_**ブラジルを拠点とするセキュリティ研究者が、悪意のあるファームウェアと偽アプリを使用して20のブロックチェーンにわたるウォレットを流用する、偽造されたLedger Nano S+の操作を暴露。**_ブラジルを拠点とするセキュリティ研究者が、これまでに記録された中で最も高度な偽造Ledger Nano S+の操作の一つを暴露した。偽装されたデバイスは中国のマーケットプレイスから入手され、カスタムの悪意のあるファームウェアとクローンされたアプリを搭載していた。攻撃者はすぐにユーザーが入力したすべてのシードフレーズを盗み取った。研究者は価格の不規則性を疑いながらデバイスを購入した。開封すると、その偽造品であることは一目でわかった。破棄せず、完全な分解作業を行った。**チップの中に隠されていたもの**-----------------------------正規のLedger Nano S+はST33セキュアエレメントチップを使用している。このデバイスは代わりにESP32-S3を搭載していた。チップの刻印は物理的に削り取られ、識別できないようになっていた。ファームウェアは「Ledger Nano S+ V2.1」と自己認識していたが、これは存在しないバージョンだった。調査員はメモリダンプを行った後、シードとPINが平文で保存されているのを発見した。ファームウェアはコマンド&コントロールサーバーkkkhhhnnn[.]comにビーコンを送信していた。このハードウェアに入力されたシードフレーズは即座に外部に送信された。このデバイスは約20のブロックチェーンをサポートし、ウォレットの流用を可能にしている。これは決して小規模な操作ではない。**五つの攻撃ベクトル、ひとつではない**-----------------------------販売者は改変された「Ledger Live」アプリをデバイスとともにバンドルしていた。開発者はReact Nativeを用いてHermes v96でアプリを構築し、Android Debug証明書で署名していた。攻撃者は正規の署名を取得する手間を省いた。アプリはXStateにフックし、APDUコマンドを傍受している。ステルス性の高いXHRリクエストを使ってデータを静かに抽出していた。調査員はさらに二つのコマンド&コントロールサーバーを特定した:s6s7smdxyzbsd7d7nsrx[.]icuと ysknfr[.]cn。これはAndroidだけに限らない。Windows用の.EXEやmacOS用の.DMGも配布されており、MoonlockがAM0S/JandiInstallerとして追跡しているキャンペーンに似ている。iOSのTestFlightバージョンも流通しており、App Storeの審査を完全に回避している—これは以前CryptoRom詐欺と関連付けられた手法だ。合計五つのベクトル:ハードウェア、Android、Windows、macOS、iOS。**正規品チェックだけでは救えない**-----------------------------Ledgerの公式ガイダンスは、正規品のデバイスには製造時に設定された秘密の暗号鍵が含まれていることを確認している。Ledger Walletの正規品チェックは、デバイスが接続されるたびにこの鍵を検証する。Ledgerのサポートドキュメントによると、正規品だけがこのチェックに合格できる。問題は明白だ。製造過程での侵害により、ソフトウェアの検証は無意味になる。悪意のあるファームウェアは、基本的な検査を通過するのに十分な挙動を模倣している。研究者はこれを分解作業中に直接確認した。過去にLedgerユーザーを標的としたサプライチェーン攻撃は、パッケージングレベルの検証だけでは不十分であることを何度も示している。BitcoinTalkに記録された事例では、個々のユーザーがサードパーティのマーケットプレイスから購入した偽ハードウェアウォレットにより20万ドル以上を失ったケースもある。**これらのデバイスはどこで販売されているのか**-----------------------------サードパーティのマーケットプレイスが主な流通経路だ。Amazonのサードパーティセラー、eBay、Mercado Livre、JD、AliExpressには、侵害されたハードウェアウォレットを出品した履歴が記録されていると研究者はRedditのr/ledgerwallet投稿で指摘している。価格設定は意図的に怪しい。これが誘いだ。非公式の出所からのLedgerは割引価格で提供されることはなく、むしろ攻撃者の利益のために改ざんされた商品を販売している。Ledgerの公式チャネルは、Ledger.comの自社ECサイトと、18か国にわたる認証済みのAmazonストアのみだ。それ以外の場所では、真正性の保証は一切ない。**研究者の次の行動**-----------------------------チームはLedgerのDonjonチームとフィッシングバウンティプログラム向けに、包括的な技術レポートを準備した。Ledgerが内部分析を完了次第、完全な解説を公開する予定だ。研究者は他のセキュリティ専門家とIOC(Indicator of Compromise)を直接メッセージで共有している。疑わしい出所からデバイスを購入した人は、識別支援のために連絡を取ることができる。最も重要な警告はシンプルだ。デバイスに付属していた事前生成されたシードフレーズは詐欺だ。ユーザーにシードフレーズをアプリに入力させるドキュメントも詐欺だ。いずれの場合も、直ちにデバイスを破壊すべきだ。
