OCRで全自動盗取｜SparkCatが示したシード写真の致命的盲点

あなたがインストールしているアプリは、App StoreやGoogle Playの審査を通過している。それだけで「安全だ」と感じていないだろうか。

2025年に確認されたマルウェア「SparkCat」は、その前提を正面から崩した。

App Storeの審査を通過したスパイ

SparkCatは、見た目には普通のアプリとして両ストアに存在していた。起動後、フォトライブラリへのアクセス権を求める。「写真を添付・共有するため」という理由は自然に見える。SNSやチャットアプリが同様のリクエストをするのと変わらない画面だ。

許可を与えた瞬間から、スパイとしての動作が始まる。

アプリはOCR（光学文字認識）技術でフォトライブラリ内の全画像をスキャンし、BIP-39の英単語パターンを自動検索する。12語または24語のシードフレーズを発見すれば、外部サーバーへ即座に送信する。これはすべてバックグラウンドで、自動で、ユーザーが何も気づかないまま実行される。

Google Play上だけで約24万件がダウンロードされた。24万人が同様のリスクに晒された可能性がある。

「判断ミス」を必要としない攻撃

従来のフィッシング攻撃には、ユーザー側の何らかの行動が必要だった。偽サイトにシードフレーズを入力する、偽のウォレットアプリを使う、添付ファイルを開く。どこかに「判断ミス」が介在していた。

SparkCatは違う。

ハードウォレット設定時に「念のため記録しておこう」と撮った1枚があればいい。あとはアプリが自動で見つけ、送信する。警告も出ない。送信完了の通知もない。ユーザーには何も知らされない。気づいたときには、攻撃者はすでにシードフレーズを持っている。

iCloudが作る第二の経路

リスクはローカルのライブラリだけに留まらない。

iPhoneのiCloud Photosはデフォルトで有効になっており、撮影した写真は自動的にAppleのサーバーへ同期される。この同期はエンドツーエンド暗号化の対象外であり、Appleがその内容にアクセスできる。

シードフレーズを撮影した場合、その画像はスマートフォン本体とiCloudサーバーという二つの場所に存在することになる。マルウェアがローカルを直接狙う経路と、クラウド上のデータを狙う経路が、構造として同時に開いている。

アプリをアンインストールしても遅い。シードフレーズの画像がすでに送信されていれば、攻撃者は秘密鍵を入手済みだ。

「信頼できるアプリ」という幻想

SparkCatが明らかにしたのは一点だ。アプリストアの審査プロセスは、悪意ある機能の完全な排除を保証しない。

フォトライブラリへのアクセス権を求めるアプリは数多い。カメラ拡張、編集ツール、SNSクライアント、チャットアプリ。それぞれに正当な理由がある。しかし一度権限を与えれば、そのアプリはライブラリ全体を読み取ることができる。どのアプリがその権限を悪用しているか、ユーザーが確認する手段はない。

「有名なアプリだから大丈夫」「レビューが高いから安心」という判断は、SparkCatの前では意味をなさない。審査を通過した実績のある配布チャネルを悪用することが、この攻撃の本質だからだ。

シードフレーズを写真で残さない、それだけでいい

解決策は複雑ではない。

シードフレーズをカメラで撮影しない。スクリーンショットに残さない。クラウドストレージに同期しない。メモアプリにも入力しない。デジタルデバイスから完全に切り離すことが原則だ。

物理媒体への記録が唯一の選択肢になる。紙であれば水濡れや火災への対策が必要になる。より長期的な保管を前提とするなら、ステンレスやチタン製の金属プレートが現実的な選択肢だ。バックアップは複数の場所に分散させる。一点集中の保管は、単一の事故で全滅するリスクを抱える。

今この瞬間、スマートフォンの写真フォルダにシードフレーズの画像が残っているなら、まずその削除から始めてほしい。iCloudの「最近削除した項目」からも消去する必要がある。それがセルフカストディの出発点だ。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。