サプライチェーン攻撃で送金先アドレス改ざんの恐れ
仮想通貨ハードウェアウォレットを手がけるLedger(レジャー)社CTOのチャールズ・ギュイエメ氏は2025年9月9日、JavaScript向けパッケージ管理サービス「npm」で大規模なサプライチェーン攻撃が発生していると警告しました。
ギュイエメ氏によれば、信頼できる開発者のnpmアカウントが乗っ取られ、累計10億回超のダウンロード実績を持つ複数のパッケージに悪意あるコードが仕込まれたと説明しています。
同氏はまた、この改ざんによって仮想通貨(暗号資産)送金時にウォレットアドレスが攻撃者のものに置き換わる恐れがあり、その結果としてユーザーが気付かないまま資産を失う可能性があると指摘しています。
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
The malicious payload works…
— Charles Guillemet (@P3b7_) September 8, 2025
現在、大規模なサプライチェーン攻撃が進行中です。信頼できる開発者のNPMアカウントが不正アクセスを受け、影響を受けたパッケージはすでに10億回以上ダウンロードされており、JavaScriptエコシステム全体にリスクが及ぶ可能性があります。
仮想通貨の送金時に、悪意のあるコードがアドレスを書き換えることで資金を盗む仕組みになっています。
なお、npmはJavaScript向けの世界最大級のパッケージ管理システムで、多くのWebサービスや仮想通貨関連アプリケーションが依存する基盤となっています。
こうした状況を受け、ギュイエメ氏はハードウェアウォレットを使用していないユーザーに対し、問題の解消が確認できるまではオンチェーン(ブロックチェーン上)の仮想通貨取引を控えるよう強く求めました。
Zoom経由のハッキングで資産流出
仮想通貨ユーザー狙うnpmサプライチェーン攻撃
人気パッケージに仕込まれた悪質なマルウェア
今回の攻撃は、フィッシングメールをきっかけに開発者アカウントが乗っ取られたことから始まったと伝えられています。
報道によると、攻撃者はnpm公式サポートを装った偽メールで「二要素認証(2FA)の更新」を促し、開発者の認証情報を窃取しました。その後、複数の人気パッケージにマルウェアを含む不正アップデートを公開したとされています。
影響範囲は広く、この種の「ソフトウェア供給網(サプライチェーン)」攻撃によって仮想通貨関連アプリケーション全体がリスクにさらされています。
ユーザー資産を奪うアドレス改ざんの手口
また、仕込まれたマルウェアは、ユーザーが仮想通貨の送金取引を行う際に宛先アドレスを自動的に書き換えるよう設計されているといいます。
分散型金融(DeFi)開発者の0xngmi氏は「改ざんされた依存関係を利用するサイトでは、ユーザーが「Swap」ボタンを押した際に送金先が攻撃者のアドレスに書き換えられる可能性がある」と指摘しました。
Explanation of the current npm hack
In any website that uses this hacked dependency, it gives a chance to the hacker to inject malicious code, so for example when you click a "swap" button on a website, the code might replace the tx sent to your wallet with a tx sending money to…
— 0xngmi (@0xngmi) September 8, 2025
(前略)このハッキングされた依存関係を使用しているウェブサイトでは、ハッカーが悪意のあるコードを注入する可能性があります。例えば、ウェブサイト上で「スワップ」ボタンをクリックした際に、本来送るはずのトランザクションがハッカーのウォレットに送金されるよう書き換えられる可能性があります。
ただし、あなたのウォレットにはその不正なトランザクションが表示されるため、承認しない限り即座に資金が奪われるわけではありません。
また、この影響はハッキングされたnpmパッケージが公開された後にアップデートを行ったウェブサイトに限られます。それ以前のバージョンを使い続けているプロジェクトには影響がありません。
そのため、ウォレット自体は安全であり、実際に影響を受けるウェブサイトの範囲は「すべてのウェブサイト」というほど広くはありません。しかし、安全のためにこの問題が解決されるまで仮想通貨取引関連のウェブサイトの利用を控えるのが望ましいです。
ソフトウェアウォレット利用者への注意喚起
セキュリティ専門家らは、ソフトウェアウォレットやWebブラウザのウォレット拡張機能など、インターネット接続環境で動作するウォレット利用者が特に脆弱だと警鐘を鳴らしています。
一方で、Ledger社は「取引内容をデバイス上で表示できるハードウェアウォレットであれば、この種の攻撃から保護される」と強調しました。
ギュイエメ氏は「ハードウェアウォレット利用時は署名前に内容を確認すれば安全である一方、そうでない場合は安全が確認できるまでオンチェーン取引を控えるべきだ」と注意を促しています。
Bybitハッキング事件まとめ
仮想通貨ハッキング被害拡大、業界全体に波及
スイスボーグ、ソラナ約60億円が不正流出
仮想通貨業界では、大規模なハッキング被害の報告が相次いでいます。
スイス拠点の仮想通貨プラットフォームSwissBorg(スイスボーグ)は9月8日、ステーキング提携先のKiln社システムの脆弱性を突かれ、約193,000 SOL(4,110万ドル/61億円相当)が不正流出したと明らかにしました。
同社によると、影響を受けたのはユーザー全体の1%程度で、主要な資産運用アプリには被害が及んでおらず、流出分は会社の準備金で補填する方針としています。
取引所やステーキング業者が主要な攻撃標的に
ブロックチェーン分析企業チェイナリシスの報告では、2025年の仮想通貨関連ハッキング被害総額が6月時点で20億ドル(約2,960億円)を超えています。
そのうち約30%は、ウォレット事業者やステーキング業者などインフラ提供者を標的とした攻撃が占めるとされています。
また、2月には大手仮想通貨取引所Bybit(バイビット)で約14億ドル(約2,100億円)相当の仮想通貨流出が発生し、史上最大級のハッキング事案となりました。
こうした開発者の依存関係や外部サービスを悪用した巧妙な攻撃手法は、仮想通貨業界全体にとって深刻な脅威となっています。
※価格は執筆時点でのレート換算(1ドル=147.19 円)
ハッキング関連の注目記事はこちら
Source:チャールズ・ギュイエメ氏X投稿
サムネイル:Shutterstockのライセンス許諾により使用
