重要なポイント:
暗号通貨の世界は、昨年の終わりとともに厳しい現実を突きつけられた。
ハードウェアウォレットは資産保護のゴールドスタンダードだが、その周囲のエコシステムは常に攻撃の対象となっている。
昨年を通じて、Ledgerウォレットに関わる一連のセキュリティインシデントは、デジタルコインは所有者が残すデータと同じくらい安全であることを証明した。
悪意のある攻撃者は、デバイス自体を「ハック」しようとするのではなく、注文処理やサポート用のメールを扱う企業を標的にした。
Ledgerウォレットに対する最大のプライバシー侵害は、今年、Global-eというベンダーを通じて起きた。
この会社は、公式Ledgerストアの国際販売において「レジストリの商人」として機能している。
1月5日に、Global-eのクラウドシステムが侵害されたとのニュースが報じられた。
コミュニティ通知:Ledgerは決済処理業者Global-eを通じてもう一度データ漏洩を起こし、顧客の(名前やその他の連絡先情報が漏洩した。 本日早朝、以下のメールを受け取った顧客もいる。pic.twitter.com/RKVbv6BTGO — ZachXBT )@zachxbt( 2026年1月5日
コミュニティ通知:Ledgerは決済処理業者Global-eを通じてもう一度データ漏洩を起こし、顧客の(名前やその他の連絡先情報が漏洩した。
本日早朝、以下のメールを受け取った顧客もいる。pic.twitter.com/RKVbv6BTGO
— ZachXBT )@zachxbt( 2026年1月5日
このハッキングにより、何千人もの顧客の名前、郵便住所、電話番号が漏洩した。幸いなことに、秘密鍵やリカバリーフレーズは影響を受けていない。
ハードウェア自体は引き続き技術的に安全だが、ユーザーの「ドキシング」が新たな恐怖の波を生んでいる。
ZachXBTのようなセキュリティ研究者は、物理的な住所の漏洩は高額保有者にとって悪夢だと警告している。裕福な投資家の居場所を正確に知る犯罪者にとって、その脅威はデジタルの世界から物理的な世界へと移行し、これを「レンチ攻撃」と呼ぶこともある。
昨年初め、Ledgerの共同創設者であるDavid Balland自身も、フランスでの暴力的な誘拐と恐喝の標的となった。
) フィッシング詐欺の台頭
攻撃者は、特に2025年において、ソーシャルエンジニアリングの戦術をより創造的に用いるようになった。
彼らは「セキュアエレメント」チップを破ることができなかったため、人間を騙すことに焦点を当てた。一般的な手法の一つはLedger Recoverサービスを利用したものだ。
これは、紛失したシードフレーズを回復するためのオプションツールだが、詐欺師はこれをフックとして利用した。彼らは、ユーザーの「本人確認」に問題があると偽のメールを送り、24語のニーモニックリカバリーフレーズを偽のポータルに入力させようとした。
2023年の「Connect Kit」の脆弱性は、今もなおユーザーを悩ませている。
攻撃者は、その最初の侵害から得たデータを使い、より多くのフィッシング攻撃を仕掛けている。
これまでに、SushiSwapやRevoke.cashなどのdAppsを以前に利用した人々を標的にしてきた。単なる資金引き出しスクリプトに代わり、「承認ベース」の攻撃に移行している。
これらの詐欺は、ユーザーに特定のトークンへの無制限アクセスを許可するトランザクションに署名させるものである。
これらの攻撃は、DeFiプロトコルとの通常のやり取りのように見えるため、多くのユーザーが騙されてしまう。
実際、昨年のLedgerのセキュリティレポートによると、世界中で###百万以上が暗号詐欺により失われた。
これらの被害者の多くは、過去数年間に連絡先情報が漏洩したために標的にされたと報告されている。
一度ユーザーのメールアドレスが「カッサーリスト」に載ると、その後も長期間にわたり詐欺師に狙われ続けることになる。
31.77K 人気度
60.28K 人気度
233.29K 人気度
14.01K 人気度
40.65K 人気度
Ledgerハードウェアウォレットに関するセキュリティインシデントのまとめ
重要なポイント:
暗号通貨の世界は、昨年の終わりとともに厳しい現実を突きつけられた。
ハードウェアウォレットは資産保護のゴールドスタンダードだが、その周囲のエコシステムは常に攻撃の対象となっている。
昨年を通じて、Ledgerウォレットに関わる一連のセキュリティインシデントは、デジタルコインは所有者が残すデータと同じくらい安全であることを証明した。
悪意のある攻撃者は、デバイス自体を「ハック」しようとするのではなく、注文処理やサポート用のメールを扱う企業を標的にした。
Global-eのデータ漏洩
Ledgerウォレットに対する最大のプライバシー侵害は、今年、Global-eというベンダーを通じて起きた。
この会社は、公式Ledgerストアの国際販売において「レジストリの商人」として機能している。
1月5日に、Global-eのクラウドシステムが侵害されたとのニュースが報じられた。
このハッキングにより、何千人もの顧客の名前、郵便住所、電話番号が漏洩した。幸いなことに、秘密鍵やリカバリーフレーズは影響を受けていない。
ハードウェア自体は引き続き技術的に安全だが、ユーザーの「ドキシング」が新たな恐怖の波を生んでいる。
ZachXBTのようなセキュリティ研究者は、物理的な住所の漏洩は高額保有者にとって悪夢だと警告している。裕福な投資家の居場所を正確に知る犯罪者にとって、その脅威はデジタルの世界から物理的な世界へと移行し、これを「レンチ攻撃」と呼ぶこともある。
昨年初め、Ledgerの共同創設者であるDavid Balland自身も、フランスでの暴力的な誘拐と恐喝の標的となった。
) フィッシング詐欺の台頭
攻撃者は、特に2025年において、ソーシャルエンジニアリングの戦術をより創造的に用いるようになった。
彼らは「セキュアエレメント」チップを破ることができなかったため、人間を騙すことに焦点を当てた。一般的な手法の一つはLedger Recoverサービスを利用したものだ。
これは、紛失したシードフレーズを回復するためのオプションツールだが、詐欺師はこれをフックとして利用した。彼らは、ユーザーの「本人確認」に問題があると偽のメールを送り、24語のニーモニックリカバリーフレーズを偽のポータルに入力させようとした。
サプライチェーンの脆弱性
2023年の「Connect Kit」の脆弱性は、今もなおユーザーを悩ませている。
攻撃者は、その最初の侵害から得たデータを使い、より多くのフィッシング攻撃を仕掛けている。
これまでに、SushiSwapやRevoke.cashなどのdAppsを以前に利用した人々を標的にしてきた。単なる資金引き出しスクリプトに代わり、「承認ベース」の攻撃に移行している。
これらの詐欺は、ユーザーに特定のトークンへの無制限アクセスを許可するトランザクションに署名させるものである。
これらの攻撃は、DeFiプロトコルとの通常のやり取りのように見えるため、多くのユーザーが騙されてしまう。
実際、昨年のLedgerのセキュリティレポートによると、世界中で###百万以上が暗号詐欺により失われた。
これらの被害者の多くは、過去数年間に連絡先情報が漏洩したために標的にされたと報告されている。
一度ユーザーのメールアドレスが「カッサーリスト」に載ると、その後も長期間にわたり詐欺師に狙われ続けることになる。