AppleのApp Store上で、暗号資産ハードウェアウォレット「Ledger(レジャー)」の公式アプリを装った偽アプリが配布され、約950万ドル(約15億円)相当の暗号資産が盗まれる被害が発生しました。ブロックチェーン調査者のZachXBT氏の報告によると、2026年4月7日から13日にかけて、50人以上のユーザーが被害を受けたことが判明しています。今回の事件は、公式のアプリストアであっても詐欺アプリが混入するリスクを浮き彫りにしており、Web3ユーザーの資産保護における課題を改めて示しています。
偽アプリによるフィッシングの手口と被害状況
今回の被害は、正規のウォレット管理アプリ「Ledger Live」を装った偽アプリをユーザーにダウンロードさせ、リカバリーフレーズ(ウォレットのバックアップや復元に使用する24個の単語)を入力させることで発生しました。ユーザーがこのフレーズを入力したことで、攻撃者はウォレットへの完全なアクセス権を取得し、資産を不正に送金したと見られます。
被害はビットコイン(BTC)やイーサリアム(ETH)系ネットワーク、Tron(トロン)、Solana(ソラナ)、Ripple(リップル)など、複数のブロックチェーンにまたがっています。Ledgerの最高技術責任者(CTO)であるシャルル・ギユメ氏は、いかなるアプリや人物であっても24単語のリカバリーフレーズを求めるものはすべて詐欺であると強調し、ウォレットソフトは必ず公式サイトからダウンロードするよう呼びかけています。
盗難資産の追跡と資金洗浄の動き
ZachXBT氏の調査によれば、盗まれた資産は150以上の入金アドレスを経由し、海外の暗号資産取引所KuCoin(クーコイン)に関連するウォレットへ送金されたことが確認されています。これらの資金は「AudiA6」と呼ばれる中央集権型のミキシングサービス(複数の取引を混ぜ合わせることで資金の出所を不透明にするサービス)に関連している可能性があると指摘されています。
このミキシングサービスは、高額な手数料を徴収する一方で、違法な資金の洗浄に利用されているとされています。問題の偽アプリは、ZachXBT氏がTelegram上で注意喚起を行った後、AppleによってApp Storeから削除されました。公式ストアの審査を通過して配布されていた事実は、プラットフォームの安全性に対する過信が禁物であることを示唆しています。
ポイント
- Apple App Storeに掲載された偽のLedgerアプリにより、約15億円相当の資産が流出した。
- 被害は2026年4月7日から13日の短期間に発生し、50人以上のユーザーが対象となった。
- リカバリーフレーズを偽アプリに入力させるフィッシング詐欺であり、複数の主要チェーンで被害が確認されている。
- 盗まれた資金はミキシングサービス等を経由して洗浄されている可能性があり、追跡が行われている。
- 公式ストアの信頼性を過信せず、リカバリーフレーズの管理を徹底するという基本的なセキュリティ意識の重要性が改めて注目されます。