Trust Walletがサプライチェーン攻撃を受け、ブラウザ拡張の脆弱性により600万ドルを超える損失

2023 年 12 月 25 日、主流暗号資産ウォレットTrust Walletのブラウザ拡張機能バージョン2.68に深刻なセキュリティ脆弱性が存在し、多数のユーザー資金が盗まれる事態が発生しました。オンチェーン探偵 ZachXBTの分析によると、今回の事件で少なくとも600万ドルの損失が生じ、数百人の被害者が出ています。初期調査では、脆弱性は悪意のある拡張機能の更新によるもので、攻撃者は悪意のあるコードを埋め込み、ユーザーがニーモニックをインポートする際に敏感情報を窃取し、素早くウォレットを空にしていることが判明しています。現在、Trust Walletは緊急修正バージョン2.69をリリースし、すべてのユーザーに即時アップグレードを推奨しています。今回の事件は、分散型資産のセルフホスティングの安全性に再び警鐘を鳴らし、暗号エコシステムにおけるソフトウェアサプライチェーンの潜在的リスクを浮き彫りにしています。

事件の全貌：一夜にして数百万ドルの資産が消失

2023年12月24日から25日にかけて、多くのTrust Walletユーザーにとって恐怖に満ちた休日となりました。クリスマス休暇中、ソーシャルメディア上で、最新版Trust Walletのブラウザ拡張にニーモニックをインポートした後、短時間で資産が迅速に移動されたと報告するユーザーが相次ぎました。この異常事態は、ブロックチェーンセキュリティコミュニティ、特に著名なオンチェーン探偵ZachXBTの警戒心を高めました。

複数の報告を追跡・関連付けることで、ZachXBTはこれらの資金盗難事件に高い一貫性があることを発見：すべての事件は、ユーザーがブラウザ拡張バージョン2.68を使ってウォレットをインポートした後に発生しており、盗まれた資産はビットコイン、イーサリアム、BNB、Solanaエコシステムのトークンを含んでいます。資金の移動は非常に速く、遅延なく自動化された攻撃の特徴を示しており、個別のユーザーの誤操作やフィッシング事件ではないことが明らかになっています。被害者が増えるにつれ、最初の200万ドルから次第に推定額は上昇し、最終的に公開された関係アドレスの分析により、総損失額は600万ドルを超え、被害者は数百人にのぼる可能性があります。

コミュニティからの疑念と恐怖が高まる中、Trust Wallet公式は12月25日に声明を発表し、セキュリティインシデントの存在を認めました。公式は、問題はブラウザ拡張のバージョン2.68にのみ存在し、モバイルアプリや他のバージョンには影響していないと述べています。チームは、すべての2.68バージョンを使用しているユーザーに対し、直ちに拡張機能を無効化し、公式Chromeウェブストアから修正済みの2.69にアップグレードするよう促しています。公式は脆弱性を認め、解決策を提供しましたが、脆弱性の具体的な技術的詳細や根本原因については、初期段階では詳細に公開されず、コミュニティの安全性と透明性に関する議論を呼び起こしました。

攻撃手法の深掘り：典型的なサプライチェーン攻撃

セキュリティ研究者が問題のバージョンのコードを逆解析するにつれ、この攻撃の巧妙さが次第に明らかになってきました。これは単なるフィッシングやユーザーデバイスの感染ではなく、巧妙に仕組まれた ソフトウェアサプライチェーン攻撃です。サプライチェーン攻撃とは、ソフトウェアの正常な開発・更新・配布の過程を汚染し、悪意のあるコードを正規のソフトウェアに埋め込み、信頼してダウンロードしたすべてのユーザーを攻撃する手法です。

今回の事件では、攻撃の突破口は12月24日にリリースされたTrust Walletブラウザ拡張のバージョン2.68の更新にあります。研究者は、そのアップデートパッケージに悪意のあるJavaScriptコードが挿入されていることを発見しました。このコードは巧妙に、分析データ収集用のモジュールとして偽装されており、安全性の審査を回避しています。悪意のあるロジックは高度にターゲットを絞っており、特にユーザーの「ニーモニックインポート」操作を監視しています。この操作が行われると、悪意のコードは静かに、ユーザーが入力したニーモニックやその他の敏感なウォレット情報を暗号化し、攻撃者が管理する外部ドメインに送信します。

さらに懸念されるのは、このデータ受信用のドメインが、Trust Walletの公式インフラに似せて巧妙に設計されている点です。whois情報によると、そのドメインは攻撃の直前に登録され、データ収集完了後は迅速にオフラインになっており、攻撃者の明確な行動計画と反追跡意識がうかがえます。したがって、感染した2.68バージョンの拡張にニーモニックをインポートしただけで、まるで金庫の鍵を攻撃者に渡すようなもので、その後の資産移動は完全に攻撃者のコントロール下に置かれます。

