Ledger Nanoのハッキングは簡単!?リカバリーフレーズ24個を盗むフィッシング詐欺に警戒してください。
メタマスク偽サイトのフィッシング詐欺 に関連して、ハードウェアウォレット Ledger (読み方 レジャー) でも リカバリーフレーズ を聞き出して資産を盗むフィッシング攻撃が確認されています。
危険! Ledger 社になりすます偽サイトの表示例
Ledger 社はビットコインやイーサリアムなどの暗号資産を安全に保管するハードウェアウォレット製品 「Ledger Nano」 シリーズを販売するフランス企業です。次のスクショ画像は Ledger 社の公式サイトっぽい外観デザインを持つ Ledger 偽サイト になります。
本物のロゴや映像を悪用した Ledger のフィッシング詐欺サイト
はぼ違和感ない日本語の文章で書かれた Ledger 偽サイト も確認しました。
Ledger 偽サイトは本物のロゴを悪用したり見た目の偽装が施されているものの、ブラウザの URL を確認すると Ledger の正規ドメイン <ledger.com> ではないことは一目瞭然です。
Ledger ハッキングの鍵はリカバリーフレーズの英単語 24 個
資産を盗みたい詐欺師は何を狙うのか?
複数の Ledger 偽サイトを見て明らかなのは、Ledger 社になりすまして リカバリーフレーズを盗む ことでハッキングを実現できると詐欺師は判断していることです。
~ Ledger のリカバリーフレーズとは? ~
英単語 24 個で構成される機密情報
シークレットフレーズ、シードフレーズ、ニーモニックフレーズとも
英単語 24 個で構成される機密情報
シークレットフレーズ、シードフレーズ、ニーモニックフレーズとも
Ledger の公式サイトを見ると、英単語 24 個を巡る注意喚起を何度もしつこいぐらい言及しています。
報告されているフィッシング詐欺リカバリーフレーズの 24 単語は、絶対に他者と共有してはいけません。
Ledger 社が 24 単語を尋ねることは一切ありません。Ledger 社を装った詐欺に警戒してください。ご自身のデバイス以外には、絶対に 24 単語を入力しないでください。● 詐欺師が電話で Ledger ユーザーに連絡ここで重要なのは、Ledger はいかなる理由であっても、ユーザーに電話で連絡することは決してないということです。相手がどれほど説得力があるように見えても、24 単語のリカバリーフレーズを提供する必要がある状況は、一切起こり得ないことを常に覚えておいてください。
その機密情報を入手しようとすることは、お客様の資金を盗もうとしていることを意味します。
● 偽の Ledger Live アプリやウェブサイト
これは依然として、最も一般的な詐欺の手口の 1 つです。Ledger Live の偽バージョンは、一見すると、本物のように見えます。 ただし、ユーザーが使用を開始すると、「エラーメッセージ」 が表示され、24 単語のリカバリーフレーズの入力が求められます。● Ledger を装った偽のソーシャルメディアアカウント詐欺師は、当社の公式サポート アカウントになりすますだけでなく、Ledger の従業員、または過去に Ledger で働いていた人たちになりすますことがあります。安全のため、ソーシャルメディア上で他の人に連絡するよう誘導するメッセージや、ダイレクトメッセージを介する試みは、すべて詐欺であるとお考えください。 何よりも、どんなことがあっても、24 単語のリカバリーフレーズを、決して他人に提供してはいけないことを、常に覚えておいてください。
これらのメッセージは、お客様の投稿への応答として受信する場合もあり、通常詐欺師は、ダイレクトメッセージの送信を要求します。 また、詐欺師は、連絡先として Instagram や Telegram アカウントをリンクするなど、別のソーシャルメディアプラットフォームで誰かをフォローすることを推奨する場合もあります。
24単語のリカバリーフレーズとPINコードを安全に保管するには?
https://support.ledger.com/ja/article/360005514233-zd
リカバリーフレーズを保護するには?
