仮想通貨のハードウェアウォレットを提供している「Ledger(レジャー)」は2020年3月5日に、Google Chromeの拡張機能でウォレット復元に必要となる”リカバリーフレーズ”の入力をフィッシング詐欺が見つかったことを報告しました。
復元フレーズ盗難の可能性も
仮想通貨ウォレットを作成する場合には、万が一の場合にウォレットを復元するための「リカバリーフレーズ(復元フレーズ)」が発行されます。このフレーズは何らかの理由によってウォレットの資金にアクセスできなくなった場合などに使用する”非常に重要なもの”であり、個人で大切に記録して保管するが強く推奨されていますが、Ledger(レジャー)は2020年3月5日のツイートで『リカバリーフレーズ入力を求める偽のChrome拡張機能が見つかった』と報告しています。
🚨フィッシングアラート🚨
24単語のリカバリーフレーズ入力を求める偽のChrome拡張機能が見つかりました。
⚠️24単語を共有しないでください。
⚠️インターネットに接続されたデバイスに24単語を入力しないでください
⚠️Ledgerは24語を決して要求しません
今回報告された事例では「Ledger Live」と呼ばれる”偽のGoogle Chrome拡張機能”が公開されていたことが報告されています。「Ledger Live」は拡張機能を利用したユーザーに対してリカバリーフレーズの入力を求めることによって、ユーザーのリカバリーフレーズを盗もうとしていたと報告されています。
記事執筆時点で「Ledger Live」はChromeウェブストアから削除されているものの、この”偽拡張機能”は少なくとも120回はダウンロードされていたとも報告されています。
Google広告で表示される「詐欺サイト」にも要注意
今回見つかった”偽のChrome拡張機能”は、Googleのオンライン広告プラットフォームである「Google Ads」で宣伝されていたことも報告されているため、仮想通貨保有者の人々は今後もこのような手法を用いたフィッシング詐欺に注意する必要があります。
これはGoogle Adsが「Ledger Live」という検索フレーズで表示する検索結果です。
「Google Ads」で広告費を支払うことによって検索結果の上位にサイトを表示させ、あたかも本物のWEBサイトであるかのように振る舞う詐欺行為はこれまでにも複数報告されているため、今後も同様の詐欺が現れる可能性は十分あると考えられます。
リカバリーフレーズが他人に盗まれてしまった場合には自分のウォレットが乗っ取られてしまう可能性があるため、リカバリーフレーズは絶対に他人に見せない・教えないようにすることが重要です。
