暗号通貨ハードウェアウォレットのユーザーを狙った新たな詐欺が出現した。
詐欺師は、Trezor や Ledger からのものであるように見える実際の手紙を送りつけ、ユーザーを偽の Web サイトに誘導してシードフレーズを入手しようとしています。
キャンペーンの一環として送付された手紙は、企業の公式レターヘッドを模倣してデザインされており、ウォレットへのアクセスを失わないようにするには、「本人確認」または「取引確認」と呼ばれる必須手続きを完了する必要があると記載されています。
詐欺師は、ユーザーに急がせるために具体的な期限を設定し、手紙に記載されているQRコードをスキャンするよう求めます。これらのQRコードは、TrezorとLedgerの公式インストールページを模倣したフィッシングサイトへユーザーを誘導します。
サイバーセキュリティ専門家のドミトリー・スミリャネツ氏に送られた偽のTrezorメールには、2026年2月15日までに認証検証が完了しない場合、デバイスの機能が制限される可能性があると記載されていた。同様に、ソーシャルメディアプラットフォームXで共有されたLedgerをテーマにしたメールでは、「取引検証」プロセスを2025年10月15日までに完了する必要があると示唆されていた。
QR コードでリンクされた偽の Ledger ドメイン名は削除されましたが、Trezor をテーマにしたサイトはフィッシング サイトとしてフラグが付けられるまでしばらくアクティブなままだったと報告されています。
偽のTrezorページでは、ユーザーに12語、20語、または24語のリカバリフレーズの入力を求めています。サイト側では、この情報はデバイスの所有権を確認し、機能を有効にするために必要だと主張していますが、入力されたデータはバックグラウンドでAPIを介して攻撃者に直接送信されます。
この情報により、攻撃者は被害者のウォレットを自分のデバイスに転送し、内部の暗号資産を盗むことができます。
どのような基準で手紙が送られたのかは不明ですが、TrezorとLedgerは近年、顧客の連絡先情報が漏洩するデータ侵害を経験しています。このことから、実際の住所が悪意のある人物の手に渡った可能性が高まっています。
郵便によるフィッシング攻撃はまれですが、全く新しいものではありません。2021年には、セットアップ中にリカバリーエモートを盗むように設計された改造Ledgerデバイスが攻撃者に郵送されました。Ledgerユーザーを標的とした同様のキャンペーンは4月にも報告されています。
ハードウェアウォレットで使用されるシードフレーズは、秘密鍵に相当するテキストとして定義され、ウォレット内の資産への完全なアクセスを提供します。このフレーズを所有する人は誰でも、ウォレット内のすべての資金を制御できます。
TrezorやLedgerなどのメーカーは、ユーザーにウェブサイトへのリカバリフレーズの入力、QRコードのスキャン、オンラインでの共有を求めることはありません。リカバリフレーズは、インターネットに接続されていない環境で、ハードウェアデバイス自体にのみ入力する必要があります。
※これは投資アドバイスではありません。