NFTマーケットプレイス「OpenSea」のベンダーがユーザーのメールアドレスを外部に漏えい、フィッシング詐欺の危険も

NFTの生成やオークション出品ができるサービスを手がけるOpenSeaが2022年6月29日に、同社のメール配信ベンダーであるCustomer.ioの従業員が、OpenSeaユーザーのメールアドレスを外部に流出させたことが判明したと発表しました。OpenSeaは、同社のユーザーやニュースレターの購読者に対し、OpenSeaを装った悪意のあるメールが届くと想定されるため十分注意するよう呼びかけています。

Important Update on Email Vendor Security Incident - OpenSea Blog
https://opensea.io/blog/safety-security/important-update-on-email-vendor-security-incident/

NFT giant OpenSea reports major email data breach | TechCrunch
https://techcrunch.com/2022/06/30/nft-opensea-data-breach/

NFTマーケットプレイスのOpenSeaによると、今回の個人情報流出は同社が契約しているメール配信ベンダーであるCustomer.ioの従業員がアクセス権を悪用してメールアドレスをダウンロードし、許可されていない外部の者と共有したことにより発生したものだとのこと。OpenSeaは被害の範囲について、「マーケットプレイスのユーザーやニュースレターの購読者など、過去にOpenSeaにメールアドレスを提供したことがある人」と説明しています。

イーサリアムのブロックチェーン分析サービスを手がけるDune Analyticsによると、OpenSeaのイーサリアムネットワークを通じて1回以上取引を行ったことがあるユーザーは180万人以上にのぼるとのこと。

ユーザーのメールアドレスが流出したため、被害者にはOpenSeaをかたったフィッシング詐欺などの悪意があるメールが届く可能性があります。そのため、OpenSeaは同社のドメインである「opensea.io」に類似したメールアドレスから届くメールに注意するよう呼びかけると共に、そうしたメールを受信した場合は開いたり、添付ファイルをダウンロードしたり、リンク先にアクセスしたり、パスワードや秘密のウォレットフレーズを入力したりしないよう求めました。

OpenSeaの広報担当者は、IT系ニュースサイトのTechCrunchに対して「私たちは、今回の流出の原因は担当者限定のアクセス権の乱用だと考えています。他のクライアントのデータが侵害されたとは考えていませんが、調査を続行しています。問題の社員は全てのアクセス権を剥奪され、調査が終了するまで停職処分になりました」と述べました。

OpenSeaではこれまでにも度々問題が発生しており、2022年1月にはシステムの不具合でNFTが不当に安い価格で買いたたかれていた問題が発覚したほか、2月には総額2億円相当のNFT254件が盗み出される事件が起きました。こうした不祥事により、OpenSeaでの取引量は大きく落ち込んでいると報じられています。

総額2億円のNFT254個がNFTマーケット大手「OpenSea」から盗まれる - GIGAZINE