Ledger Nano S Plusの精巧な偽造品が中国系マーケットで公式価格で流通している実態が、ブラジルのサイバーセキュリティ研究者による分解調査で明らかになった。
内部にはセキュアエレメントの代わりにEspressif Systems製のESP32-S3マイクロコントローラーが搭載され、Wi-FiとBluetoothを通じて24単語のシードフレーズを外部へ送信する構造だった。同梱のQRコードは偽のLedger Liveアプリへ誘導する手口で、Reddit のr/ledgerwalletに「Past_Computer2901」名義で投稿された報告がきっかけとなった。同時期にはApple App Storeに審査をすり抜けて掲載された偽Ledger Liveアプリが、2026年4月7日から13日にかけて50人超から約950万ドル相当の暗号資産を奪う事案も発生。オンチェーン調査者ZachXBT氏によれば、盗難資金はKuCoin関連とされる150超の入金アドレスを経由してミキシングサービス「AudiA6」へ流れたとされる。Ledgerは過去にも第三者経由の顧客データ漏洩を複数回経験しており、ハードウェアウォレットを取り巻く信頼の構造そのものが問われている。
From: 
Cybersecurity Expert Flags Malicious Ledger Clone Targeting Crypto Holders
【編集部解説】
暗号資産の世界において、「ハードウェアウォレット」はセルフカストディ(自己保管)の最終防衛線とみなされてきた存在です。秘密鍵をネット接続された機器から物理的に切り離す、いわゆる「エアギャップ」の思想に基づく製品カテゴリーといえます。今回ブラジル発で浮上した調査は、その防衛線が「製品そのものが最初からニセモノに置き換えられる」という形で突破されうる現実を、改めて浮き彫りにしました。
注目すべきはデバイス内部の構成です。本来の Ledger Nano S Plus では、鍵管理専用に設計された「セキュアエレメント」と呼ばれる耐タンパー性チップが採用されています。しかし押収された偽造品から検出されたのは、上海上場の Espressif Systems が製造する ESP32-S3 という汎用マイコンで、スマート家電や IoT 機器向けに普及している Wi-Fi/Bluetooth 内蔵チップでした(Cybersecurity News)。例えるならば「金庫の芯」が「通信モジュール」にすり替わっていたかたちです。
この差は決定的な意味を持ちます。正規品はそもそも無線通信機能を持たず、秘密鍵が外部へ漏れる経路を原理的に塞いでいます。一方、偽造品には Wi-Fi と Bluetooth のアンテナが埋め込まれており、入力された PIN や 24 単語のリカバリーフレーズを遠隔の攻撃者サーバーへ送信できる構造です。複数メディアの続報では、実際にシードフレーズが平文のまま C2(指令)サーバーへ送出されていた挙動も確認されたとされています。
攻撃の入口となるのは同梱の QR コードです。本物であれば Ledger 公式ソフトへ誘導されるはずですが、この偽造品では悪意ある「Ledger Live」模倣アプリに飛ばされ、Genuine Check を通過したかのように偽装表示し、「ウォレットの初期化・復元のために 24 単語が必要」と利用者に入力を促します。入力してしまった瞬間、攻撃者は被害者のウォレットを自分の環境に複製でき、任意のタイミングで資金を引き出せる仕組みです。
この事案の重さは、同時期に表面化した別の攻撃と並べて見ることで一段と鮮明になります。2026年4月7日から13日にかけて、Apple の App Store に審査をすり抜けて登場した偽 Ledger Live アプリが、50人超から約950万ドル相当の暗号資産を奪い去りました。オンチェーン調査者 ZachXBT 氏によれば、資産は Bitcoin、Ethereum 互換、Tron、Solana、XRP Ledger など複数チェーンにまたがり、盗まれた資金は KuCoin 関連とされる150を超える入金アドレス経由で混合(ミキシング)サービス「AudiA6」へ流れたと分析されています。
つまり「中国系マーケットプレイス経由の偽ハードウェア」と「公式アプリストア経由の偽ソフトウェア」という、本来まったく別レイヤーの信頼経路が、同じブランドをターゲットに同じ時期に突破されている構図です。「安全だと信じられてきた門番」が複数同時に抜かれている ── ここが今回の本質的なシグナルだと編集部は受け止めています。
