新しいLedgerの情報漏洩は仮想通貨を盗まなかったが、凶悪犯罪者をあなたの玄関へと導く情報を露出させた

Ledgerの顧客は1月5日、誰も見たくないメールで目を覚ました。第三者決済プロセッサーであるGlobal-eでの侵害により、顧客の名前と連絡先情報が漏洩したというものだ。

同社は、侵害されなかったものを明確にした。決済カード、パスワード、そして重要なことに24単語のリカバリーフレーズは侵害されていない。ハードウェアは手つかずのまま、ファームウェアは安全で、シードストレージは無傷だった。

データ侵害としては、これは最良のシナリオである。しかし、暗号資産においては、配送ラベルの漏洩がフィッシングの入口となり、まれな最悪のケースでは、玄関をノックされることにつながる可能性がある。

真の脆弱性はウォレットではない

BleepingComputerは、攻撃者がGlobal-eのクラウドシステムから買い物客の注文データにアクセスし、名前、住所、メールアドレス、電話番号、注文詳細をコピーしたと報じた。

これは「コマーススタック侵害」であり、暗号鍵には触れられず、デバイスにバックドアは仕掛けられず、Ledgerのセキュアエレメントを破る攻撃は行われなかった。

攻撃者が入手したのは、より実用的なもの。自宅配送先住所を持つ、確認済みハードウェアウォレット所有者の新鮮で高品質な連絡先リストだ。

フィッシング業者にとって、これはインフラレベルのターゲティングデータである。ハードウェアウォレットは役目を果たしたが、周辺の商業装置が攻撃者に必要なすべてを提供した。

Ledgerは以前にもこれを経験している。2020年6月、攻撃者は設定ミスのあるAPIキーを悪用して同社のeコマースデータベースにアクセスした。100万件のメールアドレスが漏洩し、272,000件の記録には氏名、住所、電話番号が含まれていた。

Bitdefenseはこれを「詐欺師にとっての絶好の機会」と特徴づけた。

攻撃は巧妙ではなかった。偽の侵害通知がクローンサイトでリカバリーフレーズを「確認」するよう促し、詐欺的なLedger Liveアップデートが認証情報収集ツールを配布した。

一部の恐喝メールは、攻撃者が被害者の住所とウォレット購入の確認を所持していることで信憑性を持たせ、自宅侵入を脅迫した。

永遠に提供し続けるデータセット

暗号資産における個人識別情報(PII)漏洩は、異常な耐久性を持つ。

2020年のLedgerリストは古くならなかった。2021年、犯罪者はダンプからの住所に物理的に改ざんされた「交換用」デバイスを郵送した。偽のレターヘッド付きのシュリンクラップされたパッケージは、被害者にシードを抜き取るよう設計された改造ハードウェアでリカバリーフレーズを入力するよう指示した。

2024年12月までに、BleepingComputerは「セキュリティアラート:データ侵害がリカバリーフレーズを漏洩する可能性」という件名を使用した新しいフィッシングキャンペーンを記録した。

さらに、メタマスクの2025年脅威レポートは、2020年の被害者に偽のLedgerレターヘッドの郵便で物理的な手紙が送られ、詐欺的なサポートラインに誘導されたと指摘した。

データセットは恒久的なものとなり、メールアドレス、SMS、従来の郵便でリサイクルされた。

Global-eの侵害は、攻撃者に同じ武器の新バージョンを提供する。Ledgerの警告はこれを明確に予測している。漏洩を利用したフィッシングを予期し、すべてのドメインを確認し、緊急性の合図を無視し、24単語のフレーズを決して共有しないこと。

フィッシングが物理的脅威に発展するとき

2020年の漏洩はLedgerデバイスを侵害することはなかったが、顧客リストを重大犯罪の材料として扱うことを常態化させた。Bitdefenderは、漏洩した住所を使用して自宅侵入を脅迫する身代金メールアドレスに言及した。Ledgerは最初の2か月で171のフィッシングサイトを削除した。

報告書は、フランス、米国、英国、カナダ全域で秘密鍵を奪取することを目的とした物理的強盗、自宅侵入、誘拐の激化を記録している。

フランスでのある事件では、2025年1月にLedger共同創設者David Ballandとそのパートナーの誘拐が発生し、攻撃者は身代金を要求しながら指を切断した。

以前のLedger漏洩はレンチ攻撃を引き起こし、報告書は暗号資産経営者への暴力的攻撃の急増が、富裕層ユーザーの詳細を漏洩したLedger、Kroll、Coinbaseでの侵害と相関していると主張している。

犯罪者は漏洩したデータベースと公開記録をつなぎ合わせ、ターゲットのプロファイリングと位置特定を行う。

TRM Labsはメカニズムを確認している。住所や家族の詳細などオンラインで収集された個人情報は、ウォレット技術が侵害されていない場合でも、自宅侵入の被害者をプロファイリングすることを簡素化した。

法執行機関は現在、暗号資産特有のPII漏洩を暴力的恐喝の材料として扱っている。

エコシステム問題への対処方法

Ledgerだけではない。2023年8月にKrollが侵害されたとき、FTX、BlockFi、Genesis債権者のデータがアクセスされた。

訴訟は、誤った取り扱いが請求ポータルを偽装する毎日のフィッシングメールアドレスにつながったと主張している。

パターンは一貫している。第三者ベンダーは、暗号資産所有権と結びついたときに機密性を持つ「非機密」データを保持する。配送先住所は、ハードウェアウォレットの注文に添付されるまではメタデータである。

加盟店プラットフォーム、CRM、配送統合で構成される商取引レイヤーは、誰が何を所有し、どこで見つけられるかのマップを作成する。

Ledgerのアドバイスは健全だ。ドメインを確認し、緊急性を無視し、シードを決して共有しない。しかし、セキュリティー研究者はこれを拡張することを提案している。

高額保有ユーザーは、メモリのみに存在する25番目の単語であるオプションのパスフレーズ機能を有効にすることを検討すべきである。さらに、ユーザーは連絡先情報を定期的に変更し、ウォレット購入に固有のメールアドレスを使用し、SIMスワップ試行を監視すべきである。

住所の漏洩はオフラインリスクを伴う。郵便転送、ビジネス住所、受け取り場所などの配送最小化は、物理的強制の表面を減らす。レンチ攻撃は統計的にはまれだが、現実的で増大する脅威を表している。

Global-eの事件は未解決の疑問を提起する。何人の顧客が影響を受けたのか?どの特定のフィールドがアクセスされたのか?他のGlobal-eクライアントは侵害されたのか?侵入者の動きを追跡するログは何か?

暗号資産業界は、商取引インフラのリスクを再考する必要がある。セルフカストディが資産管理から信頼できる第三者を排除するなら、顧客データをeコマースプラットフォームや決済プロセッサーに渡すことは、悪用可能なターゲットのマップを作成する。

ハードウェアウォレットは要塞かもしれないが、ビジネス運営は持続的な脆弱性を生み出す。

Global-eの侵害は単一のLedgerデバイスをハッキングすることはない。その必要はない。攻撃者に名前、住所、購入証明の新しいリストを提供したが、これは何年も続くフィッシングキャンペーンを開始し、まれなケースでは暗号化をバイパスする必要のない犯罪を可能にするために必要なすべてである。

真の脆弱性はセキュアエレメントではない。ユーザーの玄関につながる書類の痕跡である。

投稿「新しいLedger侵害は暗号資産を盗まなかったが、暴力的犯罪者をあなたの玄関に導く情報を漏洩した」はCryptoSlateに最初に掲載されました。