レジャーやトレザー利用者に郵送型フィッシング、物理的手紙で偽更新を装う手口

ハードウェアウォレット利用者を狙った郵送型フィッシングが発覚

暗号資産（仮想通貨）ハードウェアウォレット「トレザー（Trezor）」および「レジャー（Ledger）」の利用者を狙い、正規企業を装った偽の郵送物を用いたフィッシング詐欺が確認された。サイバーセキュリティ専門家のドミトリー・スミリャネッツ（Dmitry Smilyanets）氏が2月13日、自身のXアカウントで実物の手紙の画像とともに注意を呼びかけた。

スミリャネッツ氏が公開した郵送物は、トレザーのロゴやデザインを模倣したもので、ホログラムやQRコードが付されている。手紙には「認証チェック（Authentication Check）」と称する手続きがまもなく必須になると記載されている。この手続きを期限までに対応しない場合、ウォレットの利用が制限される可能性があると警告されている。

このQRコードを読み取ると、正規のセットアップ画面を装った不正なウェブサイトに誘導され、ウォレットのリカバリーフレーズ（シードフレーズ）の入力を求められる仕組みとなっている。リカバリーフレーズが入力されると、攻撃者が被害者のウォレットを自身のデバイスにインポートし、資産を不正に移動できる状態になるとされる。

公開された手紙には、「レジャーのCEO」としてマテイ・ザーク（Matěj Žák）氏の署名が記載されているが、同氏は実際にはトレザーのCEOであり、内容には明確な不整合も確認されている。また、手紙は米国ペンシルベニア州から郵送されたとみられる消印が押されていたという。

同様の郵送型フィッシングは、トレザー利用者に限られたものではない。別のXユーザーは、レジャーを装った郵送物の画像を公開しており、こちらでは「トランザクションチェック（Transaction Check）」と呼ばれる手続きが必須になるとして、QRコードの読み取りを促している。これらの文面はいずれも、セキュリティ更新や規制対応を装い、利用者に即時の行動を促す構成となっている。

正規のレジャーおよびトレザーはいずれも、郵送やメール、ウェブサイトなど、いかなる手段であってもリカバリーフレーズの入力を求めることはないと繰り返し注意喚起している。トレザーはスミリャネッツ氏の投稿に対し、「当社から利用者に最初に連絡することはない」「公式チャネルのみを確認し、必ず検証してほしい」とX上で呼びかけた。

こうした郵送型フィッシングの背景には、過去に発生した複数の個人情報流出事件があるとみられている。レジャーは2020年にEC関連のデータ侵害を受け、メールアドレスや一部の物理住所、電話番号が流出したことを公表している。トレザーについても、2022年にメール配信サービスを通じて利用者の連絡先情報が流出した事例が報告されている。

今回確認された手口は、従来のメールやSMSによるフィッシングに加え、物理的な郵送物を用いる点に特徴がある。郵送物は、銀行や公共機関からの正式通知を想起させやすく、利用者に強い信頼感や切迫感を与える可能性があると指摘されている。

暗号資産の自己管理を前提とするハードウェアウォレットの普及が進む中で、こうした現実世界の手段を用いた攻撃も拡大している。今回の事例は、オンチェーン上のセキュリティ対策だけでなく、利用者を取り巻くオフチェーンのリスクについても改めて注意が必要であることを示すものといえる。

画像：PIXTA

関連ニュース

• トラストウォレットにセキュリティインシデント、約9.4億円の不正流出の可能性
• イーサリアム財団、セキュリティ強化PJの第2段階を開始、ウォレット安全基準策定へ
• コンセンシスがウォレットガード買収、メタマスクのセキュリティ強化に向け
• 金融庁、暗号資産交換業者向け「サイバーセキュリティ強化方針案」を公表
• ハードウェアウォレット大手レジャー、米国でのIPO検討＝報道