最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- セキュリティ専門家は、ユーザーにニーモニックシードフレーズの入力を求めるCoinbaseの公式ページが、非常に危険なセキュリティ上の脆弱性を抱えていると指摘した。.
- そのページはCoinbase Commerceの事業縮小に関連しており、ユーザーをフィッシング攻撃に対してより脆弱にする可能性のある切迫感を生み出していた。.
- アナリストらは、このデザインは詐欺師にとって格好の手口となり、ページを複製してユーザーを騙し、ウォレットへのアクセス権限を奪い取る可能性があると警告している。.
公式Coinbaseサブドメイン上のページで、暗号資産を復元するためにユーザーにニーモニックシードフレーズを平文で入力するよう促すページが、ブロックチェーンセキュリティ専門家によって問題視されている。.
彼らがCoinbaseのページ構成について最も不満に思っている点は、ユーザーが典型的なソーシャルエンジニアリング攻撃に晒されるリスクがあり、その情報が既に犯罪者の手に渡っている可能性があるということだ。.
このページは、3月31日の期限を前に、Coinbase Commerceの事業縮小プロセスの一環として公開された。.
Coinbase、顧客をフィッシング詐欺の脅威に晒したとして非難を浴びる
2026年3月19日、ブロックチェーンセキュリティ企業SlowMistの創設者であり、オンラインではEvilcosとして知られるYu Xian氏によって、Coinbaseのページが公に問題視された。.
Xianは Xに スクリーンショットを共有しながら、「Coinbaseがなぜこのようなページを用意し、資産復旧のためにユーザーにプレーンテキストのニーモニックフレーズを直接入力させるのか、本当に理解できません。このようなセキュリティ上の問題があるとは信じられません…サブドメインがハッキングされたのかと思いました。」と書き込んだ。
この警告は、Coinbaseとその一部のユーザーにとって非常にデリケートな時期に発せられた。というのも、同社のコマースプラットフォームは閉鎖の最終段階に入っており、数千もの加盟店が資金の緊急回収を迫られているからだ。.
これはまさに、締め切りのプレッシャーによってユーザーが焦り、dent情報を入力する場所について注意を怠るようになる典型的な例だ。.
また、ユーザーはGoogleドライブなどのクラウドストレージサービスに保存したフレーズをコピーすることもできます。.
Coinbaseの公式ヘルプドキュメントには、同社がユーザーのリカバリーフレーズを要求したり、アクセスしたりすることは決してないと明記されているが、Commerceページはこの原則に真っ向から矛盾しているように見える。.
攻撃者はこれをどのように悪用する可能性があるでしょうか?
研究者たちの懸念は、Coinbase自身がそのデータをどのように利用するかという点にとどまらない。彼らによれば、そのページの設計は不正行為の手引書となる可能性があるという。.
SlowMistの最高情報セキュリティ責任者である23pds氏 は、 「リンクはCoinbaseの公式ウェブサイトからのものですが、資産を確認するためにユーザーにニーモニックフレーズを直接送信するように求めるのは非常に愚かな行為です」と述べています。
23pdsはさらに、このページには「リンク先のウェブサイトのサイトマップに欠陥がある」という問題点もあると指摘した。「攻撃者はResourcesSaverのようなツールを使ってフロントエンドのコードを簡単にダウンロードし、類似のウェブサイトを構築できる。これがCoinbaseのような類似ドメインと組み合わされ、フィッシング攻撃に悪用されると、ユーザーは簡単に詐欺に引っかかってしまう可能性がある。」
オンチェーン調査員の ZachXBTはソーシャルエンジニアリングに関連した数億ドル規模の仮想通貨窃盗を記録してきた
「つまり、Coinbaseには、攻撃者がシードフレーズを使ったソーシャルエンジニアリングでCoinbaseユーザーを標的にするために利用できる公式ページが存在するということか?」と彼は書き込んだ。そして、後続のコメントで「チームができるだけ早く修正して削除してくれることを願う」と付け加えた。
本稿執筆時点において、Coinbaseはこの問題に関して何ら声明を発表しておらず、該当ページも削除していない。.
Coinbaseまたはそのユーザーは、過去に不正利用されたことがありますか?
Coinbaseは過去に、 ソーシャルエンジニアリング攻撃 顧客を標的とした
2025年2月、ZachXBTは、わずか2ヶ月間でユーザーがこうした攻撃により6500万ドル以上を失ったと報告した。これは、彼が推定する年間損失額3億ドルの一部である。調査員は、dent詐欺師が Coinbaseのサポートスタッフになりすまし 。
数か月後の2025年5月、 データ侵害 一部のユーザーの個人データが流出する は 、この侵害は犯罪者が海外のサポート担当者に賄賂を贈ったことが原因で発生したと認めた。
同社は関係した従業員を解雇し、規制当局に通知するとともに、影響を受けた利用者に対し1年間の信用監視サービスを提供した。また、是正費用と顧客への自主的な返金に充てるため、1億8000万ドルから4億ドルの予算を確保し、逮捕につながる情報提供者には2000万ドルの報奨金を提供すると発表した。.
現在のコマースページは、悪意のある者にとって格好の標的となり得る状況にあるため、Evilcosによる最近の警告を受けて、取引所は今後の悪用を防ぐための緊急措置を講じるべきである。.
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
免責事項: 本情報は投資助言ではありません。Cryptopolitan.com Cryptopolitan、 本ページの情報に基づいて行われた投資について一切責任を負いません。投資判断を行う前に、ごtrondentdentdentdentdentdentdentdent で調査を行うか、資格のある専門家にご相談されることを
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)