脆弱性の重要データと攻撃の流れ

この事件の深刻さをより明確に理解するために、攻撃の流れにおける重要なポイントとデータを整理します。

脆弱性導入時期：2023年12月24日（バージョン2.68リリース）

攻撃のアクティブ期間：2023年12月24日～25日

確認された損失額：600万ドル超（ZachXBTのオンチェーン分析に基づく）

主な影響資産：ビットコイン、イーサリアム、BNB、Solanaエコシステムのトークン

攻撃者の戦略：資金は複数の中間アドレスを経由し、素早く移動・ミキシングを行い追跡を困難に

公式対応時間：コミュニティの警告から公式の確認と修正バージョン（2.69）リリースまで約24時間

ユーザーの緊急対応と安全への反省

すでに2.68バージョンの拡張を使用しているユーザーは、直ちに行動を起こし、損失リスクを低減させる必要があります。まず第一に、ブラウザからTrust Walletの2.68拡張を無効化または完全にアンインストールしてください。次に、公式認証のChromeウェブストアから最新の2.69にアップデートします。Trust Walletは、アップグレード完了までブラウザ拡張を再度開かないことを強調しています。モバイル端末のユーザーについては、今回の事件はアプリには影響しませんが、常に最新バージョンを維持することが安全の基本です。

しかし、既に脆弱性のあるバージョンでニーモニックをインポートしてしまった場合、状況はより深刻です。ニーモニックが漏洩している可能性があるため、そのニーモニックから生成されたすべてのウォレットアドレスは「汚染済み」とみなすべきです。最も安全な対策は、直ちに資産を新たに作成した未使用のニーモニックから生成したウォレットに移すことです。つまり、新しいウォレットを作成し、すべての資産を手動で移動させる必要があります。これは面倒ですが、非常に重要なステップです。資産が盗まれた場合は、Trust Walletの公式サポートに連絡し、取引ハッシュ（TxID）を保存しておくことも推奨されます。

今回のTrust Walletのセキュリティ事件は、単なる秘密鍵漏洩を超え、分散型金融（DeFi）やセルフホスティングウォレットエコシステムにおける見落とされがちな弱点を深く浮き彫りにしました。たとえウォレット自体が非管理型・分散型であっても、そのクライアントソフト（ブラウザ拡張やモバイルアプリ）のアップデートメカニズムは、Google PlayやApple App Store、開発チームの公式サーバーに依存しています。この部分が侵害されると、すべてのユーザーがリスクにさらされることになります。これに対し、プロジェクト側は厳格なコード監査やサプライチェーンの安全監視を徹底し、リリース前のセキュリティ対策を強化すべきです。また、ユーザーも、いきなりのアップデートに注意を払い、アップグレードを控え、コミュニティのフィードバックを観察する慎重な姿勢が求められます。

暗号資産セキュリティの教訓：個人防衛からエコシステム責任まで

Trust Walletの今回の事件は、単一製品のセキュリティ危機にとどまらず、暗号業界全体への試練となっています。「自分の鍵を持っていることが、あなたの暗号資産の所有権を意味する」という格言の重責を再認識させるものです。セルフホスティングは安全の主権をユーザーに委ねますが、そのためのセキュリティ知識と実践は十分に普及していません。ユーザーは、ニーモニックは資産の最終防衛線であり、いかなる環境でも絶対にネット接続された環境や未検証の環境に入力すべきではないことを理解すべきです。

また、業界のインフラ提供者の責任範囲も見直す必要があります。ウォレットはユーザーの入口であり、その安全基準は最も高いレベルであるべきです。具体的には、多重署名によるコード管理、複数のセキュリティ監査会社との長期的な協力、ホワイトハッカーによるバグバウンティプログラムの導入、セキュリティインシデント時の明確な対応・コミュニケーション体制の整備などです。事後の「修正」だけでは不十分で、ソフトウェア開発ライフサイクル全体にセキュリティを組み込む必要があります。

将来的には、ハードウェアウォレットと「スマートコントラクトウォレット」の融合がより安全な解決策となるでしょう。ハードウェアウォレットは秘密鍵を安全なオフラインチップに隔離し、ソフトウェアによるニーモニック窃取のリスクを根本から排除します。また、スマートコントラクトを用いたソーシャルリカバリーページは、秘密鍵喪失や漏洩時の復旧手段を提供します。技術は常に攻防の中で進化し、重大なセキュリティ事件は、より堅牢でユーザーフレンドリーな安全基盤の構築を促進する契機となるべきです。一般ユーザーは、今回の事件を安全教育の一環と捉え、資産管理の安全性を一層高めることが重要です。