Ledgerユーザー、緊急の「クリア署名」の必要性を主張するフィッシングメールに狙われる

増加する暗号通貨フィッシング：ハードウェアウォレットも例外ではない

Ledgerのようなハードウェア・ウォレットは、ユーザーの資金をオフラインに保つことで優れたセキュリティを提供しているが、フィッシング攻撃から完全に免れているわけではない。

詐欺師は、最も用心深い暗号通貨保有者をもターゲットにする戦略を絶えず開発している。

Ledgerユーザーを狙ったフィッシングメールの最新波は、暗号の世界における絶え間ない警戒の重要性を浮き彫りにしている。

詐欺とは何か？

現在、Ledgerユーザーの間で、"Ledger Clear Signing "と呼ばれる偽のセキュリティ機能を有効化させることで、暗号通貨を盗み出そうとする巧妙なフィッシングが出回っている。

これらの詐欺メールは、レジャー社からの公式な連絡を模倣し、非常に専門的に見える。

利用者は、財布への安全なアクセスを維持するため、2024年10月31日までにこの機能を有効にするよう促される。

メールでは、この機能を有効にしないと、2024年11月1日以降にアクセスできなくなると脅している。

これらのメールでは、詐欺師は虚偽の警告をしている：

「Ledgerデバイスを安全に使い続けるには、2024年11月1日からクリア署名を有効にすることが必須となります。この機能は、巧妙化するフィッシング攻撃や詐欺行為からお客様の資産を守るために不可欠です。"

Ledger社になりすました詐欺メールが出回っており、緊急のアカウント認証が必要だとしてユーザーを欺き、機密情報を暴露させようとしている。

しかし、このメールはユーザーを悪意のあるウェブサイトに誘導し、機能を有効にするためと思われる機密情報の提供を求める。

ユーザーがこれに応じると、詐欺師は被害者の財布にアクセスし、資金を盗む。

これらの電子メールはLedgerから発信されているのではなく、合法的に見えるように偽装した未知のアドレスから発信されていることに注意する必要がある。

マイクロソフトのシニア脅威リサーチャーであるトーマス・ロッチャ氏は、この詐欺を「非常にクリーンなLedger詐欺」であると説明し、この詐欺リンクはユーザーをLedgerとは全く関係のないURLにリダイレクトさせるが、多くの人を欺くには十分な説得力があると説明した。

フィッシング詐欺の手口

フィッシング詐欺は通常、切迫感を煽ることで無防備なユーザーを餌食にする。

この場合、詐欺師はセキュリティに対する関心の高まりを悪用して、被害者に個人情報を共有するよう説得する。

暗号通貨ユーザー、特に多額の資産を保有するユーザーは、こうした手口の格好の標的となる。

2024年5月、有名なフィッシング攻撃により、あるトレーダーが7100万ドル相当の暗号通貨を失った。

トレーダーは安全な取引をしていると騙され、知らず知らずのうちに資金の99％を詐欺師のアドレスに送金していた。

この事件は、ベテランのトレーダーでさえ、説得力のある緊急性を装えば、こうした詐欺の被害に遭う可能性があることを示している。

問題の大きさは？

暗号の世界ではフィッシング攻撃が根強い脅威となっている。

オンチェーンセキュリティ企業であるScam Snifferのデータによると、2024年9月だけで、フィッシング攻撃は10,800人の被害者から4,600万ドル以上の暗号を盗んでいる。

これらの数字は、フィッシング詐欺が増加傾向にあり、ますます巧妙になっていることを示している。

特に被害が大きかったのは、9月28日に発生したフィッシング詐欺で、詐欺師が許可証のフィッシング・シグネチャーを使い、一人の被害者から12,083spWETH（約3,240万円）を引き出した。

この種の詐欺は、詐欺師が人間の心理だけでなく、技術的な脆弱性も利用することを学んだことを示している。

2024年8月にはフィッシング攻撃が215％急増し、詐欺師は約9,145人の被害者から6,600万ドル相当のデジタル資産を盗んだ。

この期間中の最大の損失である5500万ドルは、ある暗号保有者が無意識のうちに取引に署名し、Makerプロトコルを通じて5550万ダイを詐欺師に送金したことで発生した。

2024年10月現在、フィッシング攻撃は衰えることなく続いており、月の前半だけで4100万ドル以上の被害が出ている。

Ledgerユーザーはなぜ狙われるのか

ハードウェア・ウォレットの大手プロバイダーとして、Ledgerはその膨大なユーザーベースを悪用しようとする詐欺師の焦点となっている。

デジタル資産を最も安全に保管する方法の1つを提供しているという評判で、多くの暗号ユーザーは、オンライン上の脅威から保有資産を保護するためにLedgerを信頼している。

残念なことに、この信頼がユーザーをフィッシング詐欺の格好の標的にもしている。

フィッシング攻撃では、信頼できる送信元から来たように見せかけた巧妙な偽装メールが使われることが多い。

Ledgerユーザーを狙った最新の攻撃は、詐欺師がどこまでやる気なのか、そして経験豊富な暗号保有者さえ欺くために公式通信を複製することにどれほど細心の注意を払うことができるのかを証明するものだ。

自分を守る方法

暗号通貨の送金は、従来の銀行取引とは異なり、不可逆的である。

いったん詐欺師のアドレスに送金された資金を取り戻すことは事実上不可能だ。

このため、暗号保有者は、自分の資産に関するあらゆるコミュニケーションに細心の注意を払う必要がある。

フィッシング攻撃は電子メールに限ったことではなく、詐欺師は電話も使って無防備なユーザーを騙している。

例えば、ECAD LabsのCEOであるJev Björsell氏は最近、いわゆる'Ledger Live Recovery Teamからフィッシングコールを受けた；

発信者はビョルセルのフルネームを知っており、一見プロフェッショナルな態度で電話をかけてきた。

暗号保有者は、フィッシング詐欺から身を守るため、早急な行動を促すEメールや電話、特に不審なリンクや個人情報の提供を求めるメールには特に注意する必要がある。

リンクをクリックしたり、個人情報を提供したりする前に、必ずその通信の正当性を関係会社に直接確認してください。

Ledgerの場合、公式ウェブサイトを訪問するか、カスタマーサポートチームに連絡することで、セキュリティ機能の有効化が本当に必要かどうかを判断することができる。

フィッシング詐欺は進化を続け、発見が難しくなっているため、暗号保有者は警戒を怠らない必要がある。