AppleのMac App Storeにおいて、暗号資産ハードウェアウォレット「Ledger」を装った不正なアプリが確認されました。このアプリを通じて、著名ミュージシャンが保有していた約6BTC(約42万4,000ドル相当)が盗まれる被害が発生しています。公式ストアに不正アプリが混入していた事実は、Web3資産の管理におけるセキュリティ意識の重要性を改めて浮き彫りにしています。
被害の状況と不正アプリの手口
ミュージシャンのG. Loveとして知られるGarrett Dutton氏は、自身のX(旧Twitter)アカウントにて、この被害に遭ったことを報告しました。報告によると、同氏は引越しの作業中にMac App Storeからダウンロードした偽のLedgerアプリを使用し、そこでリカバリーフレーズ(ウォレットを復旧・管理するための重要なフレーズ)を入力したことで、資産が流出したとされています。
被害額は6BTC弱にのぼり、当時のレートで42万4,000ドルを超える損失となりました。この出来事は、暗号資産を物理的に隔離して保管するハードウェアウォレットを使用している場合でも、ソフトウェア側の入り口で情報を盗み取られるリスクがあることを示しています。
公式プラットフォームにおけるセキュリティの課題
一般的に厳格な審査が行われているとされるAppleの公式ストアにおいて、悪意のあるソフトウェアが配布されていたことが、被害を招いた大きな要因と見られます。ハードウェアウォレットの利用者は、本来物理デバイス以外でリカバリーフレーズを入力することはありませんが、公式ストアという信頼性を背景に、ユーザーが警戒を解いてしまった可能性があります。
このような公式プラットフォームを悪用したソーシャルエンジニアリングの手法は、多忙な際や不注意な瞬間に、経験のあるユーザーであっても被害に遭う危険性があることを示唆しています。Web3業界のビジネスパーソンや投資家にとって、公式ストアのアプリであっても、リカバリーフレーズの入力を求められた場合には細心の注意を払う必要があるという教訓となります。
ポイント
・Apple Mac App Storeに掲載されていた偽のLedgerアプリによる盗難被害が発生した点。
・ミュージシャンのG. Love氏が約6BTC(約42万4,000ドル相当)のビットコインを失った点。
・偽アプリにリカバリーフレーズを入力したことが原因で資産が流出したと見られる点。
・公式アプリストアの審査をすり抜けた不正アプリの存在が、Web3ユーザーの直接的な脅威となっている点。
・ハードウェアウォレットの管理において、リカバリーフレーズをデジタルデバイス上で入力しないという原則の重要性が再認識される点。