Ledgerの偽アプリがマイクロソフトのストアに、被害は8000万円超
暗号資産(仮想通貨)のハードウェアウォレット「Ledger(レジャー)」の偽アプリがマイクロソフトのアプリストアに登録され、8000万円を超えるビットコイン(BTC)が既に詐取された可能性が指摘されている。
偽アプリの存在は、X(旧twitter)ユーザーの「ZachXBT」が5日の投稿で報告。偽アプリの名称は「Ledger Live Web3」で、マイクロソフトのアプリストアに登録されていたとしている。投稿にはアプリストアのスクリーンショットも付けられ、Ledgerが公式に提供するアプリ「Ledger Live」のアイコンやUIを模倣していることが分かる。
Community Alert: There is currently a fake @Ledger Live app on the official @Microsoft App Store which was resulted in 16.8+ BTC ($588K) stolen
— ZachXBT (@zachxbt) November 5, 2023
Scammer address
bc1qg05gw43elzqxqnll8vs8x47ukkhudwyncxy64q pic.twitter.com/rOZ0ZWRWbn
同氏は、偽アプリで詐取されたビットコインの送金先も特定。報告されたアドレスには合わせて約16.82BTCが送金されており、被害額は約8800万円に上る可能性がある。7日現在、偽アプリはアプリストアから削除されている。
Ledgerを含めた多くのハードウェアウォレットでは、ウォレットデバイスをパソコンなどと接続した上で、パソコン側にインストールした専用アプリから操作を行うことが一般的。暗号資産の送金に必要な秘密鍵をウォレットデバイス内に保存し、パソコン側から直接アクセスできなくすることで、パソコンがウィルスに感染しても資金が守られる仕組みだ。
しかし、今回のような偽アプリからウォレットの設定やリカバリーを行った場合、密かに秘密鍵が偽アプリの作成者へ送信され、ウォレット内の資金が詐取される恐れがある。今年6月には「Trezor(トレザー)」の偽アプリがアップルのApp Storeに登録される事件も発生しており、アプリストアを運営する企業の責任も問われそうだ。
もちろん、ユーザー側の自衛策も求められる。ハードウェアウォレットのアプリはもちろん、ソフトウェアウォレットについても偽アプリは氾濫している。暗号資産のウォレットは、必ず公式サイトのリンクからダウンロードすべきである。