開封前にシードを盗む2手口｜偽ハードウォレットと偽復元サイト

ハードウォレットを箱から取り出した日、あなたはどんな確認をしただろうか。封印シールが破れていないこと、箱が未開封であること——それだけ確かめて「問題ない」と判断した人は多いはずだ。だが、その確認だけでは見落とす攻撃手口が2つある。どちらも、あなたがBTCを入金する前から、詐欺師がシードを知っている状態を作り出す。

箱の中にすでに罠がある

一つ目は「事前シード仕込み型」の偽ハードウォレットだ。

攻撃者はあらかじめ自分でシードフレーズを生成し、そのシードが動作するよう設定したデバイスを、本物そっくりのパッケージに入れて流通させる。Amazonのマーケットプレイス、フリマアプリ、海外通販サイト——正規品より安い価格で、外見上は区別がつかない状態で出回っている。封印シールも再現されていることがある。

ユーザーはそのデバイスを受け取り、同梱されたカードに印刷されたシードを「自分のシード」として紙に書き写す。そしてBTCを入金する。その瞬間から、攻撃者はいつでも資産を引き出せる状態にある。「ハッキングされた」のではない。最初から攻撃者のウォレットに資産を渡していたのだ。

正規のハードウォレットは、初回起動時にデバイス内部の乱数生成器がシードを新規作成する。同梱カードにあらかじめシードが印刷されていることは絶対にない。カードに文字が印刷されていた場合、そのデバイスは使用を中止してよい。

検索結果の上位が罠になる

二つ目は「偽復元サイト」を使った攻撃だ。

「Ledger 復元」「Trezor シードフレーズ 入力」などのキーワードで検索すると、広告枠やSEO上位に偽サイトが表示されることがある。見た目は公式サイトとほぼ同じで、「ウォレットを復元するにはシードフレーズを以下に入力してください」という案内が現れる。デザインのコピーは数時間で作れる。攻撃コストは限りなく低い。

12語または24語を入力した瞬間、そのデータは攻撃者のサーバーに送信される。数分以内に残高がゼロになったという事例が世界各地で報告されている。被害者の多くは「公式サイトだと思っていた」と証言する。

シードフレーズをウェブブラウザの入力欄に打ち込む理由は、いかなる正当な場面においても存在しない。ハードウォレットの復元はデバイスのボタン操作で行うものであり、ブラウザ経由でシードを入力させるサービスは、例外なく詐欺だと判断してよい。

「見かけの正当性」という共通の罠

この2つの手口に共通するのは、被害者が「正しいことをしていると信じた」まま資産を失うという構造だ。

偽ハードウォレットでは「封印シールが付いていた」「箱がきれいだった」という見かけの正当性が利用される。偽復元サイトでは「検索上位に表示された」「デザインが公式と同じだった」という見かけの信頼性が利用される。どちらも、被害者が自ら罠に飛び込む形になっている。攻撃者はただ待つだけでよい。

セルフカストディにおいて、信頼できる情報源は一つだ。デバイスメーカーの公式サイトのみ。それ以外のルートからくる「シードに関する案内」は、すべて疑ってかかる習慣が必要だ。

今日から実行できる3つの確認

具体的に何をすれば防げるか。

第一に、ハードウォレットは必ずメーカーの公式サイトから購入する。「安い」「すぐ届く」という理由で他のルートを選ぶことは、BTCの安全性と引き換えにする判断だ。

第二に、初回起動時にデバイスが新たにシードを生成することを確認する。同梱のシードカードは空白であることが正常な状態だ。あらかじめ文字が印刷されていた場合は、使用を中止してメーカーに問い合わせる。

第三に、シードフレーズはウェブブラウザに絶対に入力しない。どれだけ公式に見えても、URLを手動で照合し、ブックマークからのみアクセスする習慣をつける。

セルフカストディは、正しく実行してはじめて意味を持つ。鍵を自分で管理するということは、罠を自分で見抜く責任も引き受けるということだ。あなたのデバイスのシードは、自分の手で生成したものか——まずそこから確認してほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。