偽Ledger LiveアプリがApple App Storeで950万ドルを詐取：被害の仕組みと対策

Dan

2026-04-21 05:37:33 に更新

重要ポイント

Apple App Storeに偽Ledger Liveアプリが2週間掲載され、50名以上から合計950万ドル相当の暗号資産が詐取されました。詐欺の手口と対策も解説します。

偽のLedger LiveアプリがApple App Storeに約2週間掲載され、Appleが2026年4月14日に削除するまでに、50名以上のユーザーから合計約950万ドル相当の暗号資産が詐取されました。このアプリは「Leva Heal Limited」という実体のない企業名で公開されており、本物のLedger（Ledger SAS社）とは一切関係がありません。被害者は公式アプリだと思い込み、シードフレーズを入力した結果、数分でウォレット内の資産が流出しました。

ブロックチェーン調査員ZachXBTは盗まれた資金の流れを特定し、4月14日に詳細を公開しました。一件あたり最大の被害額はUSDTで323万ドル、USDCで208万ドル、BTC・ETH・stETHの合計で195万ドルでした。ある被害者はX上で、10年かけて貯めた全財産5.9BTCを失ったと投稿しています。

これは、AppleのApp Store審査体制が6日間にわたり機能しなかったことで起きた事件です。

PhemexでBTC取引

詐欺の仕組み：ダウンロードから資産流出まで

この攻撃は非常にシンプルなものでした。偽Ledger Liveアプリは、macOS App Store上で本物と同じアイコン・名称を使い、発行元も一見似ているように見せかけていました。「Leva Heal Limited」という名前は、App Storeで"Ledger Live"を検索するユーザーにとって疑念を抱かせない程度のものでした。

インストール後、アプリは本物と同じウォレットセットアップ画面を表示し、ユーザーに24単語のリカバリーフレーズ（シードフレーズ）の入力を求めました。その情報が入力された時点で、攻撃者は被害者の全資産へアクセスできる状態となります。マルウェアやゼロデイ脆弱性を利用することなく、単純な入力フォームと「公式アプリ」を信じ込ませることで被害が発生しました。

資産流出は短時間で行われました。4月7日から13日まで、攻撃者は計画的に被害者から資金を奪取。4月9日にUSDT323万ドル、4月8日にBTC・ETH・stETH195万ドル、4月11日にUSDC208万ドルなど、全て同様の手口でした。シードフレーズ入力直後に資産が移動し、複数の中間ウォレットを経て取引所アドレスへ送金されました。

資金の行方

ZachXBTのオンチェーン分析によれば、盗まれた資金は150以上のKuCoin入金アドレスを通じて分散されました。資金洗浄には「AudiA6」という中央集権型のミキシングサービスが使われ、手数料を支払って複数のアドレスに振り分け、取引所の監視を回避していました。

KuCoinが選ばれた理由としては、過去2年間で規制当局からの圧力やKYC要件が他の米国系取引所より緩いと指摘されてきたため、攻撃者にとって資金凍結リスクが低いことが挙げられます。

4月16日時点で盗難資金の回収は確認されていません。ミキシングサービスと迅速な資金移動により、回収は困難ですが、KuCoinが法執行機関に協力した場合は一部回収の可能性も考えられます。

Apple審査プロセスの問題点

被害者にとって最も大きな衝撃は、Apple自身が「安全性」を強調するプラットフォームでこうした偽アプリが長期間掲載されていた点です。AppleはApp Storeの30％手数料徴収と引き換えに厳格な審査体制を主張してきました。

それにもかかわらず、偽の暗号資産ウォレットアプリが約2週間も放置されていました。Appleの審査チームはこの間、不正を見抜けず、最終的にはコミュニティやメディアの報告を受けて削除に至りました。

9to5Macの報道によれば、この日はLedger Live以外にも「Freecash」の偽アプリが同時に削除されたことから、審査体制上の複数の問題が同時発生していたと考えられます。

Appleは開発者アカウントを削除したと発表しましたが、950万ドルもの被害発生後の対応は「事後策」にすぎません。そもそも、著名な暗号資産アプリのコピーが無関係な発行者から掲載許可されたこと自体が大きな問題です。

PhemexでBTC取引

被害者と法的影響

50人以上の被害者は数字だけで語れません。Xで被害を公表した@glove氏は、10年かけた全財産5.9BTCを失いました。他にも、ハードウェアウォレットの安全性を信じて長期保管していたステーブルコインを失った人もいます。

多くの被害者は怪しいリンクを踏んだわけではありません。Apple App Storeという「安全が保証されたプラットフォーム」から公式アプリとしてダウンロードしました。これは、ほとんどのセキュリティガイドが推奨する行動です。

ZachXBTは、被害規模が集団訴訟の根拠になる可能性を示唆しています。Appleは自社の審査体制が利用者を守るとマーケティングしてきました。審査の不備により利用者が重大な損失を被った場合、実際のセキュリティと主張のギャップが法的責任問題となる可能性があります。

