なぜハードウェアウォレットをメーカーと正規代理店以外から買ってはならないか?
4日前にRedditに投稿された、以下のイギリスのユーザーの事件を見れば一目瞭然です。
どうでもいいですが、詳細を知るために最初の200件のコメントほぼ全部頑張って読みました。長かった!(笑)
All my cryptocurrency stolen : ledgerwallet
まずこのユーザーが、「LedgerでXRPとLitecoinとDashを管理していたんだけど、気付いたら残高が全てゼロになってた。助けて!」という投稿をしたところから始まります。
消えた金額はこの時点の価格で合計25000ポンド(約380万円)相当!
すぐにLedger社のサポートまで出てきて原因の追及が始まりましたが、すぐに原因が分かりました。
この被害者は、イギリスのイーベイ(オークションサイト)からLedgerを購入したらしいのですが、そのLedgerは詐欺師が購入者の通貨を盗むために仕掛けた罠が入ったものだったのです。
罠の手口
箱にはいかにも正規品の説明書きっぽい感じのカードが何枚か入っています。
↑「デフォルトのPIN(暗証番号)”5555″を入力してデバイスをアンロックしてください。PINは後で設定から変更してください」
正規品の場合:デフォルトのPINなど設定されておらず、最初に任意のPINを入力して自分で設定するよう要求されます。もちろん、上の写真のような説明書きは入っていません。
↑24個のリカバリーシードはここに記載されているから銀色の部分を削って確認してね。
↑削ったところ
正規品の場合:Ledgerの最初の設定時にLedgerがリカバリーシードを表示し、それを紙に自分で書いて安全な場所に保管しておく。もちろん、上の写真のようなスクラッチシートは入っていません(笑)
↓正規品に入っている紙はこれ。24個の空欄に自分で記入していく。
リカバリーシードはバックアップフレーズとも呼ばれ、使っているLedgerが壊れたり紛失したときに新しいLedgerに設定すると、その新しいデバイスからウォレットにアクセスすることができるというものです。
だから、リカバリーシードは超重要。
誰にも教えてはいけません。
ということで、この犯人の手口は、製品の封を開け、リカバリーシードを得て、PINを5555に設定し、上の説明書きなどを封入して売ったという事です。
そして、被害者のアカウントを別のLedgerを使ってチェックしていて、ある程度の通貨が貯まったところで全部引き出したということになります。
この詐欺師からLedgerを購入した人が10人いたことも分かっています↓
Redditでコメントしているひとりの人は、購入したLedgerが同じ手口だったらしいですが、きちんと初期化してリカバリーシードも設定し直したようです。
残りの人たちもそうしているといいのですが・・・
でも私だったら気持ちが悪いので、そのLedgerは捨てて新しいのを買い直します。
教訓
まず、設定の仕方が正規の方法と全く違うのに、この被害者はそれに気付かずに、入っている説明書に言われるがまま設定して使ってしまいました。
使い方について、Ledgerや、他のサイトなどをちょっとでも見ていたら気付いたかもしれません。
まあ、でも、入っていた説明書を信じてしまうのは仕方がありませんね。
彼の一番の問題は、訳のわからないお店(あるいは個人)から買ってしまったということです。
ハードウェアウォレットは例えて言うなら、銀行のカードです。
もし、知らない誰かがあなたに銀行のカードをくれて、「暗証番号は5555です。口座の残高はゼロですが、自由に入金して使ってください」と言われて、そのカードの口座にお金を入れて使いますか?
そんな手口に引っかかるの人は誰だって間抜けだと思うはずです。
でも、今回の事件はそれとほぼ同じことなのです。
こういう、誰でも使い方を知っている既存のシステムでは起こり得ないことが、新しい技術の世界ではその仕組みを良く分かっていない人が使うと起こってしまうのです。
だから詐欺師たちも、こうやって引っかけやすいところに参入してくるわけです。
イーベイにはヤフオクなどと同じように出品者の評価システムがあり、被害者は、「売り主の評価は高かった」と言っています。
しかし、上のRedditのコメント欄によると、「イーベイのアカウントは頻繁に売買されていて評価自体も引き継がれているため、高い評価の売り手でも信用してはならない」ということです。
何十万円、何百万円の口座の鍵となるデバイスを、「手っ取り早く手に入れたいから」とか、「安いから」と言う理由で、個人や身元のはっきりしない業者から買ってはいけません。
ましてや、中古品なんてとんでもない。
絶対にヤフオクとか、メルカリとかで買ってはいけません!!
今回は知っている人が見ればすぐに分かる手口でしたが、もしかしたらLedgerの中のソフトウェア自体に何か仕掛けられているかもしれませんし、そうしたら目で見ても恐らく分かりません。
安いと言っても、正規のお店と比べて数千円の差だと思います。
「何十万、何百万円失ってもいいから、その数千円をケチりたい/早く手に入れたい」と言う人は恐らくいないと思いますので、安全なお店から買いましょう。
正規代理店のショップリストを作ったので参考にどうぞ↓
【Ledger、TREZOR、KeepKey】安全なハードウェアウォレットを購入できるお店リスト
【Ledger、TREZOR】ハードウェアウォレットを安く買えるお店を探してみた