公式を装う「物理的な手紙」に注意
暗号資産(仮想通貨)の大手ハードウェアウォレットメーカーである「Trezor(トレザー)」や「Ledger(レジャー)」の公式チームを装って暗号資産を盗み取ろうとする郵便物がユーザーの自宅に直接送りつけられる事例が急増していることが明らかになりました。
仮想通貨業界ではデジタルなフィッシング攻撃が日常的に発生していますが、最近では「物理的な手紙」を用いたアナログかつ巧妙な詐欺手法が確認されているため、ユーザーには厳重な警戒が呼びかけられています。
これらの手紙は企業のロゴや公式文書に見せかけたレターヘッドを使用しており、一見すると本物のコンプライアンス通知やセキュリティ警告であるかのように偽装されています。
詐欺グループの主な手口は、受信者に対して「認証チェック(Authentication Check)」や「取引チェック(Transaction Check)」といった架空の手続きが義務化されたと信じ込ませることです。
手紙には、「この手続きを完了しない場合、ウォレットの機能が制限される」「資産へのアクセスを失う可能性がある」といった脅し文句が記載されており、ユーザーの不安を煽って行動を急かそうとします。
特に注意すべき点は、これらの手紙はランダムに送られているわけではなく、過去に発生したデータ漏洩事件などで流出した顧客情報を悪用し、実際にハードウェアウォレットを所有している可能性が高い個人を標的にしていると見られることです。
サイバーセキュリティの専門家であるDmitry Smilyanets氏も2026年2月13日のX投稿で自身が受け取ったTrezorを装う詐欺手紙を公開し、コミュニティに対して注意を促しています(※Ledgerを装う詐欺手紙の報告もあり)。
A new scam affecting @Trezor customers:
– a physical mail ✅
– a hologram ✅
– a QR code leading to the scam website ✅
– a signature of @Ledger CEO 😂😂😂
– mailed from 🇺🇸 PA pic.twitter.com/ou60qtsVmK— 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) February 12, 2026
Trezorユーザーを標的にした新しい詐欺の手口:
- 物理的な郵便物が届く✅
- ホログラムシールが貼られている✅
- 詐欺サイトへ誘導するQRコードが記載されている✅
- Ledger社CEOの署名が入っている😂😂😂
- ペンシルベニア州(PA)から郵送されている
QRコードから資産を盗む手口の詳細
今回確認された手紙には、ユーザーをフィッシングサイトへ誘導するためのQRコードが大きく印刷されています。
被害者がスマートフォンのカメラでこのQRコードを読み取ると、正規の公式サイトに酷似したデザインの“偽ウェブサイト”へと転送されます。具体的には「trezor.authentication-check[.]io」や「ledger.setuptransactioncheck[.]com」といったドメインが使用されており、URLを注意深く確認しない限り、公式ページと誤認しやすい作りになっています。
フィッシングサイトにアクセスすると、手紙の内容と同様に「☓☓☓☓年☓月☓☓日までに認証チェックを完了してください」という警告が表示されます。サイト上では、特定の期間に購入された最新モデル以外のすべてのデバイスでこの手続きが必要であると説明し、もっともらしい理由付けでユーザーを信用させようとします。
画面上の「Get Started(開始する)」ボタンをクリックすると、さらなる警告画面が表示され、「手続きを行わないと取引の署名エラーが発生する」「将来のアップデートに支障が出る」などと畳み掛け、被害者が冷静な判断を失うよう心理的な圧力をかけ続けます。
攻撃の最終段階として、サイトはユーザーに対して「ウォレットの所有権を確認するため」と称し、リカバリーフレーズ(シードフレーズ)の入力を要求します。ここには、12語、20語、または24語のフレーズを入力できるフォームが用意されており、ユーザーが自身のリカバリーフレーズを入力してしまうと、そのデータは即座に攻撃者のサーバーへ送信されます。
リカバリーフレーズはブロックチェーン上の資産を管理するマスターキーであるため、一度でも第三者に知られてしまえば、攻撃者は手元のデバイスでウォレットを復元し、保管されているすべての暗号資産を盗み出すことが可能になります。
リカバリーフレーズは絶対に入力しないこと
ハードウェアウォレットを使用する上で最も重要な鉄則は、「リカバリーフレーズはデバイス本体以外には絶対に入力してはならない」ということです。
TrezorやLedgerなどの正規メーカーはこれまでにも「ウェブサイト・アプリ・メールあるいは今回のような物理的な手紙を通じて、ユーザーにリカバリーフレーズの入力・スキャン・アップロードを求めることはない」と繰り返し強調し続けています。
リカバリーフレーズが必要になるのは、ハードウェアウォレットを紛失・破損した際に新しいデバイスで復元を行う場合のみであり、その入力作業は自分自身で行うのが鉄則であるため、何があろうとリカバリーフレーズを他人に教えてはいけません。
今回の事例のように、攻撃者はデジタルの壁を越えて「物理的な郵便物」という信頼されやすい媒体を利用してきます。特に「期限」を設けて急かす手法は詐欺の常套手段であるため、もし同様の手紙を受け取ったとしても、決してQRコードを読み取らず、まずは公式サイトや公式サポートチャンネルで真偽を確認する冷静さが求められます。
また、Ledger社などは過去に顧客データベースのハッキング被害に遭っているため、氏名や住所などの個人情報がダークウェブ上で流通している可能性があります。自宅住所を知られているからといって、その郵便物が公式からのものであるとは限らないことを肝に銘じておく必要があります。
過去には、改造されたハードウェアウォレット自体が送りつけられるという事件も発生していました。物理的な接触を図ってくる攻撃は、デジタルのみの攻撃よりも心理的な防壁を突破しやすい傾向にあります。
大切な資産を守るためにも、「秘密鍵やリカバリーフレーズを要求するものは全て詐欺である」という原則を徹底し、不審な郵便物は無視、あるいは破棄するようにしてください。
詐欺関連の注目記事
source:Dmitry Smilyanets氏X投稿
サムネイル:AIによる生成画像
