偽アプリが“公式っぽさ”で被害を拡大
暗号資産ウォレットを装った偽アプリが、AppleのApp Store上で配布され、約950万ドル相当の暗号資産流出に関与したと報じられました。The Blockによると、ブロックチェーン調査者ZachXBTは、この偽Ledger Liveアプリがビットコイン、Tron、Solana、XRP Ledgerなど複数のネットワークにまたがる被害につながったと指摘しています。Appleはその後、このアプリを削除したと伝えられています。
今回注目すべきなのは、攻撃が単一のチェーンやトークンに限定されていない点です。被害は“資産の種類”ではなく、“利用者がどのアプリを正規品だと信じたか”に依存して広がったとみられます。つまり、ウォレット名やロゴが本物に見えても、それだけでは安全性を担保できないということです。
被害の焦点は“アプリ流通”にある
Ledgerは公式サイト上で、Ledger Walletアプリの正規配布元は自社サイトであると案内しており、回復フレーズを要求する画面が出た場合は詐欺だと注意喚起しています。今回の事件は、ウォレットの利用者が守るべき基本ルールが、改めて実地で試された形です。
また、今回のケースは「公式ストアに掲載されていれば安全」という前提を揺さぶります。アプリ審査を通過したように見える偽アプリでも、実際には利用者をだまして秘密情報を入力させる仕組みを持っていることがあります。ストア名よりも、提供元、配布ページ、レビューの不自然さ、初回起動時の挙動を確認する姿勢が重要です。これはLedgerに限らず、暗号資産関連アプリ全般に当てはまります。
複数チェーン被害が示す“分散されたリスク”
被害がBTCだけでなく、EVM系ネットワーク、Tron、Solana、XRP Ledgerにまたがった点も重要です。暗号資産の保管や送金はチェーンごとに仕組みが異なる一方、攻撃の入り口は同じく「偽アプリ」「偽サポート」「秘密情報の入力要求」であることが多いからです。結果として、ユーザーがどの資産を持っているかに関係なく、同じ誘導手口で一網打尽にされる可能性があります。
さらに、今回の事例では被害額が大きいだけでなく、被害者数も50人超と伝えられています。これは単発のトラブルではなく、一定期間にわたって継続したキャンペーンとして機能していた可能性を示します。暗号資産のセキュリティでは、1回の失敗が即座に資産流出に直結するため、配布元の確認と秘密情報の非共有が何より重要です。
利用者が確認すべき実務的なポイント
今回の報道から読み取れる実務上の確認点は、次の3つです。
- 配布元を必ず確認する: 公式サイトや公式案内に記載されたリンクかを見直す。
- 回復フレーズを入力しない: アプリやWebページが要求しても応じない。Ledgerもそのような要求は詐欺だと案内しています。
- ストア掲載だけで判断しない: App Store上の表示やレビューだけでは正規性を断定できない。
加えて、ハードウェアウォレットを利用している場合でも、ソフトウェア側で秘密情報を入力させる導線があれば危険です。秘密鍵や回復フレーズは、管理の最後の砦として扱う必要があります。
まとめ
今回の偽Ledgerアプリ事件は、暗号資産のセキュリティが「チェーンの強さ」だけでは成立しないことを改めて示しました。実際のリスクは、利用者が日常的に触れる配布経路やログイン導線に潜んでいます。今後は、ウォレット本体の安全性に加えて、アプリの入手経路をどう検証するかが一段と重要になりそうです。