訴訟が現実化するかは被害者数や法務チームの動向次第ですが、前例は今後の判断基準となります。Appleが何の責任も問われない場合、App Storeの「安全保障」の根拠が揺らぐでしょう。

偽ウォレットアプリから資産を守るには

この事件の最大の教訓は「公式ストアからのダウンロード」だけでは不十分だという点です。追加の確認を行いましょう。

ダウンロード前に発行者名を確認する
本物のLedger Liveは「Ledger SAS」が発行元です。偽アプリは「Leva Heal Limited」でした。公式サイトでダウンロードリンクを確認し、ストアの情報と一致するかを必ず確かめてください。

いかなるアプリにもシードフレーズを入力しない
24単語のリカバリーフレーズはウォレットの全権限鍵です。正規のウォレットアプリは、同期や復元のためにアプリ上で入力を求めません。Ledger公式も「リカバリーフレーズはデバイス本体でのみ入力する」と明記しています。

本物のダウンロードページをブックマークする
一度ledger.com/ledger-liveにアクセスし、正しいドメインを確認・ブックマークしておきましょう。毎回検索するのではなく、そのブックマークからアクセスしてください。

アプリの信頼性を送金テストで確認する
既にウォレットアプリをインストールした場合は、まず少額（例：5ドル分）を送信し、正しく着金するか確認しましょう。

資産管理を取引所で行う場合、自己管理ウォレットのような偽アプリ被害リスクは回避できますが、取引所自体の経営リスクなど別のリスクも存在します。自己管理には細心の注意が求められます。

暗号資産セキュリティ全体への示唆

本件はスマートコントラクトやブロックチェーン自体のハッキングではなく、プラットフォーム審査への「信頼」が狙われた社会工学的な攻撃です。Appleの審査体制がその信頼を裏切る形となりました。

暗号資産業界はオンチェーンの技術的セキュリティを長年強化してきましたが、近年はソーシャルエンジニアリングや偽アプリなど、ユーザーの認識ギャップを突く手口が増えています。

The Blockの報道によれば、被害資産はビットコイン、イーサリアム、ソラナ、トロン、XRPと多岐にわたっています。シードフレーズ一つで全ネットワークの資産が流出するため、細心の注意が必要です。

Appleにとっては暗号資産だけでなく、あらゆる金融アプリの安全性にもかかわる信頼問題です。EUではすでにサイドローディングが義務化されるなど、Appleが独自審査体制による排他性を主張する根拠は揺らぎつつあります。

Phemexで取引を始める →

よくある質問

なぜ偽LedgerアプリがApp Storeに掲載されたのでしょうか？

Appleのアプリ審査は一般的なマルウェア検出には有効ですが、公式アプリを装うブランドコピーやUI模倣までは十分に検知できませんでした。今回の偽Ledger Liveも発行者名が「Leva Heal Limited」であったにもかかわらず、ブランド名との不一致が見逃されていました。

被害者が盗まれた950万ドルを取り戻すことはできますか？

現時点で回収は非常に困難です。150以上のKuCoin入金アドレスと「AudiA6」ミキシングサービスが使われており、協力が得られれば一部回収の可能性もありますが、現時点で確認されていません。

この事件を受けてLedgerハードウェアウォレットの利用をやめた方がいいですか？

Ledger本体は今回の事件で直接的な被害を受けていません。脆弱性は偽アプリによるもので、本物のデバイス上でのみリカバリーフレーズを入力し、公式サイトからのみアプリをダウンロードする限り、安全性は維持されます。

Appleは法的責任を問われるのでしょうか？

ZachXBTや法務専門家によれば、Appleの審査体制やマーケティングと実際の結果に乖離がある場合、集団訴訟の根拠となり得ます。現時点で訴訟は起きていませんが、950万ドルという被害規模はその可能性を高めています。

まとめ

Apple App Store上の偽Ledger Liveアプリ事件は、多くの暗号資産ユーザーが見落としがちなリスクを明らかにしました。50名以上が審査体制を信じてシードフレーズを入力し、6日間で950万ドルもの損失につながりました。攻撃者は高い技術を用いたわけではなく、単純に「偽アプリ」を掲載し、被害者が自ら資産の鍵情報を提供するのを待っただけです。

今後は、どんなストアであっても発行者名を必ず確認し、シードフレーズをソフトウェア上に入力しない、「公式ストア」の表記に過信しないなど、基本に立ち返った防衛策が不可欠です。

PhemexでBTC取引

本記事は情報提供のみを目的としており、金融・投資助言ではありません。暗号資産取引にはリスクが伴います。取引判断はご自身で十分ご検討ください。

登録して15000 USDTを受け取る

免責事項

This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our 利用規約 and リスク開示