背景としても押さえておきたい経緯があります。Ledger は2020年に第三者経由で約27万件超の顧客情報が流出したほか、2023年12月には Connect Kit(JavaScript ライブラリ)を悪用された供給網攻撃で約50万ドル級の被害、2026年1月には決済事業者 Global-e 経由の新たな情報流出も報じられました。いずれも本体のハードウェア自体が破られたわけではなく、常に「周辺」を突かれている構図は一貫しています。
技術哲学の視点で整理すると、セルフカストディを選ぶということは「誰を信頼するかを自分で決め続ける責務」を引き受けることと同義です。その信頼を補ってきた外部の装置が、公式販売網や Apple/Google のアプリストアといった巨大ゲートキーパーでした。今回の事例は、そのゲートキーパーもまた100%ではないと示しており、利用者に「すべての層を自分の目で検証する」姿勢を迫る転換点となりそうです。
規制や業界対応の観点でも、水面下での動きが始まっています。App Store における審査責任を問うクラスアクション提起の可能性、ミキシングサービスを経由する資金洗浄への MiCA をはじめとする規制当局の対応強化、そしてハードウェアウォレット業界自身に求められる「購入段階からの真正性証明」 ── いずれも、これまでの「製品が安全ならそれでよい」という枠組みでは立ち行かない局面に入っています。
innovaTopia としてこの事案から抽出したい論点は一つです。暗号資産に限らず、スマート家電、ウェアラブル、そして AI PC のように物理デバイスが生活と資産の基盤を担うほど、その「出所」と「中身の真正性」をいかに確認するかが、すべての利用者にとっての共通課題になっていきます。ハードウェアに対する信頼は、もはや有名ブランドの名前だけで担保される時代ではない、という冷静な事実認識が出発点になります。
【用語解説】
ハードウェアウォレット
暗号資産の「秘密鍵」を専用の物理デバイス内に封じ込めて保管する機器のこと。秘密鍵をインターネット接続環境に一切露出させない設計により、ソフトウェア型ウォレットよりも盗難リスクが低いとされる。
セルフカストディ(自己保管)
取引所などの第三者に預けず、自分自身で秘密鍵を管理する保管形態を指す。「Not your keys, not your coins(鍵を持たない者はコインも持っていない)」というスローガンがこの思想を象徴する。
エアギャップ
機密情報を扱う機器を、インターネットや外部ネットワークから物理的に隔離する設計思想を指す。遠隔攻撃の経路そのものを断つことが目的。
セキュアエレメント
暗証コードや暗号鍵の保管に特化した耐タンパー性(物理的な不正解析への耐性)チップの総称。SIM カードやクレジットカードの IC にも使用される。正規の Ledger 製品はこれを内蔵する一方、今回の偽造品は汎用マイコンで置き換えられていた点が問題視されている。
ESP32-S3
Espressif Systems が製造する低価格の Wi-Fi/Bluetooth 内蔵マイクロコントローラー。スマート家電、センサー、スマートロックなど IoT 機器で広く使われる汎用部品であり、暗号資産の秘密鍵保管用途には本来想定されていない。
Genuine Check(ジェニュイン チェック)
Ledger 公式ソフト Ledger Live が、接続されたデバイスが正規製品かどうかを暗号学的に検証する機能。製造時に埋め込まれた鍵との応答を通じて真贋を確認する。
リカバリーフレーズ(シードフレーズ、24単語)
ウォレットの秘密鍵を復元するための単語列(BIP-39 規格では12〜24語)。これを知っていれば誰でも同じウォレットを別のデバイス上で再生成できるため、事実上の「資産そのもの」と同義である。他人やアプリに一度でも入力した時点で全資産が奪われる可能性がある。
C2 サーバー(Command and Control サーバー)
マルウェアに感染した機器に対し、攻撃者が指令を送信したり、盗み出したデータを回収したりするために運用するサーバーのこと。今回の偽造品はこのサーバーへ通信する挙動が観測されたと報告されている。
サプライチェーン攻撃
最終製品そのものではなく、その製造・流通・配布過程のどこかに不正を仕込む攻撃手法を指す。正規販売網に見える場所で偽造品を流通させる今回の事案は、その典型例にあたる。
ミキシングサービス(ミキサー、コインミキサー)
複数ユーザーの暗号資産を混ぜ合わせることで送金元と送金先の関連性を曖昧にするサービス。資金洗浄に悪用される事例が多く、各国の規制当局が監視を強めている。