偽造されたLedger Nano S+が20のチェーンにわたってウォレットを流出させる
ブラジルを拠点とするセキュリティ研究者が、悪意のあるファームウェアと偽アプリを使用して20のブロックチェーンにわたるウォレットを流用する、偽造されたLedger Nano S+の操作を暴露。
ブラジルを拠点とするセキュリティ研究者が、これまでに記録された中で最も高度な偽造Ledger Nano S+の操作の一つを暴露した。偽装されたデバイスは中国のマーケットプレイスから入手され、カスタムの悪意のあるファームウェアとクローンされたアプリを搭載していた。攻撃者はすぐにユーザーが入力したすべてのシードフレーズを盗み取った。
研究者は価格の不規則性を疑いながらデバイスを購入した。開封すると、その偽造品であることは一目でわかった。破棄せず、完全な分解作業を行った。
チップの中に隠されていたもの
正規のLedger Nano S+はST33セキュアエレメントチップを使用している。このデバイスは代わりにESP32-S3を搭載していた。チップの刻印は物理的に削り取られ、識別できないようになっていた。ファームウェアは「Ledger Nano S+ V2.1」と自己認識していたが、これは存在しないバージョンだった。
調査員はメモリダンプを行った後、シードとPINが平文で保存されているのを発見した。ファームウェアはコマンド&コントロールサーバーkkkhhhnnn[.]comにビーコンを送信していた。このハードウェアに入力されたシードフレーズは即座に外部に送信された。
このデバイスは約20のブロックチェーンをサポートし、ウォレットの流用を可能にしている。これは決して小規模な操作ではない。
五つの攻撃ベクトル、ひとつではない
販売者は改変された「Ledger Live」アプリをデバイスとともにバンドルしていた。開発者はReact Nativeを用いてHermes v96でアプリを構築し、Android Debug証明書で署名していた。攻撃者は正規の署名を取得する手間を省いた。
アプリはXStateにフックし、APDUコマンドを傍受している。ステルス性の高いXHRリクエストを使ってデータを静かに抽出していた。調査員はさらに二つのコマンド&コントロールサーバーを特定した:s6s7smdxyzbsd7d7nsrx[.]icuと ysknfr[.]cn。
これはAndroidだけに限らない。Windows用の.EXEやmacOS用の.DMGも配布されており、MoonlockがAM0S/JandiInstallerとして追跡しているキャンペーンに似ている。iOSのTestFlightバージョンも流通しており、App Storeの審査を完全に回避している—これは以前CryptoRom詐欺と関連付けられた手法だ。合計五つのベクトル:ハードウェア、Android、Windows、macOS、iOS。
正規品チェックだけでは救えない
Ledgerの公式ガイダンスは、正規品のデバイスには製造時に設定された秘密の暗号鍵が含まれていることを確認している。Ledger Walletの正規品チェックは、デバイスが接続されるたびにこの鍵を検証する。Ledgerのサポートドキュメントによると、正規品だけがこのチェックに合格できる。
問題は明白だ。製造過程での侵害により、ソフトウェアの検証は無意味になる。悪意のあるファームウェアは、基本的な検査を通過するのに十分な挙動を模倣している。研究者はこれを分解作業中に直接確認した。
過去にLedgerユーザーを標的としたサプライチェーン攻撃は、パッケージングレベルの検証だけでは不十分であることを何度も示している。BitcoinTalkに記録された事例では、個々のユーザーがサードパーティのマーケットプレイスから購入した偽ハードウェアウォレットにより20万ドル以上を失ったケースもある。
これらのデバイスはどこで販売されているのか
サードパーティのマーケットプレイスが主な流通経路だ。Amazonのサードパーティセラー、eBay、Mercado Livre、JD、AliExpressには、侵害されたハードウェアウォレットを出品した履歴が記録されていると研究者はRedditのr/ledgerwallet投稿で指摘している。
価格設定は意図的に怪しい。これが誘いだ。非公式の出所からのLedgerは割引価格で提供されることはなく、むしろ攻撃者の利益のために改ざんされた商品を販売している。
Ledgerの公式チャネルは、Ledger.comの自社ECサイトと、18か国にわたる認証済みのAmazonストアのみだ。それ以外の場所では、真正性の保証は一切ない。
研究者の次の行動
チームはLedgerのDonjonチームとフィッシングバウンティプログラム向けに、包括的な技術レポートを準備した。Ledgerが内部分析を完了次第、完全な解説を公開する予定だ。
研究者は他のセキュリティ専門家とIOC(Indicator of Compromise)を直接メッセージで共有している。疑わしい出所からデバイスを購入した人は、識別支援のために連絡を取ることができる。
最も重要な警告はシンプルだ。デバイスに付属していた事前生成されたシードフレーズは詐欺だ。ユーザーにシードフレーズをアプリに入力させるドキュメントも詐欺だ。いずれの場合も、直ちにデバイスを破壊すべきだ。