24 単語のリカバリーフレーズ (別名、ニーモニックフレーズ / シークレットリカバリーフレーズ / シード フレーズ) はすべての仮想通貨 (暗号資産) アカウントのマスターキーとして機能します。
リカバリーフレーズにアクセスできる人なら誰でも、自分のデバイスやソフトウェアウォレットに非常に簡単にアカウントをクローニングし、資金を使用することができます。
フレーズは、常に安全かつプライベートに保管することが非常に重要となります。
技術的な問題が発生した場合、Ledger サポートにリカバリーフレーズの提出が必要となることがありますか?
・ いいえ。Ledger サポートチームは、サポートを提供する際に 24 単語のリカバリーフレーズをお尋ねすることはありません。
・ リカバリーフレーズを尋ねる人物がいた場合、詐欺師であることを疑ってください。
・ リカバリーフレーズは、Ledger を含む誰とも決して共有してはなりません。
リカバリーフレーズを入力する本物の正当な場面は、手元にある物理的な Ledger デバイスに対してのみです。
■ ハードウェアウォレットはオフラインだから安全?
詐欺師は地球の裏側から Ledger デバイスを所有するユーザー目掛けてハッキング攻撃を仕掛けることが可能です。
~ Ledger Nano シリーズ ~
「Ledger Nano X」 「Ledger Nano S Plus」
「Ledger Nano X」 「Ledger Nano S Plus」
- リカバリーフレーズを聞き出す
Ledger デバイスのハッキング手口はリカバリフレーズを聞き出して盗む
説得力を持たせるようと詐欺師は Ledger 社や関係者を名乗ってなりすます - ハードウェアウォレットは安全?
ハードウェアウォレットはネットから隔離されたオフライン環境だから安全というのは 幻想 かLedger デバイスが自分の手の上にあっても資産が盗まれうる
詐欺師は Ledger デバイスが保管されてある場所に忍び込む必要なし - 肝心の人間はネットに入り浸っている
SNS では Ledger デバイスの所有を世界に向けて発信するユーザーがいる
人間がオンライン環境で活動 してる以上、詐欺師に付け入られる可能性が常にある
(ネットサーフィンする、Eメールを受信する、SNS アカウントで誰かとやり取りする)
「資産を確実に守りたいならハードウェアウォレット一択!」 的な記事を目にするけれど、ハードウェアウォレットなら資産を盗まれる被害は無縁だ、と思い込まされそうで危なっかしいです。
■ デバイスではなく所有者の人間を ”ハッキング” すればよい
- Ledger デバイスを攻略できるハッキング手口 1
ユーザーに Ledger のリカバリーフレーズの英単語 24 個を尋ねて聞き出す - Ledger デバイスを攻略できるハッキング手口 2
ユーザーを Ledger の偽サイトに誘導してリカバリーフレーズの英単語 24 個を入力してもらう
ハードウェアウォレットの安全性がどれだけ高くて強固なセキュリティを標榜していても、そのハードウェアウォレットを扱う人間のセキュリティ意識が常に優れているとは限りません。
むしろ人間は 100% 完璧ではなく、必ずミスを犯す生き物です。
Ledger を装う迷惑メール! ハッキング被害例
どうやってユーザーを Ledger 偽サイトに引き寄せる?
オンライン環境があって成り立つ SNS やEメールがあればバッチリ大丈夫!
- サポートスタッフや開発チームになりすました詐欺師が接近し Ledger 偽サイトに誘導する
- もっともらしい通知や案内をする偽のEメールを送信して本文中の URL リンクに誘導する
- 検索エンジンの検索結果でスポンサー広告として Ledger 偽サイトを上位表示させる
古典的なフィッシング攻撃として、Ledger から送信されてきたかのように見える巧妙な迷惑メール (スパムメール) が手元にやって来ます。
Ledger のコミュニケーションポリシー
Ledger は、電話やテキストメッセージを通じてユーザーに直接連絡することはありません。当社のサポートは、 support.ledger.com の 「Contact Us (お問い合わせ)」 ボタンを使用してサポートチケットを開いた場合にのみ提供されます。
偽メール件名 Security Alert: Data Breach May Expose Your Recovery Phrase
送信者 Ledger <support @ ledger>
Important: Verify Your Recovery Phrase
Dear Customer,
We regret to inform you that a recent data breach has affected our service. While your Ledger wallet remains secure, there is a possibility that recovery phrases (also known as "seed phrases") linked to certain accounts have been exposed. Firefly
To safeguard your assets, we strongly encourage you to verify the security of your recovery phrase through our secure verification tool. Firefly
Steps to Protect Your Assets:
