暗号通貨取引所Krakenは、プラットフォーム上の脆弱性を発見した「セキュリティ研究者」が約300万ドルを取引所の財務から引き出した後、「恐喝」に転じたと述べました。Krakenのチーフセキュリティオフィサー、Nick Percocoは、6月9日にセキュリティ研究者からバグ報奨金プログラムを通じて、ユーザーが自分の残高を人為的に増加させることを可能にする脆弱性について警告を受けたとソーシャルメディアプラットフォームX(旧Twitter)上で投稿しました。このバグは、「適切な条件下で悪意のある攻撃者が当社のプラットフォームに預金を開始し、預金を完全に完了させずにそのアカウントに資金を受け取る」ことを可能にしました。
Krakenはこの報告を受けて迅速に問題を修正し、ユーザーの資金には影響がなかったとPercocoは述べています。しかし、その後の出来事がKrakenのチームに警戒心を抱かせました。このセキュリティ研究者はバグを発見した後、それを他の2人に明かし、その2人が「不正に」Krakenのアカウントから約300万ドルを引き出しました。「これはKrakenの財務からのものであり、他のクライアントの資産ではありません」とPercocoは述べました。
当初のバグ報告は、その他2人の取引について言及しておらず、Krakenがその活動の詳細を求めたところ、彼らは拒否しました。「代わりに、彼らは自分たちのビジネス開発チーム(つまり営業担当者)との通話を要求し、我々が提供する推定される金額を提供するまで、いかなる資金も返却することに同意しませんでした。これはホワイトハットハッキングではなく、恐喝です!」とPercocoは書きました。
Krakenは、これらの研究者と誠実に対応し、10年間のバグ報奨金プログラムの運営に沿って、彼らの努力に対してかなりの報奨金を提供していましたが、この経験に失望しており、現在は法執行機関と協力してこれらのセキュリティ研究者から資産を回収する作業を行っているとKrakenのスポークスパーソンはCoinDeskに語りました。
【ニュース解説】
暗号通貨取引所Krakenは、自社のバグ報奨金プログラムを利用して発見された脆弱性を悪用し、約300万ドルを不正に引き出した後、更なる金銭を要求する形で恐喝を行ったとされるセキュリティ研究者について報告しました。この事件は、バグの発見者が通常期待される倫理的な行動を逸脱し、犯罪行為に及んだ例として注目されています。
バグ報奨金プログラムは、セキュリティの専門家やハッカーが企業のシステム内の脆弱性を探し出し、発見したバグを企業に報告することで報酬を受け取る仕組みです。このプログラムは、悪意のある攻撃者による実際の被害が発生する前に問題を修正するために広く採用されています。しかし、今回のケースでは、バグを発見した研究者が、その情報を他の者に漏らし、不正な資金引き出しを行ったとされています。
この事件は、セキュリティ研究者としての倫理規範を逸脱した行為であり、通常のホワイトハットハッカーの行動とは異なります。ホワイトハットハッカーは、セキュリティの強化に貢献することを目的としており、発見した脆弱性を悪用することなく、企業に報告することが期待されています。しかし、このケースでは、バグの発見者が自ら脆弱性を悪用し、さらに企業に対して金銭的な要求を行ったため、恐喝と見なされています。
このような行為は、バグ報奨金プログラムの信頼性を損なうだけでなく、セキュリティ研究者コミュニティ全体の評判にも影響を与えかねません。また、企業側がセキュリティ研究者との協力関係を構築する上での障壁となり得ます。この事件を受けて、企業はバグ報奨金プログラムの運用方法を見直し、同様の事件の再発防止に向けた対策を講じる必要があるでしょう。
長期的な視点で見ると、この事件は暗号通貨取引所をはじめとする企業が、セキュリティ対策としてバグ報奨金プログラムをどのように運用し、セキュリティ研究者との関係をどのように築いていくかについて、重要な議論を促す契機となる可能性があります。また、法的な枠組みや規制においても、このような事件に対する対応策やガイドラインの整備が求められることになるかもしれません。
from Kraken Says Hackers Turned to 'Extortion' After Exploiting Bug for $3M.
