偽Ledgerアプリで5.9BTCを失ったG.Love：Apple App Storeの盲点

偽のLedger LiveアプリがApple Mac App Storeで流通し、G. Loveが5.92BTC（約42万ドル）を失った。ZachXBTが資金をKuCoinへ追跡。シードフレーズを画面で求めるアプリは即詐欺と判断せよ。

10年分のビットコイン貯蓄が、30秒で消えた。

G. Love & Special Sauceのフロントマン、ギャレット・ダットンは2026年4月11日に5.92BTCを失った。技術的な脆弱性でもなく、Ledgerのバグでもない。Apple Mac App Storeからダウンロードした偽アプリが原因だった。被害総額は約42万ドル（約6,200万円相当）に上る。

Apple App Storeの偽アプリ：何が起きたのか

G. Loveは新しいMacに移行する際、App Storeで「Ledger Live」を検索した。見つかったアプリは公式と見分けがつかないほど精巧に作られており、正規のアイコンとUIを備えていた。初回起動時、そのアプリはウォレット復元のためとしてシードフレーズ24語の入力を要求した。彼が入力した瞬間、攻撃者は全資産を掌握した。

G. Loveは自身のXアカウントで事実を公表した。

I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026

ZachXBTによる資金追跡とKuCoin問題

翌12日、オンチェーン調査者のZachXBTが資金の流れを追跡した。5.92BTCは9件の異なるトランザクションを経て、すべてKuCoinの入金アドレスに集約されていた。

「あなたの盗まれた5.92BTCを追跡した。すべて@kucoincomの入金アドレスを通じてロンダリングされていた。」— ZachXBT、2026年4月12日

資金回収の見通しは限りなく低い。KuCoinは2026年2月にオーストリアから取得したMiCAライセンスをわずか3ヶ月で失効させており、ZachXBTによれば不正サービスの温床となり続けているという。なお、日本では金融庁（FSA）の登録を受けていない無認可業者への送金リスクについて、JVCEA（日本暗号資産取引業協会）が繰り返し注意喚起を行っている。

Appleの審査体制と責任問題

問題のアプリはLedger SASではなくサードパーティ開発者名義で登録されていたにもかかわらず、App Storeの審査を通過していた。Appleはアプリ削除の確認も公式声明も出していない。ZachXBTはさらに踏み込み、Appleが事件の公的記録を妨害しようとしているとも述べた。

「Appleは自社App Storeに偽アプリが存在するという事実を、人々に記録させたくないようだ。」— ZachXBT、2026年4月12日

これは孤立した事例ではない。2023年にはMicrosoft Storeで偽Ledgerアプリが横行し、約60万ドルの被害が発生している。プラットフォームの審査義務という構造的問題が、繰り返し問われている。

日本の文脈でも、金融庁は2024年以降、公式ストアを通じた詐欺アプリ対策を強化するよう国内取引所に指導を強めている。しかし規制の網が及ばないアプリストア上のなりすましアプリは、依然として世界的な脅威だ。

ハードウェアウォレットとシードフレーズの鉄則

Ledgerは長年にわたり一貫したルールを周知している。Ledger Liveはledger.com経由でのみ入手すること。App StoreやGoogle Playには存在しない。シードフレーズは物理デバイス上でのみ入力し、アプリ・ブラウザ・PCの画面には絶対に入力しない。画面上でシードフレーズを求めるアプリは、すべて詐欺だ。例外はない。

Pudgy Penguinsのセキュリティ担当Beauも事件直後に警告を発した。どれほどプロフェッショナルなUIに見えても、インターネットに接続された状態で24語を要求するデバイスやアプリはすでに侵害されている、と。