1. Visit our official verification page.
2. Follow the on-screen instructions to check your recovery phrase.
3. If necessary, follow the steps provided to secure your wallet.
If you have any questions or concerns, our support team is here to assist you. Click the button below to start the verification process: Firefly
[Verify My Recovery Phrase]
偽メール件名 Action required: Update your Ledger device
送信者 Ledger Live <support @ ledger-live>
This is an automated message to notify you about the update.
Our support team has noticed that your Ledger device has not been updated. You can easily update it using the personal button below. Firefly
Please note that the update must be completed before January 1, 2025. We apologize for any inconvenience this may cause. Rest assured, our goal is to keep our customers safe and satisfied.
Thank you in advance for your understanding. Firefly
[UPDATE NOW]
Copyright Â(C) Ledger SAS. All rights reserved. Ledger, Ledger Stax, Ledger Nano S, Ledger Vault, Bolos are registered trademarks of Ledger SAS 1 rue du Mail, 75002 Paris, France Payment methods
■ Ledger Nano 所有者をハッキングした被害例
在スペインのメキシコ人ジャーナリスト Olivier Acuña (オリヴィエ・アクーニャ) さんが 2023 年に 400,000 ドル相当、日本円で 6 千万円もの仮想通貨を盗まれたハッキング被害の記事です。
X.com (Twitter) への投稿をキッカケにダイレクトメッセージ経由で Ledger 社のサポートスタッフになりすました詐欺師が急襲、Ledger のリカバリーフレーズを提供してしまった形です。
How a Journalist Went From Exposing Mexican Cartels to Losing His Crypto Life Savings (CoinDesk)
https://www.coindesk.com/business/2024/12/20/how-a-journalist-went-from-exposing-mexican-cartels-to-losing-his-crypto-life-savings
2023年、スペイン東海岸の穏やかな夜、これまで何百回もやってきたように Olivier Acuña は貯蓄を別の暗号通貨ウォレットに移そうと PC の前に座っていた。
「暗号資産の送信は常に不安を引き起こします」 と Acuña は CoinDesk に語った。その夜、この言葉が痛々しいほど現実として鳴り響くことになる。Acuña が送信ボタンを押した瞬間、それは終わった。400,000 ドル相当の暗号資産 (彼の全財産) が未知のフィッシング詐欺師に盗まれて消失した。
Acuña の損失は、誰もが暗号資産のハッキングに無縁でないことを示している。彼は暗号資産の業界歴 7 年のベテランで、ブロックチェーンに潜む危険から警戒する必要性を理解している人物だ。それ以前は数十年にわたってジャーナリストとして活動し、メキシコの凶暴な麻薬カルテルや刑務所での拷問に直面し、常に警戒を怠らなかった。
そのお金を取り戻すのは困難かもしれない。通常の銀行口座が侵害された場合、ほぼ確実に損失は保険でカバーされる。しかし、暗号通貨には そのような高度に規制されたシステムがなく、意図的に分散化されている。非中央集権化は、暗号資産のユーザーが切望する制度からの自由を与える一方、諸刃の剣でもある。管理者不在は、人々にクリック 1 つで破滅に追いやる可能性がある。
ハッキング自体は特別なことではなかった。Acuña は Ledger のハードウェア端末の資金にアクセスできなかったので、SNS を通じてカスタマーサポートに連絡した。なりすましが急襲し、30 分後に Acuña は詐欺師の網に掛かってしまった。
I lost £325k in a crypto scam – I was fooled by the fraudster’s blue tick on X (The i Paper)
https://inews.co.uk/news/lost-325k-crypto-scam-fooled-fraudsters-blue-tick-x-3012705
・