暗号通貨詐欺の手口が再び進化し、最近ではTrezorやLedgerなどのハードウェアウォレットのユーザー数名が、公式通知を装った実体の手紙を受け取ったと報告しています。手紙にはQRコードをスキャンして強制的に認証を行うよう求められていますが、実際にはユーザーに助記詞の入力を誘導し、資産を盗み取る目的です。この種の攻撃は初めてではなく、個人情報流出やソーシャルエンジニアリング詐欺の長期的なリスクを改めて浮き彫りにしています。
公式通知を装った実体の手紙、期限内の「本人確認」を要求
サイバーセキュリティチームのDmitry Smilyanetsは、多くのユーザーがTrezorやLedgerからの紙の手紙を受け取ったと指摘しています。内容は、一定期限内に「本人確認(Authentication Check)」や「取引確認(Transaction Check)」を完了しないと、デバイスが制限される可能性があるとしています。
報告によると、手紙の外観は精巧に作られており、偽造署名やブランドロゴ、偽造防止ステッカーが含まれ、認証用のQRコードも添付されています。一部のケースでは、TrezorのCEOであるMatěj Žákの名義で署名されたものもあります。
QRコードをスキャンすると偽サイトに誘導され、助記詞の入力を促す
Dmitry Smilyanetsは、手紙内のQRコードが公式の設定ページを模した悪意のあるサイトに誘導し、「安全認証」と称してウォレットの助記詞の入力を要求すると報告しています。助記詞が入力されると、その情報はバックエンドのAPIを通じて攻撃者の手に渡り、他の端末にインポートして資産を移動される危険があります。
TrezorやLedgerの公式は繰り返し、公式は一切、ウェブサイトや電子メール、実体の手紙を通じて助記詞の提供を求めることはないと強調しています。助記詞が漏洩すると、ウォレットの管理権を奪われることに等しいです。
攻撃の出所:Ledgerの過去の個人情報流出が標的リストに
この種の実体の詐欺が正確に届く背景には、過去数年の情報流出事件が関係しています。Ledgerは2020年、ECパートナーのShopifyのセキュリティ事故により、数十万の顧客の氏名と住所が流出しました。2023年にはLedger Connect Kitもサプライチェーン攻撃を受けました。2024年初頭には、Trezorも66,000人のユーザーの連絡先情報が流出したと報告しています。
先月には、Ledgerは第三者決済サービスのGlobal-eのハッキングにより、ユーザーの氏名と連絡先情報が漏洩しました。公式は秘密鍵や支払い情報には関与していないとしていますが、フィッシング攻撃の材料となる可能性があります。ウォレット本体の安全性は保たれていても、ユーザーの個人情報が流出すれば、繰り返し悪用される恐れがあります。
(Ledgerの第三者決済業者Global-eの個人情報流出に対し、公式は「ウォレット本体の安全性は保たれている」と回答)
詐欺手口の進化:電子メールから実体のソーシャルエンジニアリングへ
近年の攻撃傾向を観察すると、フィッシング手口は電子メールやカスタマーサポートを装ったメッセージから、アプリの偽造、さらには偽ハードウェアや実体の手紙の送付へと拡大しています。実体の郵便物はユーザーの警戒心を下げる効果があり、特に高度に擬似化されたデザインの場合、混乱を招きやすくなります。こうした攻撃の多発は、暗号産業における情報保護やサードパーティ依存のリスクを浮き彫りにしています。
Dmitry Smilyanetsは、ユーザーにとって最も重要な防御線は基本原則であると警告しています。「いかなる状況でも助記詞を誰にも漏らさないこと。」サイバーセキュリティ事件が次々と起こる中、ユーザーの警戒心とサプライチェーンの安全性を高めることが、今後の重要な課題となるでしょう。
この記事は「冷錢包当心!Trezor、Ledgerユーザーが釣りQRコード入りの実体の手紙を次々と受け取る」最初に鏈新聞ABMediaに掲載されました。
関連記事
HypurrFi が疑似的にドメインハイジャックに遭遇した可能性があるため、プロジェクト側がユーザーに対し公式サイトの利用を一時停止するよう注意を促しています
ZachXBTは、2022年以降「コンプライアンス上の不備」によりCircleに4億2000万ドルをめぐって非難している
Circle が不正資金の放置で4.2億ドルが流動!ZachXBT が USDC のコンプライアンス上の抜け穴を暴き、論争を引き起こす
