本物は入力を求めない｜偽Ledger Liveとシード流出の罠

「Microsoft Storeで配布されているから安全だ」——そう判断してダウンロードしたアプリが、シードフレーズを要求してきたとしたら、あなたはどうしますか。

偽のLedger LiveがMicrosoft Storeに掲載されていた事例が確認されています。UIは本物と見分けがつかないほど精巧で、ロゴも、配色も、操作フローも、正規アプリを忠実に再現していました。

公式ストアでも偽物は出回る

ユーザーが油断しやすいのは、「信頼できるプラットフォームからダウンロードした」という安心感があるからです。しかし、Microsoft StoreやApp Storeといったプラットフォームも、過去に悪意あるアプリの掲載を許してしまった事例があります。

審査を通過していること、ダウンロード数があること、見た目が本物に近いこと——これらは安全の証明にはなりません。見分ける基準は、もっとシンプルなところにあります。

本物は絶対に入力を求めない

核心はここにあります。本物のLedger Liveは、PCやスマートフォンの画面でシードフレーズを入力させる設計になっていません。

Ledgerハードウォレットは、シードフレーズをデバイスの外に出さないことを前提に設計されています。初期設定でシードを確認する場面は、Ledgerデバイスの小さな画面上だけで完結します。アプリの画面に24語を打ち込む場面は、正規の使い方において一度もありません。

「シードフレーズを入力してください」と表示された時点で、それは偽物です。この一点を覚えておくだけで、今回のような攻撃の大半は防げます。

入力した瞬間、攻撃者に届く

偽アプリに24語を入力すると、リアルタイムで攻撃者のサーバーへ送信されます。ユーザーが画面を操作している数秒の間に、ウォレットへのアクセス権は完全に奪われています。

攻撃者に必要なのはシードフレーズだけです。それさえあれば、同じウォレットを別のデバイスで復元し、残高確認から送金まで自在に操作できます。パスワードのリセットも、二段階認証も、関係ありません。

「取引所に預けているから大丈夫」は別のリスクを呼ぶ

こういった話を聞いて、「自分は取引所でBTCを管理しているから関係ない」と感じた人もいるかもしれません。確かに取引所ではシードフレーズを扱う機会がなく、偽アプリ被害には遭いにくい状況です。

ただ、その分別のリスクを抱えています。取引所が出金を停止したとき、あなたには引き出す手段がありません。2024年のDMMビットコイン事件では、不正流出後に出金停止が続き、顧客は約6ヶ月にわたって自分のBTCを動かせない状況に置かれました。秘密鍵を自分で管理していないということは、緊急時の選択肢がゼロになることを意味します。

ソフトウェアを守る3つの習慣

セルフカストディを安全に続けるために、以下の点を意識してください。

シードフレーズの入力を求めるアプリは疑う。本物のLedger Liveがこの要求をすることはありません。要求が来た時点でアプリを閉じ、公式サイトで情報を確認してください。

ソフトウェアは公式サイトから直接ダウンロードする。ledger.comといった公式ドメインから取得し、可能であればチェックサムを検証してください。ストアからのインストールは安全を保証しません。

シードフレーズをデジタルデバイスに近づけない。メモアプリ、クラウドストレージ、スクリーンショット——いずれもリスクになります。記録は紙またはスチールプレートで行い、ネットワークから切り離してください。

攻撃の入口は「信頼」だった

今回の偽Ledger Liveが示しているのは、攻撃者がプラットフォームへの「信頼」を利用するという構造です。権威あるストアに偽物を置くことで、ユーザーの警戒心を意図的に下げることができました。

どれほど信頼できそうに見えるアプリでも、シードフレーズを要求されたら立ち止まる。その判断だけがBTCを守ります。

今使っているウォレットソフトウェアのダウンロード元を、今日確認してみてください。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。