Trezorアプリの偽物
暗号資産(仮想通貨)ハードウェアウォレットTrezorについて、スマホアプリの偽物が米国と英国のApple App Storeに掲載されている可能性が浮上した。
Trezorが提供する正規のウォレットアプリは「Trezor Suite Lite」という名称だが、その偽物は「Trezor Wallet Suite」の名で検索結果で上位表示されているという。*確認したところ、日本のApple App Storeで「Trezor Wallet Suite」は表示されていない(執筆時点)。
🚨 Security Alert 🚨
— Rafael Yakobi (@Deliver8tor) June 19, 2023
The first search result for "Trezor" in the Apple @AppStore is a malicious application that will request your seed phrase, allowing its operators to steal all of your crypto.
The name of the malicious application is "Trezor Wallet Suite." You can verify… pic.twitter.com/vWsXTHpkYK
The Crypto Lawyersのパートナー、Rafael Yakobi氏は、偽のアプリがApple App Storeに掲載されていた期間は数週間に及ぶと指摘。同氏は、この偽アプリでシードフレーズ(リカバリーフレーズ)を入力したユーザーが、資産の盗難リスクに晒されていると警告した。
シードフレーズとは
ウォレットの秘密鍵を人が読める形式に変換したもの。12個から24個の英単語で構成され、シードフレーズはウォレットのロック解除に必要となる。シードフレーズを紛失した場合、ウォレットにアクセスできなくなり、保管されている仮想通貨を失う可能性がある。
▶️仮想通貨用語集
Trezorは仮想通貨のハードウェアウォレットを製造する会社だ。Trezor OneやTrezor Model Tなどのデバイスを使って、仮想通貨をオフラインで保管できる。
スマホアプリTrezor Suite Liteは、デスクトップアプリ「Trezor Suite」と同期する子機として設計されており、「ウォッチオンリー(残高確認)」に機能が限られている。ユーザーはAndroidとiOSデバイスを介して、資産状況を追跡したり、外出先で仮想通貨の受け取りのみを行うなどの使用が可能だ。
関連:自己管理型のハードウェアウォレット、週間売上高が過去最高に
注目が高まるコールドウォレット
ハードウェアベースのウォレットは「コールドウォレット」とも称され、仮想通貨の保管、送金、受信などのタスクに利用される。これらのデバイスは、ウォレットの「秘密鍵」をインターネットから切り離した状態で保管するため、オンラインを通じたハッキング攻撃から資産を物理的に保護するメリットがある。
2022年11月、大手暗号資産取引所FTXの破綻と顧客資産の流用が明らかになり、自己管理の手段に対するニーズが急速に高まった。これを受けて、LedgerやTrezorなどのハードウェアウォレットの売上高が短期間で急増した。
だが一方で、ハードウェアウォレットを適切に活用するには一定の知識が求められる。仮想通貨の管理を自分で行うことで生じる複雑さ、秘密鍵やシードフレーズの紛失・盗難といったリスクへの懸念が常に存在する。
また、ハードウェアウォレット自体が物理的に奪われた場合、資産の保護が困難になる可能性も指摘されている。「RDPダウングレード攻撃」という手法では、特殊なハードウェアや知識を持つ攻撃者が、STM32マイクロチップの電圧を操作(グリッチ)し、設定された保護を迂回してフラッシュメモリの内容を抽出できるとされている。
これに対し、Trezorはハードウェアウォレットの新たなセキュリティ構成を開発中で、RDP攻撃の問題を解決する計画を進めていると説明している。
ハードウェアウォレットとは
秘密鍵を保管したデバイスのこと。デバイスそのものがウォレットなわけではなく、デバイスにはウォレットへアクセスするための秘密鍵が保管されている。パソコンに専用のアプリをインストールして、そこに外部デバイスを接続して管理する。パソコンに繋げていない間はインターネットに繋がっていないオフラインウォレット(コールドウォレット)になる。
▶️仮想通貨用語集
関連:Uncipheredがハードウェアウォレットの脆弱性を指摘、 Trezor製品を攻略か
