郵便物でフィッシング詐欺──TrezorやLedgerを騙る物理的な手紙で暗号資産が盗まれる新手口

雑記

暗号資産ハードウェアウォレットの大手メーカーであるTrezorとLedgerを装った物理的な郵便物によるフィッシング攻撃が確認されています。従来のメールやSMSを使ったフィッシングとは異なり、実際の紙の手紙で届くという新しい手口で、ユーザーのリカバリーフレーズ(シードフレーズ)を盗み取ることを目的としています。セキュリティ意識の高いハードウェアウォレットユーザーでも、物理的な郵便という意外性から騙される危険性があります。

この記事のポイント

  • TrezorやLedgerの公式レターを装った物理的な郵便物によるフィッシング攻撃が発生中
  • 手紙に記載されたQRコードをスキャンすると偽サイトに誘導され、リカバリーフレーズの入力を求められる
  • 過去のデータ漏洩で流出した顧客の住所・氏名が悪用されており、実名入りで届くため信憑性が高い

攻撃の手口:物理的な手紙でフィッシング

攻撃者は、TrezorやLedgerの公式レターヘッドやブランドデザインを精巧に模倣した手紙を、ユーザーの自宅に郵送しています。手紙の内容は「必須の認証チェック」や「トランザクションチェック」を完了する必要があるというもので、期限内に対応しなければウォレットの機能が制限されると脅しています。

具体的には、Ledgerを装った手紙では「Ledger Security & Compliance, 1 Rue du Mail, 75002 Paris, France」という偽の差出人情報が記載され、偽の参照番号まで付与されています。手紙にはQRコードが印刷されており、スキャンすると「authorize-ledger.com」などの偽ドメインに誘導されます。Trezorを装ったケースでは、2026年2月15日までに認証チェックを完了するよう警告する偽のフィッシングページが確認されています。

なぜこの攻撃は危険なのか

この攻撃が特に危険な理由は複数あります。まず、ハードウェアウォレットのユーザーはセキュリティ意識が高い人が多く、メールフィッシングには警戒していても、物理的な郵便物には油断しがちです。さらに、過去のデータ漏洩事件(特に2020年のLedgerデータ漏洩)で流出した顧客の実名・住所が使われているため、手紙の信憑性が非常に高くなっています。

リカバリーフレーズ(24語のシードフレーズ)はウォレットの秘密鍵を表すテキスト表現であり、これを入手されると攻撃者は被害者のウォレットを完全に制御できるようになります。偽サイトに入力されたリカバリーフレーズはバックエンドAPIを通じて攻撃者に送信され、数分以内にウォレット内の暗号資産が全て盗み出されてしまいます。

メーカーの公式見解と過去の事例

TrezorとLedgerの両社は公式に警告を発しています。Ledgerは「リカバリーフレーズをメール、電話、郵便で尋ねることは決してない」と明言しています。同様にTrezorも、リカバリーフレーズの入力はハードウェアウォレット本体でのみ行うべきであり、コンピュータ、モバイルデバイス、ウェブサイトで入力してはならないと強調しています。

なお、物理的な手段を使った暗号資産詐欺は今回が初めてではありません。2021年には、攻撃者がセットアップ時にリカバリーフレーズを盗むように改造されたLedgerデバイスを郵送するという事件が発生しています。また2025年4月にもLedgerユーザーを標的にした類似の郵便フィッシングキャンペーンが報告されています。

知っておくと便利なTips

  • 正規メーカーはリカバリーフレーズを絶対に聞かない: TrezorもLedgerも、メール・電話・郵便を問わず、リカバリーフレーズの提出を求めることは一切ありません
  • QRコードは安易にスキャンしない: 郵便物やメールに記載されたQRコードは偽サイトへの誘導手段の可能性があります。公式サイトには必ずブラウザから直接アクセスしましょう
  • 不審な郵便物はメーカーに直接確認: 公式サイトに記載された連絡先から直接問い合わせることで、手紙の真偽を確認できます
  • 万が一フレーズを入力してしまった場合: 直ちに別の安全なウォレットに資産を移動し、revoke.cashなどでdAppの権限を取り消し、メーカーのサポートに報告してください

まとめ

デジタル空間でのフィッシング対策が進む中、攻撃者は物理的な郵便物という意外なチャネルを使って暗号資産ユーザーを狙い始めています。過去のデータ漏洩で流出した個人情報と、精巧に偽装された公式レターの組み合わせは、セキュリティに詳しいユーザーでも騙される可能性がある巧妙な手口です。最も重要なのは、リカバリーフレーズはハードウェアウォレット本体以外の場所では絶対に入力しないという原則を徹底することです。どのような経路で届いた依頼であっても、リカバリーフレーズの提出を求める時点で詐欺であると判断してください。不審な郵便物を受け取った場合は、メーカーの公式サポートへ報告するとともに、地元の法執行機関にも通報することが推奨されます。

📎 元記事: https://www.bleepingcomputer.com/news/security/snail-mail-letters-target-trezor-and-ledger-users-in-crypto-theft-attacks/

コメント

タイトルとURLをコピーしました