによれば、Global-eが影響を受けたデータを管理していたため、侵害通知の責任を負っていたとのことです。公開時点で、両社とも影響を受けた顧客数の推定値を公表していません。

過去の侵害と継続的なリスク

今回のインシデントは、Ledgerに関連する過去の複数のセキュリティイベントに続くものです。2020年6月には、誤設定されたサードパーティAPIによりマーケティングおよびeコマースデータが流出しました。この侵害では約100万件のメールアドレスと9,500人の顧客の詳細な連絡先データが漏洩しました。

2023年には、Ledger関連のソフトウェアライブラリが侵害され、攻撃者がわずか5時間で$484,000から$600,000相当の暗号資産を流出させました。影響を受けたアプリケーションにはSushiSwap、Zapper、MetalSwap、Harvest Financeが含まれます。

ZachXBTはその後、ハードウェアウォレットを購入する際には最小限または代替の連絡先情報を使用するよう顧客に提案しました。このアプローチは、データベースが流出した場合に標的型フィッシングの効果を減らすことを目的としています。セキュリティ専門家は、ウォレットへのアクセスがなくても流出した連絡先データがソーシャルエンジニアリング攻撃を助長する可能性があると引き続き警告しています。

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック