郵便物でTrezorとLedgerユーザーの暗号資産狙う物理的フィッシング攻撃

yab

2026.02.16

TrezorとLedgerのユーザーの暗号資産狙う郵便物

BleepingComputer – February 14, 2026

脅威アクターが暗号資産のハードウェアウォレットメーカー「Trezor」と「Ledger」を騙る郵便物をユーザーに送り付け、同封されたQRコードを用いてフィッシングサイトへ誘導し、リカバリーフレーズ（シードフレーズ）を窃取しようとしていることが明らかになった。

郵便物はメーカーのセキュリティ／コンプライアンスチームを装い、ウォレット機能へのアクセスを維持するために、ユーザーが「認証チェック」や「トランザクションチェック」を行う必要があると主張。添付されたQRコードは悪意のあるフィッシングサイトへつながっており、ユーザーは最終的に12〜24語で構成されるリカバリーフレーズを入力するよう求められる。入力された内容は「https://trezor.authentication-check[.]io/black/api/send.php」のAPIエンドポイントを介して攻撃者に送信されるため、攻撃者は被害者のウォレットを自分のデバイスにインポートし、ウォレットから資金を盗むことが可能になるとのこと。

確認されたフィッシングサイトは以下の2つ。

https://trezor.authentication-check[.]io/
https://ledger.setuptransactioncheck[.]com/

BleepingComputerの記事が執筆された時点では、Trezorを騙るフィッシングサイトはオンライン状態を維持しつつも、Cloudflareによってフィッシングサイトとしてフラグが付けられているとのこと。Ledgerのフィッシングドメインはオフラインになっていた。

送付先の選定方法は明らかになっていないが、TrezorとLedgerの両社は過去のデータ侵害を通じ、顧客情報が漏洩している。両社のユーザーを狙った電子メールはたびたび観測されているものの、実際の郵便物を使ったフィッシングキャンペーンは稀。TrezorやLedgerなどのハードウェアウォレットメーカーがユーザーに復元フレーズを入力するよう要求することはなく、ウォレットを復元する際にはリカバリーフレーズをハードウェアウォレットデバイスに直接入力することになっている。

Chrome 145、11件の脆弱性を修正（CVE-2026-2313、CVE-2026-2314他）

SecurityWeek – February 13, 2026

Googleは、高深刻度の脆弱性3件を含む11件の問題を修正したChrome 145安定版を公開した。修正された問題は以下の通りで、（）内は深刻度を示す。

CVE-2026-2313：CSSにおける解放後使用の問題（高）
CVE-2026-2314：コーデックにおけるヒープバッファオーバーフロー（高）
CVE-2026-2315：WebGPUの不適切な実装（高）
CVE-2026-2316：フレームにおける不十分なポリシー適用（中）
CVE-2026-2317：アニメーションの不適切な実装（中）
CVE-2026-2318：PictureInPictureの不適切な実装（中）
CVE-2026-2319：DevToolsの競合状態の問題（中）
CVE-2026-2320：ファイル入力における不適切な実装（中）
CVE-2026-2321：Ozoneの解放後使用の問題（中）
CVE-2026-2322：ファイル入力における不適切な実装（低）
CVE-2026-2323：ダウンロードにおける不適切な実装（低）

脆弱性を発見した研究者にはそれぞれ数千ドルの報奨金が支払われ、合計額は1万8,000ドル超となった。

最新のChromeバージョンは、Linuxではバージョン145.0.7632.45、Windows／macOSではバージョン145.0.7632.45/46としてリリースされている。修正された脆弱性が実際に悪用されているかは公表されていない。Chromeの自動アップデートはデフォルトで有効になっているものの、自動更新を停止しているユーザーには、迅速なアップデートが推奨される。