この記事は日経 xTECH有料会員限定ですが、2018年3月25日5時まではどなたでもご覧いただけます。
公式の販売ルート以外で買うと危ない
公式の販売店でない業者が売るハードウエアウォレットにも注意が必要だ。
新品のLedgerを購入すると、ユーザーは必ず秘密鍵の基となるリカバリーフレーズを自ら設定する手順をとる。Earth Shipの相場氏によると、Amazon.comで販売されるLedgerの中には、攻撃者があらかじめ生成したリカバリーフレーズを添付して販売しているものがあるという。
攻撃者は生成済みのリカバリーフレーズを紙に印刷して、正規の添付文書であるかのように商品の箱に忍ばせておく。ユーザーが商品を開封した直後に、偽の添付文書の指示に従ってこの24単語を入力すれば、攻撃者の秘密鍵や口座アドレスがハードウエアウォレットに「復元」される。利用者がこの口座アドレスに外部のウォレットから送金すると、攻撃者は着金を確認した後、攻撃者が持つ別のアドレスへと仮想通貨を送金することで、利用者の仮想通貨を盗み出せる。
手の込んだ攻撃者はリカバリーフレーズを印刷した上で銀色のシートをかぶせる「スクラッチ印刷」を施しているという。銀色のインキを硬貨で削る作業をユーザーにさせることで、あたかも初期設定に必要なデータだと思い込ませる。Earth Shipの相場氏は「今のところ日本での被害は確認していない。攻撃者はハードウエアウォレットの基本的な仕組みを知らない初心者を狙っている」と警告する。
被害を防ぐには、公式の販売ルートで購入すること、仮想通貨やハードウエアウォレットの仕組みを理解することが挙げられる。「仮に不審なリカバリーフレーズが添付された商品を買ったとしても、ユーザーが手順を守って再び初期化すれば被害はない」(Earth Shipの相場氏)。