App Storeの偽Ledgerアプリで約950万ドル被害

Apple App Store上に掲載された偽のLedger Liveアプリが、複数の利用者から合計約950万ドル相当の暗号資産を盗み出す事案に結びついていたと報じられました。被害はBitcoin、複数のEVM系ネットワーク、Tron、Solana、Rippleにまたがり、少なくとも50人超が影響を受けたとされています。Appleはその後、該当アプリを削除したと伝えられています。

何が起きたのか

今回のケースで注目されるのは、「公式ストアに並んでいるアプリだから安全」とは限らない点です。The Blockによると、問題のアプリは正規のLedgerアプリを装っており、利用者がシードフレーズ、いわゆる復元用の24語を入力したことで資産流出につながったとみられています。Ledger CTOのCharles Guillemet氏も、Ledgerが24語を求めることはないと注意喚起しており、秘密鍵をアプリやWebサイトに入力しないよう呼びかけています。

被害が広がった背景

報道によれば、盗まれた資産の一部はKuCoinに関連する多数の入金アドレスを経由して移動したとされ、オンチェーン上での追跡と洗浄の難しさも浮き彫りになりました。暗号資産の送金は可視性が高い一方で、アドレスの分散やミキシング的な手法が重なると、犯人特定や資産回収は一段と複雑になります。これは個別のウォレット事故にとどまらず、資金移動のインフラ全体に潜むリスクを示す事例ともいえます。

今回の事案が示す3つの論点

1. 公式ストアでも“真贋確認”が必要

アプリ名、アイコン、説明文が本物に見えても、開発元や配信元の確認を省略すると被害につながります。特にウォレット関連アプリは、検索結果の上位表示やレビュー数だけで判断しないことが重要です。今回の件は、配信プラットフォーム側の審査をすり抜けた可能性がある点でも、ユーザー保護の限界を示しました。

2. シードフレーズは“絶対に入力しない”が原則

Ledger側のコメントが強調したのは、24語の入力を求めるアプリやサイトは疑うべきだという点です。ハードウェアウォレットは、秘密鍵を端末外に出さない設計が要です。にもかかわらず、ユーザーが復旧手順と詐欺手口を見分けられないと、保管方式そのものの利点が失われます。

3. 被害は単一チェーンに閉じない

今回の流出はBitcoinだけでなく、TronやSolana、Rippleなど複数チェーンに広がりました。つまり、どのネットワークを使っていても、同じ「偽アプリ経由の認証情報窃取」という入口で狙われる可能性があります。資産の分散保管をしていても、入力端末が乗っ取られれば防ぎ切れないことが分かります。

利用者が確認しておきたい基本対策

• ウォレットアプリは公式サイトから入手する
• シードフレーズをアプリ・SNS・Webフォームに入力しない
• 端末の表示する送信先アドレスを毎回確認する
• 不審な復旧案内や“サポート連絡”をそのまま信用しない
• 可能ならハードウェアウォレットと物理的な保管ルールを分ける

これらは特別な対策ではありませんが、今回のような事例では最初の防波堤になります。とくに「急いで復旧しなければならない」と感じる状況ほど、詐欺側は心理的な隙を突いてきます。

まとめ

今回の偽Ledgerアプリ事件は、暗号資産のセキュリティにおいて、プロダクトの信頼性だけでなく利用者側の確認手順が極めて重要であることを改めて示しました。公式ストア掲載という外形だけでは安全性は担保されず、シードフレーズを守る基本動作が最大の防御策になります。今後も同種の偽装アプリは形を変えて現れる可能性があるため、ウォレット利用時の導線確認がより重要になりそうです。