サイバーセキュリティ専門家らの報告によると、仮想通貨ハードウェアウォレット大手Trezor(トレザー)およびLedger(レジャー)の利用者を標的とした、物理的な郵便物(ダイレクトメール)によるフィッシング詐欺が発生している。利用者の自宅に直接、公式を装った偽の通知書が届いている実態が明らかとなった。
送付された偽の書面には、デバイスの安全性を確保するための「強制的な認証チェック」が必要であるとの旨が記されている。具体的には2026年2月15日といった直近の期限を設定し、対応しない場合はデバイスの機能が制限されると警告して、利用者にQRコードの読み取りを促す巧妙な内容だ。
QRコードを介して誘導されるウェブサイトは、公式ページを装ったもの。サイト上では、最終的に「リカバリーフレーズ(シードフレーズ)」の入力を求められるが、ここで情報を入力してしまうと、攻撃者のサーバーへデータが送信され、ウォレット内の資産を即座に盗まれる仕組みとなっている。
この攻撃において特筆すべきは、攻撃者がウォレット保有者の氏名や住所を正確に把握している点だ。流出経路は特定されていないが、過去に発生した関連企業のデータベース漏洩などの情報が、物理的な攻撃のターゲット選定に悪用されている可能性が極めて高いと分析されている。
これに対しTrezorとLedgerの両社は、公式サポートページ等を通じて「郵便でセキュリティ通知を送ることはない」と明確に否定している。また、いかなる理由があろうとも、メーカー側が利用者のリカバリーフレーズをオンライン上で入力させたり、共有を求めることは決してあり得ないと注意を喚起した。
仮想通貨のセキュリティ対策は、オンライン上の不審なリンクだけでなく、物理的な書面に対しても警戒が必要な段階に入っている。手紙という媒体はデジタルよりも信頼されやすい傾向にあるが、そこに記載された情報の真偽を公式のサポートチャンネルを通じて直接確認することが、自己資産を守るための鉄則となる。
関連: バイナンス・フランスのトップを狙った住居侵入、3人が逮捕=報道
関連: ClawHubのAIエージェントにマルウェア仮想通貨盗難に警告
