旧FTX JPが顧客情報漏えいか

国内暗号資産（仮想通貨）取引所ビットフライヤーの関連会社であるカストディエム（Custodiem）より、同社からの顧客情報漏えいの可能性について8月23日に発表された。

ビットフライヤーは昨年7月、カストディエム（旧FTX Japan）の発行済み株式を100%を取得。その後8月にFTX Japanの商号はカストディエムに変更された。

発表によるとカストディエムおよびFTXグループの企業であるQuoine（コイン）は、カストディエムが買収された後の顧客データの一部の移転作業の過程で、海外の業務委託先によるクラウド環境の設定の誤りが生じたとのこと。これが原因で、過去に適切なアクセス制限がなされていない状態となっていた期間があったことを認識したという。

この状態は、2025年7月31日（日本時間）に海外メディアによる報道がなされ、同日中に確認をしたとのことだ。

公開された8月22日時点で判明している事実

8月22日時点で判明している事実として公開されたのは、以下。

【対象顧客】

2022年11月12日時点で当時のFTX Japanに口座を保有していたユーザーの一部（約36,000名）

【漏えいの可能性があった期間】

2025年1月17日 ～ 2025年7月31日

【漏えいの可能性があった情報】

2022年3月から同年11月までの期間における取引報告書兼証拠金受領通知書および取引残高報告書（月次）

上記の書面の管理に使用されていた電子メールアドレス

上記の書面に記載されていた氏名、住所、旧FTX Japan口座番号、ならびに現物取引および証拠金取引に関する履歴情報（売買、証拠金を含む法定通貨および暗号資産の残高、損益、入出金・入出庫の明細等）

※両社は顧客のクレジットカード番号やパスワードを保有していないとのこと。また対象となる顧客には、8月22日より電子メールアドレス等宛に、「お詫びとお知らせ」の案内をするとのことだ。

【二次被害状況】

両社は、漏えいの可能性があった情報について、第三者によるインターネット上での販売・二次利用・コピーの有無などを継続調査しているという。しかし、現時点でそういった事象を認識していないという。

また上述の通り、一般的に二次被害の原因となるクレジットカード番号やパスワードを両社は保有しておらず、その他の二次被害についても認識していないとのことだ。

なおカストディエムとQuoineは判明当日（2025年7月31日）、直ちに適切なアクセス制限措置を実施したとのこと。

カストディエムは、速やかに金融庁および個人情報保護委員会に対し法に基づく正式な報告を行ったとのこと。また8月21日には、金融庁より報告徴求命令を受領したとのことだ。

原因と再発防止策

両社は、漏えいの可能性があった情報について適切なアクセス制限をされていなかった原因として、カストディエムが買収された後のQuoineのシステムからカストディエムのシステムへの顧客データの一部の移転作業の過程における、海外の業務委託先によるクラウド環境の設定の誤りを確認したとのこと。

また両社は、海外メディアに対し、保有している関連データを削除するように要請したとのこと。

その他、両社において、海外を含む業務委託先の管理・監督を徹底するという。特に、クラウド環境の設定は、業務委託先が変更できないようにしたという。

調査の進捗により新たな重要事実が判明した場合は、速やかに公表する予定とのことだ。

参考：カストディエム・海外メディア
画像：PIXTA

関連ニュース

• ビットフライヤー、ビットコイン（BTC ($87,606.00)）レバレッジ取引の最小発注数量を引き下げ
• ビットフライヤー、FTX Japanの買収完了
• ビットフライヤーがFTX Japanの買収合意を正式発表、暗号資産のカストディと現物ETF提供を目指す
• ビットフライヤー、イーサリアム（ETH ($2,957.09)）ステーキングサービス対応開始
• FTX Japanへ3度目の「資産の国内保有命令」、業務改善命令も継続