Trezorは、フィッシング攻撃がコンタクトフォームを悪用した後、ユーザーに警告しています。

2025年6月23日、Trezorは最近のフィッシング攻撃に関する公的なセキュリティアラートを発表しました。攻撃者はTrezorのウェブサイトのコンタクトフォームを利用して偽のメールを送信しました。これらのフィッシングメールはTrezorのサポートチームからの正当な返信を装っていました。目的はユーザーを騙して敏感なウォレット情報を共有させることでした。Trezorはユーザーに対してウォレットバックアップを求めることは決してないと強調しました。ユーザーはリスクを避けるためにバックアップをオフラインかつプライベートに保つことを強くアドバイスされました。問題は迅速に抑え込まれましたが、同社は継続的な暗号フィッシング攻撃に対する警戒を促しました。

攻撃者はインフラを侵害することなく自動返信システムを悪用した

Trezorは、公式のソーシャルメディアチャンネルで暗号フィッシング攻撃の詳細を提供しました。攻撃者は、実際のユーザーのメールアドレスを使用して偽のサポートリクエストを送信しました。これにより、Trezorサポートの自動返信システムが騙され、正規のサポートメールのように見せかけた応答が送信されました。それにもかかわらず、Trezorは、電子メールシステムがいかなる方法でも侵害されていないことを確認しました。お問い合わせフォームのインフラストラクチャは、この種の悪用に対して脆弱ですが、安全なままでした。私たちは、将来の虐待を防ぐ方法を積極的に研究しているとトレゾーは述べています。ユーザーは、リカバリーシードをWebサイトやフォームに入力しないように注意喚起されました。

ユーザーは決してウォレットバックアップを共有せず、公式のTrezorサポートチャネルを利用してください

X (formerly Twitter)では、Emzyというユーザーが「私もそのメールを受け取った」と述べ、攻撃の範囲を強調しました。Trezorは、ユーザーに「ウォレットのバックアップ(seed)を誰とも共有しないでください」と公に返信しました。同社は、ユーザーはシードフレーズを物理的なTrezorデバイスにのみ入力する必要があると述べています。リカバリーシードの要求は詐欺であり、詐欺を示しています。また、Trezorは、チャットボットのHalなどの検証済みチャネルを通じて公式サポートに連絡するようユーザーに促しました。

声のフィッシングやなりすまし、偽のソーシャルプロファイルに対する警告

Trezorは、メールフィッシング以外にも、音声フィッシングや「ビッシング」など、他の暗号詐欺の手口について警告しています。詐欺師は、Trezorや他のウォレットプロバイダーを装ったユーザーに電話をかけることがあります。これらの通話中、攻撃者はウォレットのバックアップやログイン資格情報を要求することがよくあります。Trezorは、このような疑わしい電話を受けた場合はすぐに電話を切るようにユーザーにアドバイスしました。「誰かが暗号会社から来たと主張してあなたに電話をかけてきたら、それは詐欺だと思ってください」と同社は明確に述べています。このような状況でウォレットのバックアップを開示すると、詐欺師はユーザーの資金に完全にアクセスできるようになります。

攻撃者の暗号詐欺手法には、偽のソーシャルメディアプロフィール、緊急警告、悪意のあるウェブサイトへのリンクも含まれています。見た目がプロフェッショナルでよく書かれたメールでさえ、欺瞞的である可能性があります。Trezorは、ウォレットの復元にはデバイスの画面上での物理的確認が必要であることをユーザーに思い出させました。ユーザーは、Trezorデバイス自体に表示される指示にのみ従うべきです。「12語、20語、または24語のウォレットバックアップを決して共有しないでください」と警告は強調しました。これらの単語を公開することは、ユーザーにとって取り返しのつかない損失を引き起こす可能性があります。

メールを慎重に確認し、常にウォレットバックアップを保護してください

ユーザーは予期しないメールに懐疑的であり、送信者アドレスを注意深く確認する必要があります。疑わしいリンクや不明なリンクをクリックしないようにする必要があります。文法の誤りを監視することは役立ちますが、攻撃者はAIを使用して自然言語を完璧に模倣する可能性があります。Trezorは、公式サポートがユーザーに個人情報を要求することは決してないと強調しました。同社は、ユーザーは自分の暗号資産を保護する責任があり、警戒を怠らない必要があると結論付けました。