ハードウェアウォレットメーカーのLedger社はこのほど、新たなフィッシング詐欺対策として注意喚起を行った。
今回の詐欺は、Ledgerからの公式通知を装い、偽の手紙によりユーザーの機密情報を狙い撃ちにする手口である。
偽の手紙による詐欺手口
報告によると、詐欺師はLedgerのロゴや住所を記載した偽装手紙を用いている。手紙には「緊急のセキュリティアップデート」が必要と記され、ユーザーにQRコードをスキャンさせる仕掛けが施されている。
最終的な目的は、ウォレットの復元や資金アクセスに必要な認証情報である24語の秘密のリカバリーフレーズ(ウォレットの復元と資金アクセスに必要な認証情報)を入力させることである。 リカバリーフレーズはウォレットの復元や資金へのアクセスに必要な最重要情報だ。
この情報を第三者に渡すことは、暗号資産(仮想通貨)の管理権を放棄することと同義である。
詐欺の背景と巧妙化する手口
この詐欺の背景には、数年前に発生したLedger顧客の個人情報漏洩が影響している可能性がある。
漏洩した情報が悪用され、特定のユーザーを狙った攻撃へと発展していると考えられる。 物理的な手紙や公式に見せかけた体裁が詐欺の発見を困難にしている。
一部のユーザーは、Ledgerが決してリカバリーフレーズを要求しないという事実を知らず、結果として被害リスクを高めている。
Ledger社の対応とユーザーへの注意喚起
Ledger社は、これらの手紙がフィッシング詐欺であることを公式に認め、注意を呼び掛けた。
同社は手紙、電話、メッセージなどいかなる手段を用いて顧客のリカバリーフレーズを要求することは決してないと断言している。 ユーザーがリカバリーフレーズを秘密に保持する限り、デバイス自体のセキュリティは確保される。
特に、オンライン攻撃のリスクを低減するコールドウォレットとして機能するデバイスは安全性が高い。 今回の事件は、仮想通貨ユーザーが直面するリスクを改めて浮き彫りにしている。
詐欺の手口を認識し、資産を守るためには警戒心を持ち、常にセキュリティ対策の知識を更新することが不可欠である。
また、仮想通貨ウォレットなどの情報を参考にすることで、対策の強化が図られる。 詐欺師は手紙に加え、マルウェアを仕込んだ偽装デバイスを送付するなど、さまざまな手口を用いている。
ユーザーは公式チャネルからの情報のみを信頼し、不審な要求には決して応じないよう改めて注意する必要がある。
