Tangemウォレットで秘密鍵漏洩の脆弱性が発生、数千人のユーザー資金リスクが評価待ち

暗号ウォレットプロバイダーのTangemは、モバイルアプリに重大なセキュリティ欠陥が存在することを認めました。ウォレット作成時にユーザーの秘密鍵が誤ってアプリのログに記録され、これらのログがサポートチームのスタッフによってアクセス可能であり、さらには従業員のメールやチケットシステムに流出する可能性があったというものです。

事件のタイムライン

12月29日：Redditユーザーu/areklangaがこの脆弱性を初めて公開し、Tangemが初期報告に対して反応が遅かったことと、秘密鍵が複数箇所に保存された可能性を指摘。

12月30日：Tangem公式が問題をアプリログ処理のバグと認め修正済みと発表。サポートチームに送信されたすべてのログや添付ファイルも永久に削除したと主張。

12月31日：コミュニティはTangemが公式チャンネル（Twitter/Discord/Telegram）で正式な告知を一切出していないことを発見し、信頼危機へ発展。

影響範囲とリスク

影響を受けるのは、シードフレーズ生成直後にサポートリクエストを送信したユーザーという特定のグループ。Tangemは影響ユーザー数を「少数」とするも、具体的な数字は未公表。秘密鍵が流出した先は以下の通り：

• ユーザーのメール履歴
• Tangem従業員のメール
• Tangemのチケット追跡システム

コミュニティの反発

暗号コミュニティはTangemの対応を低く評価：

• 対応の遅れ：初公開から24時間以上経ってから問題を認めた
• 透明性の欠如：公式SNSは長期にわたり沈黙、開発者の投稿のみで対応
• 数字の不明確さ：影響を受けたユーザー数や資産規模を未公表
• 初期の抑圧：Reddit投稿が理由なく削除された事例あり

現在の推奨事項

Tangemはさらなる流出を防ぐアップデートを配信済み。すべてのユーザーは直ちにアプリを更新する必要があり、影響を受けたユーザーには個別に連絡済み。ただし、コミュニティはTangemに対し、全面的なセキュリティ監査と透明性向上を求めている。

重要な問題：秘密鍵がアプリログ内に留まっていた期間はいまだ不明であり、二次流出リスクを完全には排除できていない。