Apple App Storeという「信頼の砦」が突破された。macOS向けの偽Ledger Liveアプリが審査を通過し、わずか数日間で50人から合計約950万ドル(約14億円)もの暗号資産が奪われた。被害額の大きさもさることながら、この事件が突きつけた問いは深刻だ——「公式ストアに掲載されているから安全」という前提は、もはや成立しないのではないか。

何が起きたか——巧妙な「空白地帯」の悪用

攻撃者が狙ったのは、Ledgerの公式アプリ配布体制の「隙間」だった。Ledgerは公式macOSアプリを自社サイトのみで配布しており、App StoreにはiOSアプリのみを掲載している。つまりApp StoreでmacOS向けLedger Liveを検索しても、公式版は見当たらない。

この「公式が空けた空白地帯」に攻撃者は偽アプリを滑り込ませた。開発者名は「Leva Heal Limited」という実在しない企業名を使用。さらに信頼性を演出するため、わずか2週間でバージョンを1.0から5.0まで更新するという手口で「活発に開発されているアプリ」を装った。

被害の実態——シードフレーズを入力した瞬間、全資産が消える

アプリを起動すると、ユーザーはシード(リカバリーフレーズ)の入力を求められる。これはハードウェアウォレットの「マスターキー」に相当する24単語のフレーズだ。これを入力した瞬間、攻撃者はBitcoin、Ethereum、Solana、Tron、Rippleなど複数チェーンにまたがる全資産へのフルアクセス権を手に入れる。

ブロックチェーン調査機関ZachXBTによると、4月8日から11日の間だけで3人が7桁ドル(数億円規模)の損失を被った。ミュージシャンのG. Loveも5.9 BTC(当時約6300万円)を失ったと公表している。

盗まれた資金はKuCoin経由で「AudiA6」と呼ばれるミキシングサービスに流れ、150以上のアドレスに分散されて資金洗浄が行われた。

なぜAppleの審査を通過したのか

詳細は明らかにされていないが、偽アプリが審査を通過した背景には審査の構造的限界がある。Appleのレビューは主にマルウェアや規約違反のチェックが中心だ。起動直後には悪意ある動作をせず、ユーザーが入力した情報をサーバーに送信するだけの設計であれば、自動・手動の両審査で検出されにくい。

また、開発者アカウントの身元確認も完全ではない。今回の「Leva Heal Limited」のような架空企業名での登録が通り抜けてしまったことは、プラットフォーム側の本人確認体制に課題があることを示している。

日本のIT管理者・エンジニアにとっての実務的インパクト

暗号資産を扱う組織はもちろんだが、この事件から学べることはより広い範囲に及ぶ。

1. アプリ調達ポリシーの見直し 「公式ストアからインストール=承認済み」というルールは今すぐ再検討を。正規開発者がストアで配布しているかどうかを開発者の公式サイトで必ずクロスチェックする運用に変えるべきだ。

2. シークレット・認証情報の取り扱い教育 シードフレーズ、API キー、パスワードなど「入力を求めてくるアプリ」への警戒を組織全体で徹底する。正規のハードウェアウォレット管理ツールがソフトウェア経由でシードを要求することは、原則としてない。

3. エンタープライズでのアプリ配布管理 MDM(Mobile Device Management)やIntune等のエンドポイント管理ツールで承認済みアプリリストを管理し、従業員が野良アプリをインストールできないポリシーを実装する。「禁止ではなく安全に使える仕組みを作る」——これが運用として正しい方向性だ。

4. NHI(Non-Human Identity)管理の観点でも同様の問題が起きる サービスプリンシパルやAPIキーが「公式っぽいサービス」に渡されるケースも増えている。ヒューマンIDと同様に、NHIの認証先を定期的に棚卸しし、不審なアプリ連携がないか確認する運用が重要だ。

筆者の見解

「App Store=安全」という信頼モデルは、ゼロトラストの観点からすれば最初から疑問符が付いていた。ネットワークの内側にいるからといって安全とは限らない——これがゼロトラストの基本原則だが、アプリのエコシステムにも同じことが言える。「公式ストアに掲載されている」は信頼の一要素にはなるが、それだけで十分な根拠にはならない。

今回の事件でもっとも問題だと感じるのは、Ledger自身がApp Storeの空白地帯を長期間放置していた点だ。公式macOSアプリをストアで配布しないという判断は理解できる(独自配布による柔軟性確保など)。しかしその「空白」が攻撃者に利用されるリスクを放置し続けたのは、ユーザー保護の観点で惜しい判断だったと言わざるを得ない。プレースホルダーアプリを置くだけでも違った。

Appleについても、プラットフォームの信頼性を商業的強みとしてきた以上、開発者本人確認と審査の精度をさらに高める責任がある。審査体制の限界を認めつつも、構造的な改善を続けることが「App Storeブランド」を守ることにつながる。

暗号資産を扱っていない読者にも、この事件はひとつの問いを投げかけている——あなたの組織が「信頼している」インフラやサービスは、本当に誰によって検証されているか。「今動いているから大丈夫」という感覚が最大のリスクだ。

出典: この記事は Fake Ledger Live app on Apple’s App Store stole $9.5M in crypto の内容をもとに、筆者の見解を加えて独自に執筆したものです。