App Storeを通過した偽Ledger Live｜公式という信頼がBTCを消す

「公式ストアからダウンロードしたから大丈夫」。そう確信してビットコインを失った人が、2023年に実際に存在します。

MicrosoftのApp Storeに、偽のLedger Liveが掲載されました。画面デザインは本物と区別がつかない。掲載場所はMicrosoftが運営するマーケットプレイスです。複数のユーザーがアプリをダウンロードし、起動し、求められた操作をした後、ウォレットの残高がゼロになりました。

攻撃は3ステップで完結する

偽アプリが狙う情報は、ひとつだけです。

起動すると「ウォレットの復元が必要です」という画面が表示されます。本物のLedger Liveに似たUIで、シードフレーズの入力欄が現れます。12語または24語を入力した瞬間、その情報は自動的に攻撃者のサーバーへ送信されます。数分以内に、残高全額が別のアドレスへ移動します。

攻撃者はビットコインの暗号を解読していません。あなたが自分の手で鍵を渡している、それだけです。だからこそ、ハードウォレットを持っているかどうかは関係ありません。

信頼の3点確認がすべて機能しない

多くのユーザーは、こうした手順を踏みます。公式ストアに掲載されているか確認する。検索で上位に出るか見る。アプリのデザインが本物と同じかどうか比べる。この3つをクリアしてから、ダウンロードする。

2023年の事例は、これらすべての確認作業が機能しないことを証明しました。

App Storeの審査プロセスは、悪意あるアプリを事前に100%検出する仕組みではありません。AppleもMicrosoftも、後から偽アプリを削除することはあっても、掲載を完全に防ぐことはできていません。検索順位は広告や技術的な最適化で操作できます。UIの複製は、公開情報を使えば精密に再現できます。

「確認した」という実感が、むしろ警戒心を低下させる要因になります。

守る側のルールは1行だけ

攻撃を防ぐために必要な知識は、驚くほどシンプルです。

シードフレーズを、いかなるソフトウェアにも入力しない。

Ledger Liveの正規アプリは、起動時にシードフレーズを求めません。ハードウォレットのセットアップや復元の際にシードを確認・入力するのは、物理デバイスの液晶画面上だけです。ソフトウェアの画面にシードフレーズの入力欄が表示されたとき、それが見た目上の公式アプリであっても、入力する理由は一切ありません。

「ウォレットの復元が必要です」という画面が現れた場合、それ自体が攻撃のシグナルです。本物のアプリはその要求をしません。

正規ダウンロードの起点を固定する

Ledger Liveを使う場合は、ledger.comの公式サイトから直接ダウンロードするのが原則です。ストア経由では、掲載されているアプリが本物かどうかを独立して確認する手段がありません。公式サイトのURLは毎回自分でタイプするか、登録済みのブックマークから開く習慣が有効です。

この確認を面倒に感じる気持ちはわかります。しかし攻撃者は、その面倒さを計算に入れています。「どうせ公式ストアだから」という省略が、BTCへのアクセスを永久に失う入口になります。

ハードウォレットは「知識とセット」で機能する

セルフカストディの本質は、デバイスを購入することではありません。秘密鍵を自分で管理し、その管理ルールを理解することです。

ハードウォレットを持っていれば安全、公式ストアなら大丈夫、有名なブランドだから信頼できる。これらはすべて、何らかの第三者への委任です。攻撃者はその委任の隙間を突いてきます。

知識のない状態でハードウォレットを使うことは、使い方を知らずに金庫を持つことに近い。扉が開いていても、鍵の扱いを間違えれば意味がありません。

あなたが今使っているLedger Liveは、どこからダウンロードしたものですか。今日確認できることがあれば、今日確認してください。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。