MiCA(Markets in Crypto-Assets Regulation)
欧州連合(EU)が策定した暗号資産包括規制。2024年から段階的に施行されており、EU 域内での暗号資産サービス事業者にライセンス取得と厳格な運営基準を課している。
【参考リンク】
Ledger 公式サイト(外部)
フランス本社の暗号資産ハードウェアウォレット製造元。正規品購入や正規ソフトの入手はこのドメインから行うことが推奨される。
Ledger Live 公式ダウンロードページ(外部)
ハードウェアウォレットの初期化や資産管理を行う公式ソフトウェアの配布ページ。アプリストア経由ではなくこの URL からの入手が案内されている。
Espressif Systems 公式サイト(外部)
上海に本拠を置く半導体メーカー。ESP32 シリーズをはじめとする Wi-Fi/Bluetooth マイコンを開発・販売し、今回の偽造品にも使用された。
Reddit r/ledgerwallet サブレディット(外部)
Ledger 社公式のコミュニティではないが、ユーザーの情報交換の場として知られる。今回の調査報告が最初に投稿された場所である。
KuCoin 公式サイト(外部)
セーシェル籍の暗号資産取引所。盗難資金が150超の入金アドレスを経由して流れたとされ、ZachXBT 氏の調査対象となった。
ZachXBT 公式 X アカウント(外部)
オンチェーン調査で知られる独立系リサーチャー。今回の偽 Ledger Live アプリ事案における資金追跡を主導した人物である。
Apple App Store 公式(外部)
Apple が運営するアプリ配信プラットフォーム。本件では偽 Ledger Live アプリが審査を通過し、一時期掲載されていた。
【参考記事】
Fake Ledger Live app on Apple App Store drained $9.5M from victims: ZachXBT(外部)
偽 Ledger Live アプリが50人超から約950万ドルを奪った事案の第一報。被害内訳と資金フローを ZachXBT 氏が分析している。
Fake Ledger Device Sold Chinese Marketplace: Research(外部)
Past_Computer2901 氏の Reddit 投稿を取り上げた詳報。Nano S Plus 7704 の裏に Espressif Systems の署名が現れた経緯を整理。
Fake Ledger Hardware Wallets on Chinese Marketplaces Steal Crypto Seeds and PINs(外部)
偽造品のチップが ESP32-S3 であった点、約20のブロックチェーンが標的とされた点など技術詳細を補完する記事である。
Fake Ledger app on Apple App Store linked to $9.5M crypto theft: ZachXBT(外部)
Ledger CTO Charles Guillemet 氏の公式声明と KuCoin 経由の資金洗浄ルートについて The Block が報道している。
A fake Ledger app on the Apple App Store just drained $9.5 million in crypto(外部)
2025年に暗号資産界で約170億ドルが失われた業界背景のもと、今回の App Store 経由事案を位置づけている。
Bogus crypto wallet on App Store steals $9.5M(外部)
偽アプリが「Leva Heal」名義で登録されていた事実、macOS 版でも被害が出た事実、被害額上位3名の内訳を詳述。
Ledger Hardware Wallet Users Hit by Third-Party Data Breach(外部)
2020年の27万2000件超流出から2026年1月 Global-e 経由流出まで、Ledger の過去インシデント史を時系列で整理した関連記事。
【編集部後記】
「正規価格で、正規に見えるパッケージで届いた製品」が、中身ごとすり替わっているかもしれない ── 今回の事案は、私たちが何気なく信じている「買い物の安全」そのものを問い直す出来事だと感じています。暗号資産をお持ちでない方にとっても、これは他人事ではないかもしれません。あなたがいま手にしているスマート家電やガジェット、その出所をどこまで遡って確かめたことがありますか。便利さと引き換えに私たちが差し出している「信頼」の輪郭を、ぜひ一緒に考えていけたら嬉しいです。
