偽LedgerアプリがApp Storeに流通、1週間で950万ドル被害

アップルのApp Storeに登録された偽のレジャー（Ledger）アプリを使ったフィッシング攻撃で、大規模な資産流出が起きた。

暗号資産専門メディアのコインデスクは4月14日、偽の「Ledger Live」アプリがApp Storeで流通し、少なくとも950万ドルの被害が発生したと報じた。

攻撃は4月7日から4月13日までの約1週間に及んだ。ビットコイン（BTC）、イーサリアム（ETH）、ソラナ（SOL）、トロン（TRX）、XRPなど、複数のブロックチェーン利用者50人超が被害に遭った。

被害者は正規アプリと誤認して復旧フレーズ（シードフレーズ）を入力し、その過程でウォレットへのアクセス権が攻撃者に渡った。

代表的な事例では、ある利用者が約5.9BTCを奪われ、10年かけて築いた資産を一瞬で失ったと明らかにした。この利用者は「老後資金を一度に失った」と訴えた。

ブロックチェーン分析家のザックXBT（ZachXBT）は、流出資金の流れを追跡した結果、資金が複数回の取引を経てクーコイン（KuCoin）の入金アドレスに移動したと説明した。あわせて、「AudiA6」として知られる中央集権型の資金洗浄サービスに関連するパターンが確認されたと分析した。

実際、今回流出した資金は150超のクーコイン入金アドレスを通じて移動したことが分かった。クーコインは最近、規制を巡る問題で欧州の新規利用者流入が制限されるなど、論争を抱えていた。

アップルは当該の偽アプリをApp Storeから削除した。ただ、審査過程でなぜ登録が認められたのか、どの程度の期間流通していたのかを巡る疑問は残る。一部では、今回の事件が集団訴訟に発展する可能性も取り沙汰されている。

一方、レジャーは今回の事件を受け、利用者向けの安全対策を改めて呼びかけた。シャルル・ギヨメ（Charles Guillemet）最高技術責任者（CTO）は「レジャーが24語の復旧フレーズ入力を求めることは決してない」と述べ、「アプリや誰かがそれを要求した場合は、直ちに疑うべきだ」と警告した。

さらに「ブラウザーやアプリストアなどのソフトウエア環境は信頼できず、秘密鍵は必ずハードウエア機器上でのみ管理しなければならない」としたうえで、「復旧フレーズはウォレットそのものだ」と強調した。