Amazonで買っても安全ではない｜ハードウォレット供給改ざんの確認手順

Amazonに注文したハードウォレットが、翌日きれいな箱で届いた。出品者の評価は4.8星、プライム対応、レビューは300件超。開封すると公式と同じデザインのシール、正常に起動するUI。それでもあなたのビットコインは、その瞬間から攻撃者の監視下に入っているかもしれない。

Amazonという名前が作る誤った安心感

Amazonマーケットプレイスで「Ledger正規品」「Trezor公式」と表示された商品を出品できるのは、Amazon本体だけではない。第三者の販売業者が自由に出品できる仕組みだ。

星評価が高く、レビューが多くても、それは過去の取引への評価であり、今あなたが受け取る商品の状態を保証しない。「Fulfilled by Amazon（FBA）」は物流をAmazonが担うことを意味するだけで、デバイスの正当性とは無関係だ。国内翌日配達の利便性と信頼感が、本来向けるべき警戒心を消してしまう。

「入金を待つ」という攻撃の設計

サプライチェーン攻撃が特に厄介なのは、すぐには何も起きないことにある。

攻撃者は流通過程でデバイスを入手し、自分だけが知るシードフレーズを事前に設定しておく。そのシードに対応するビットコインアドレスをブロックチェーン上で継続的に監視し続ける。被害者はデバイスが正常に動作するため疑いを持たず、入金を続ける。

残高がまとまった時点で、攻撃者はそのシードから署名して全額を自分のウォレットへ送金する。被害者が残高ゼロに気づいたとき、資金はすでに別のアドレスに移されている。デバイスは今も正常に動作している。

設定済みシードは即廃棄が原則

LedgerとTrezorの両社は、公式サイト以外での購入に対して明確な警告を出している。その根拠がこの攻撃手法だ。

届いたデバイスが既にシードフレーズを設定済みの状態であれば、そのデバイスは攻撃者の管理下にある。初回起動時に「既存のウォレットを復元」の画面が表示されたり、セットアップフローが一部スキップされている場合は、即座に使用を中止すべきだ。

シードを「もらう」デバイスは、外観がどれほど本物に見えても使ってはならない。自分でゼロからシードを生成して初めて、その鍵はあなたのものになる。

ファームウェア検証という最初の防御線

仮に初期設定が必要な状態で届いたとしても、ファームウェア自体が改ざんされているリスクは残る。

Ledgerは「Ledger Live」アプリを通じてファームウェアの真正性を確認できる仕組みを持つ。Trezorは公式サイト上のVerification機能でファームウェア署名を検証できる。いずれも初回接続時に実行すべき手順として、公式ドキュメントに明記されている。

ハードウォレットを「信頼して使う」のではなく「検証してから使う」。この姿勢がサプライチェーン攻撃への最初の有効な防御線だ。

公式サイト購入のコスト差は意味を持たない

Amazonマーケットプレイスで数千円安く手に入る場合がある。翌日配達の利便性もある。しかしそのコスト差は、保管するビットコインの金額と比較すると意味をなさない。

100万円のビットコインを保管するデバイスを3,000円安く手に入れることで全損するリスクを負うのは、合理的な判断ではない。ハードウォレットの購入先として信頼できるのは、メーカーの公式ECサイトだけだ。

受け取り後に行う5つの確認手順

デバイスを受け取ったら、使用前に以下の手順を踏む。

• 封印シールの状態を確認する（偽造シールも存在するため、これだけでは判断しない）
• 公式アプリを必ずメーカー公式サイトからダウンロードし、ファームウェア署名を検証する
• 初回セットアップで必ず自分でシードフレーズを新規生成する
• シードフレーズはデバイス画面上のみで確認し、アプリ画面には表示させない
• 設定完了後に少額でテスト送金し、別環境での復元テストまで行う

この手順を経て初めて、「このデバイスの鍵はあなたのものだ」と言える。ハードウォレットを箱から出しただけでは、セルフカストディは始まっていない。Amazonの星評価を信じた瞬間から、攻撃者の期待通りのシナリオが動き出す可能性がある。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。