Ledger冷钱包爆雷！合作商泄露用户个资，重演2020年历史

Ledger 冷錢包第三方支付商 Global-e 遭駭，用戶個資外洩。ZachXBT 披露，Ledger 證實但強調資金與私鑰安全。2020 年曾洩 27 萬用戶個資引發釣魚攻擊與訴訟。資安專家警告，近期應警覺任何要求助記詞或授權的可疑訊息。

Global-e は誰？なぜセキュリティの突破口となったのか

（出典：Global-e）

ブロックチェーン探偵 ZachXBT は 1 月 5 日に、Ledger の第三者決済処理パートナー Global-e でデータ流出が発生し、一部のユーザーの個人情報が不正アクセスされたことを公開した。Ledger はハードウェアウォレット分野のリーダーであり、ユーザーは Ledger を通じて暗号資産の秘密鍵をオフラインで保管でき、ホットウォレットや中央集権型取引所よりも安全な資産管理手段と位置付けられ、世界中に小売や機関投資家の基盤を持つ。安全性に関する動きには業界の関心が高い。

外部の懸念に対し、Ledger の公式はメディアに対し、パートナーの Global-e から通知を受けたことを確認し、システム内の注文データが不正アクセスされたと述べた。Global-e は Ledger 公式ウェブサイトの越境取引を担当する商人（Merchant of Record）であり、そのクラウドデータベースには Ledger の公式サイトで購入した顧客情報の一部が含まれている。

Ledger の広報担当者は、今回のセキュリティ事件は外部の電子商取引パートナーの情報システムにのみ関係し、Ledger 自身のプラットフォーム、ハードウェア、ソフトウェアシステムには侵入がなく、安全な状態を維持していると強調した。Ledger の製品はセルフカストディアル（自己管理）設計を採用しており、Global-e はユーザーの最も重要な 24 字の助記詞、ブロックチェーン残高、またはデジタル資産に関する機密情報にアクセスできない。今回の事件はクレジットカード情報の流出には関係していない。

この説明は技術的には成立するが、より大きなリスクを見落としている。流出した名前、メールアドレス、電話番号は直接的な資金盗難にはつながらないものの、ターゲット型詐欺の完璧なリストを提供してしまう。詐欺師はこれらの人々が Ledger のコールドウォレットを所有していることを知り、一定規模の暗号資産を持つ高価値攻撃のターゲットとなる。

サプライチェーンのセキュリティの三大脆弱性

第三者決済商：Global-e など越境取引を扱うパートナーは注文データを掌握し、ハッカーの標的となる

物流配送業者：配送先情報の流出は実体の強盗につながる可能性があり、2020年にはユーザーが脅迫された事例もある

カスタマーサポートシステム：外部委託されたカスタマーサポートが適切に管理されていない場合、ソーシャルエンジニアリングによりユーザーデータを取得される恐れがある

2020年に27万ユーザーの情報流出という痛ましい教訓

Ledger はパートナーによるユーザー情報流出事件をきっかけに、過去の論争史が再び注目された。2020年、Ledger は重大なデータ流出事件を経験し、ハッカーが同社関連のマーケティングおよび電子商取引データベースに侵入、27万名以上のユーザーの個人情報がハッカー掲示板 RaidForums に公開された。

流出内容は非常に詳細で、ユーザーの氏名、メールアドレス、電話番号、さらには一部の住所まで公開され、多くのユーザーの不安と不満を引き起こした。多くの被害者はその後、フィッシングメールや嫌がらせのターゲットとなった。Ledger は当時、ビットコインの懸賞金を出して攻撃者の情報を追跡しようとしたが、その後も集団訴訟に直面し、原告は Ledger と当時の電子商取引パートナー Shopify が十分な個人情報保護措置を講じていなかったと指摘した。

2020年の流出後、多数のユーザーが Ledger 公式を装ったフィッシングメールを受け取り、「ファームウェアの更新」や「アカウントの検証」を促す内容に騙され、24語の助記詞を入力させられたケースもある。これにより数十万から数百万円相当の暗号資産を失ったユーザーもいる。極端な例では、住所の流出により実体の脅迫を受け、コールドウォレットを差し出さざるを得なかったケースもある。

今回の Ledger の Global-e 事件の規模が2020年と同程度になるかは不明だが、市場の暗号資産企業やサードパーティサービスの個人情報取り扱いに対する見直しを再燃させることは間違いない。セキュリティをコア競争力とするハードウェアウォレット企業にとって、データ流出はユーザーの信頼に直結する。

ターゲット型フィッシング詐欺への実践的防御策

セキュリティ専門家は、Ledger の資金自体は安全だが、流出した氏名や連絡先情報はターゲット型のソーシャルエンジニアリング詐欺に悪用される可能性が高いため、最近は助記詞や認証を求める疑わしいメッセージには十分注意すべきだと警告している。サプライチェーンのセキュリティは懸念材料であり、Ledger のユーザーはフィッシングに注意を払う必要がある。

ターゲット型フィッシングの特徴は極めて個別化されている点だ。詐欺師はあなたの実名、購入履歴、連絡先を使い、Ledger の公式サポートを装って、「あなたのウォレットに安全上の問題がある」として「緊急対応」を促す。このような高度にカスタマイズされた詐欺メッセージは、迷惑メールの一斉送信よりもはるかに騙しやすい。

Ledger の公式は、決してユーザーに助記詞や秘密鍵の提供を求めることはない。Ledger からのメール、SMS、電話であっても、敏感な情報の要求があれば、それは100%詐欺だ。正しい対応は、疑わしいメッセージを無視し、Ledger の公式ウェブサイトに直接アクセスして確認するか、公式サポートを通じて問い合わせることだ。

すでに個人情報流出が確認されているユーザーは、Ledger 関連のメールアカウントのパスワードを直ちに変更し、二要素認証を有効にし、今後数ヶ月間は Ledger からの連絡に対して疑念を持ち続けることを推奨する。疑わしいメッセージを受け取った場合は、スクリーンショットを取り、Ledger の公式やブロックチェーン探偵 ZachXBT に通報してください。