Ledgerの偽物が送付される事例
広く使われる暗号資産(仮想通貨)のハードウェアウォレットLedgerについて、偽物が送りつけられてくる事例があると注意喚起が行われている。オンライン掲示板サイトRedditでは、あるユーザーが実物を開封して警告した。
Victims of the July 2020 Ledger hack are receiving fake hardware wallets.
— Bitcoin Magazine (@BitcoinMagazine) June 17, 2021
Below is a fake letter that a victim received, with a malicious hardware wallet.
Be wary of scammers! pic.twitter.com/whXYF9RoQ7
この「Ledger Nano X」ウォレットは、本物のようにパッキングされており、仏Ledger社のロゴが入った手紙が添えられている。同社から漏洩した顧客情報がハッキングフォーラムに掲載されたことに言及し、ウォレットを新しいものに交換する必要があると説明する内容となっている。
手紙の一部は次のように述べている。
セキュリティ上の理由から、あなたは安全を確保するために、当社がお送りした新しいウォレットに切り替える必要があります。ウォレットのセットアップ方法についてのマニュアルも同封しました。
当社は、漏洩が再び起こらないように機器の構造を変更しました。
Redditの投稿者は、ウォレットを分解し、回路基板が改造されていることも確認したという。
マニュアルは、偽のLedger Liveアプリを実行し、ユーザーに自分のウォレットの回復フレーズ(秘密鍵)を入力するよう指示している。ウォレットの回復フレーズは、そのウォレットをインポートして、そこに含まれる仮想通貨を取り出すことを可能にするもの。
偽のアプリに入力された回復フレーズが詐欺師に送信され、ウォレットの資産を盗める状態にする仕組みのようだ。
情報漏洩以降、フィッシングが増加
Ledger社も、この偽ウォレット送付詐欺について把握しており、ホームページ上で警告している。同社はLedger Liveアプリは公式からダウンロードする必要があると呼びかけ、また「Ledger社やLedger Liveが、24語の回復フレーズを求めることはない」と警告した。
2020年にLedger社がサイバー攻撃を受け、ユーザー氏名やメールアドレスなど顧客情報が不正流出。それ以来、漏洩した名簿に含まれていた一部のユーザーには、フィッシングメールなどが届いている。
なおこの際、日本の正規代理店「ハードウェアウォレットジャパン」は、購入経路が日本の販売代理店の場合、仏本社とは別に個人情報を管理しているため問題がないと説明していた。
関連:「米国対象者91432件、日本対象者1372件」情報漏洩した仮想通貨ウォレット仏Ledgerがリスト公開
Ledger社の注意喚起
Ledger社は、この他にAmazonなど通販サイトで、すでに初期化され回復フレーズの付与されたウォレットが販売されていた事例についても報告し警戒を促している。本来、ユーザーはウォレットを自分で初期化しなければならないものだ。
その他にも、Ledger社はテキストメッセージや電話、郵便などでユーザーに連絡することはなく、その場合はフィッシング行為にあたる可能性が高いこと、偽のLedger社ドメインに注意することなども呼びかけている。