米国の暗号資産取引所Krakenが、インサイダー脅威を起点とした恐喝被害を公表した。CSO(最高セキュリティ責任者)のNick Percoco氏が声明を発表し、内部システムへのアクセス映像を公開すると脅す犯罪グループの存在を明かした。「システムそのものは侵害されていない」「資金は安全だ」とする一方で、「支払わない・交渉しない」という明確な姿勢を打ち出している。

暗号資産業界特有の話に見えるかもしれないが、この事件の構造はあらゆる業界のIT担当者にとって他人事ではない。

何が起きたのか

2025年2月、信頼できる情報筋から「クライアントサポートシステムへのアクセスを示す映像が犯罪グループ間で出回っている」という提供を受けたKrakenは調査を開始。その結果、脅威アクターに採用・買収されたサポート従業員1名が特定された。

その後、さらに別の映像が出回っていることが判明し、2件目の不正アクセスも確認。いずれも迅速に当該従業員のアクセスを剥奪し、影響を受けたユーザーへの個別通知を行った。

影響を受けたアカウントは約2,000件(全ユーザーベースの0.02%)で、露出した情報はクライアントサポートデータに限定。顧客資金へのリスクはなかったとしている。Krakenは現在、複数の司法管轄にまたがる連邦法執行機関と連携して法的措置を進めているという。

インサイダー脅威という構造的問題

今回の手口は「従業員をスカウト・買収して内部アクセスを得る」という古典的かつ非常に有効なアプローチだ。技術的な防御が強固になればなるほど、攻撃者は人間という最も管理しにくいポイントを狙う傾向が強まる。

同じく暗号資産交換所のCoinbaseでも2025年中旬に類似の事件が発生している。インド拠点のカスタマーサポート代理店の従業員が買収され、約7万人の顧客情報が流出。Coinbaseは損害総額を約4億ドルと試算した。

業界や規模は異なっても、この構造は共通している。外部の技術的境界線を突破できなければ、人を使って内側から扉を開けようとする——これが現代の攻撃シナリオの現実だ。

最小権限とJust-In-Timeアクセスが鍵

サポート従業員が「アクセスすべきでないデータにアクセスできた」という事実こそが問題の核心だ。技術的な制御がどこかで機能していれば、内部不正はここまでスムーズには進まなかったはずだ。

ここで重要になるのが最小権限の原則(Principle of Least Privilege)とJust-In-Time(JIT)アクセスだ。常時アクセス権を付与しておくことは、インサイダー脅威に対してほぼ無防備に等しい。「必要な時に、必要なスコープだけ、期限付きで付与する」設計が、ダメージの最小化に直結する。

あわせて、UEBA(User and Entity Behavior Analytics)によるアクセスログの常時監視と異常パターン検知も有効だ。不正が行われたとしても早期検知できれば、被害拡大を防げる可能性が大きく高まる。

日本のIT現場への影響

日本の大企業では、従来のネットワーク境界型セキュリティとゼロトラストの考え方が中途半端に混在しているケースが多い。「社内ネットワーク内なら信頼できる」という思想が残っていると、インサイダーによる不正アクセスを技術的に防ぐ仕組みが機能しない。

クラウドサービスや外部委託パートナーが当たり前になった今、「誰がどのデータに触れられるか」を厳密に管理するIAM(Identity and Access Management)の整備は待ったなしだ。SaaSのカスタマーサポートやヘルプデスク業務を外部委託している組織は特に、データスコープの設計とアクセス制御の粒度を今すぐ見直してほしい。

Krakenの対応自体は迅速だった。アクセス剥奪・調査・ユーザー通知・法執行機関との連携——いずれも教科書通りのインシデントレスポンスだ。「払わない・交渉しない」という姿勢も正しい。恐喝に応じることは次の攻撃を招くだけだ。

筆者の見解

今回の事件が示す最も重要な教訓は、「技術的に堅牢なシステムでも、アクセス権を持つ人間が弱点になりうる」という当たり前の事実だ。そして、この問題に対する答えは「人を信頼しない設計」にある。これは人間不信ではなく、構造として不正を難しくするということだ。

少し気になる点がある。1件目の対応後、なぜ同じ経路での再発を防ぐ仕組みが機能しなかったのか——外部からは見えない部分だが、2件目が発覚してからの公表という経緯には再発防止策の実効性という観点で問うべき点が残る。

インサイダー脅威への対策として明日から取り組めることを整理する:

  • 常時アクセス権の棚卸し: サポート担当者が「見える必要のないデータ」にアクセスできていないか確認する
  • JITアクセスの導入検討: Azure AD(Entra ID)のPIM(Privileged Identity Management)などを活用し、昇格アクセスに承認フローと有効期限を設ける
  • 操作ログの可視化と自動アラート: 通常業務では発生しないアクセスパターンを検知する仕組みを整備する
  • 外部委託先のアクセス範囲の見直し: 委託先従業員のアクセス制御は自社従業員と同等以上に厳格に

技術的な境界線を固めた次のフロンティアは、確実に「人」だ。セキュリティ投資を考える際、このインサイダー脅威という視点を必ず組み込んでほしい。

出典: この記事は Crypto-exchange Kraken extorted by hackers after insider breach の内容をもとに、筆者の見解を加えて独自に執筆したものです。