OpenSeaでユーザーのメールアドレス流出 担当従業員が権限悪用

2022/07/01
画像 Shutterstock

大手NFTマーケットプレイスのOpenSeaは6月29日、ユーザーとニュースレター登録者のメールアドレスが流出したと発表した。警察当局などにも報告済みで調査を進めているが、「opensea.io」に類似した「opensea.org」といったメールアドレスからのなりすましメールやフィッシングメールへの注意を呼び掛けている。

流出元は、OpenSeaのメール配信ベンダーであるCustomer.ioの従業員。業務上のアクセス権を悪用してユーザーのメールアドレスを不正に入手し、外部の第三者と共有したことが判明した。情報を流出させた疑いのある従業員のアクセス権限は、すでに停止したという。

OpenSeaは「過去にOpenSeaにアドレス情報を提供したことがあるユーザーは、流出による影響を受けると考えてほしい」と警告。OpenSeaからの本物のメールはドメイン「opensea.io」 からしか送信されないことや、添付ファイルや何かのダウンロードを要求するものは送られないこと、パスワードやウォレットトランザクションに署名するよう直接促すリンクは絶対に送信されないことを説明し、ユーザー自身にも安全確保と自衛を徹底するよう述べた。

OpenSeaでは2月、複数のユーザーが、スマートコントラクトの移行に乗じたフィッシング詐欺の被害にあっている。同月に行われたスマートコントラクトの更新で、更新画面になりすましたWebサイトのフィッシング詐欺が仕掛けられたとみられ、複数のユーザーがNFTを移行後に何者かに盗まれたとSNSなどで報告。同社の共同創設者で最高経営責任者(CEO)のDevin Finzer氏も「フィッシングのメールは認識されていない」としながらも、悪質なフィッシング攻撃を受け、32人のユーザーがNFTの盗難被害を受けたことを認めている。

また6月には、OpenSeaの元従業員がインサイダー取引の容疑で米司法省に起訴されている。元従業員はNFTが一般公開される前にどの作品がプラットフォームのトップ画面に掲載されるかの情報を入手し、匿名のOpenSeaアカウントと暗号資産ウォレットを使用して複数のNFTを購入。トップ画面に表示されたNFTは注目されるため価格が上昇する可能性が高いが、元従業員はそのNFTを選ぶ責任者だった。