この記事は、Bitcoin NewsによってX投稿された Ledger and Trezor Users Targeted in Sophisticated Physical Mail Scam を全文日本語訳しています。
Ledger と Trezor のハードウェアウォレット利用者を狙った、新たな詐欺手口が発生している。詐欺師たちは、これまでのようにメールを送るのではなく、郵送で偽の手紙を送りつけるという新しい手法を使っている。
BleepingComputer の報告によると、これらの手紙は非常によく出来ており、公式文書のように見えるという。手紙は Ledger または Trezor から送られたように装い、ユーザーに「Authentication Check(認証チェック)」「Transaction Check(トランザクションチェック)」という義務的な手続きを完了するよう要求する。手紙には、迅速に対応しないとウォレットにアクセスできなくなると警告が書かれている。
しかし、これらの手紙は偽物であり、ユーザーのデジタル資産への完全なアクセスを可能にするリカバリーフレーズ(シードフレーズ)を盗むためのフィッシング詐欺だ。
デジタル資産の世界では、フィッシングメールは珍しくない。しかし今回の詐欺は、物理的な郵便を使っている点で異なる。
手紙は高品質な紙に印刷され、公式のように見える外観を持ち、企業ロゴや専門的な文章が使用されている。多くの手紙には「2026年2月15日まで」など、期限を設定してユーザーの焦りを誘う文言が含まれている。
サイバーセキュリティ専門家 Dmitry Smilyanets が調査した偽の手紙には、Trezor 利用者に対し次のような記載があった:
「Trezor Suite へのアクセスに支障をきたさないために、モバイル端末でQRコードをスキャンし、2026年2月15日までに ‘Authentication Check’ を有効化してください」
Smilyanets は、手紙にはホログラムまで付いており、ペンシルベニア州から送付されたように見えたと述べている。
またその手紙には、ユーザーがすでに機能を有効化していた場合でも「完全に有効化するためには再度手続きを行う必要がある」と記載されていた。
X 上でも、Ledger 利用者を狙った類似の偽手紙が共有されている。こちらも同じ期限を設定した「Transaction Check」を要求している。それぞれの手紙にはQRコードが記載されており、ユーザーがスキャンすると偽サイトに誘導される。
これらの偽サイトは、公式サイトに見せかけるためにレイアウト・ブランド・文言まで巧妙にコピーしている。サイトでは「デバイス所有の確認」を理由に、ユーザーにリカバリーフレーズの入力を求める。
セキュリティ専門家によると、以下の場合は確実に偽サイトである:
- URL の最初の部分が 「Trezor.io」または「Ledger.com」 で終わっていない
- 「Trezor」と「.io」、「Ledger」と「.com」の間に余計な文字がある
- シードフレーズの入力を求めてくる
また、公式サイトにはブラウザのアドレスバーに手入力でアクセスするのが最善だとしている。
あるフィッシングページでは次のように書かれている:
「2026年2月15日までに Authentication Check セットアップを完了してください。ただし、2025年11月30日以降に Trezor Safe 7、Safe 5、Safe 3、Safe 1 を購入した場合は除きます」
このメッセージは、一部のユーザーは急ぐ必要があり、一部は不要であるかのように装い、混乱と緊急性を演出する。
ユーザーが「Get Started」をクリックすると、さらなる警告が表示される。手続きを完了しない場合、アクセスブロック・取引エラー・アップデート問題などが発生する可能性があると記載されている。
最終的に、サイトはユーザーに 12/20/24単語のリカバリーフレーズを入力させる。入力すると、フレーズは密かに詐欺師へ送信される。詐欺師は、自分のデバイスでウォレットを復元し、すべての資金を盗み出すことが可能になる。
リカバリーフレーズ(シードフレーズ)は、デジタル資産ウォレットのマスターキーであり、これを持つ者は誰でもウォレットを完全に操作できる。
取引の取り消しや、盗まれた資金の回復は不可能だ。
両社は明確に、ユーザーに対しリカバリーフレーズを入力・スキャン・アップロード・共有するよう求めることは絶対にないと注意喚起している。フレーズはハードウェアウォレット本体にのみ入力するべきであり、ウェブサイト・PC・スマホで入力してはならない。
詐欺師がどのようにユーザーの住所を入手したのかは正確には分かっていない。
しかし、Ledger と Trezor は過去にデータ漏洩を経験しており、その際の顧客情報が悪用されている可能性が指摘されている。
少なくとも 1 つのフィッシングサイトは、すでにブラウザのセキュリティ機能によって危険なサイトとして警告されている。
Google Chrome で表示された警告:
「アクセスしようとしているサイトの攻撃者は、ソフトウェアのインストールやパスワード・電話番号・クレジットカード番号などの情報を入力させようとする可能性があります。Chrome は安全なページに戻ることを強く推奨します」
