Apple審査をすり抜けた偽アプリが95万ドルを奪った

「10年間働いて貯めたものが、一瞬で消えた」——ある被害者がXにこう投稿したとき、失ったのは資産だけではなかった。Apple App Storeへの信頼も、同時に消えていた。

何が起きたのか：1週間で14億円が消えた

2026年4月7日から13日の7日間、Apple App Storeに掲載されていた偽のLedger Liveアプリによって、50人以上のユーザーが被害を受けた。盗まれた暗号資産の総額は950万ドル（約14億円）に上る。被害はBitcoin、Ethereum、Solana、Tron、XRPと複数のブロックチェーンにまたがった。

最大の単独被害は4月9日に発生した323万ドル分のUSDTの窃取で、翌8日には195万ドル相当のBTC・ETH・stETH、11日には208万ドルのUSDCが奪われた。X上のユーザー@gloveは、10年間積み上げた5.92 BTC——老後の資金すべて——を失ったと報告している。

攻撃の手口はシンプルだった。被害者は正規のLedger Liveだと信じてアプリをダウンロードし、ウォレットの「リカバリーフレーズ」を入力した。このフレーズは、ウォレットへの完全なアクセス権を意味する。攻撃者はそれを手に入れた瞬間、資産を引き出した。

どこへ消えたのか：KuCoinと「AudiA6」

ブロックチェーン調査者のZachXBTが資金の流れを追跡したところ、盗まれた資産は150以上のKuCoinデポジットアドレスを経由して移動していた。さらに「AudiA6」と呼ばれる中央集権型の暗号資産ミキシングサービスに流れ込んでいたことが判明した。このサービスは高額な手数料を取る代わりに、資金の追跡を困難にすることで知られている。

KuCoinが資金洗浄の経路として使われた点は、同取引所の最近の状況と重なる。KuCoinは2025年に米当局へ3億ドル以上の罰金を支払いマネーロンダリング違反を和解し、2026年2月にはオーストリア規制当局によってEU新規ユーザーの受け入れを禁止されたばかりだった。

広告

広告掲載について

[email protected]

広告

Appleは問題のアプリをApp Storeから削除したが、なぜ審査を通過したのか、どれほどの期間掲載されていたのかについては公式な説明をしていない。ZachXBTは、この事件が集団訴訟の根拠になり得ると指摘している。

なぜ今、これが重要なのか

暗号資産業界における詐欺被害は、年々深刻化している。2025年だけで約170億ドルがハッキングや詐欺によって失われており、その主な手口はソーシャルエンジニアリングとフィッシングだった。今回の事件はその延長線上にあるが、一つの点で際立っている。それは、攻撃がAppleという「信頼の象徴」を経由したという点だ。

App Storeは長年、「Googleより安全」というブランドイメージを持ってきた。Appleは審査プロセスの厳格さを売りにし、ユーザーはその信頼を前提にアプリを使ってきた。今回の事件は、その前提に疑問符を突きつける。

日本のユーザーにとっても、この問題は他人事ではない。日本の暗号資産保有者数は増加傾向にあり、特にLedgerのようなハードウェアウォレットを使う中上級者ユーザーが標的になりやすい。「正規のマーケットプレイスからダウンロードした」という安心感が、むしろ判断を鈍らせる可能性がある。

誰が何を考えているか

被害者の視点は明確だ——「信頼できる場所からダウンロードしたのに、なぜ守られなかったのか」。怒りはAppleとKuCoinの両方に向いている。

Appleの立場からすれば、悪意あるアプリを完全に防ぐことは技術的に困難であり、発見次第削除したという対応は「適切だった」と主張するかもしれない。しかし、被害総額が14億円に達した後の削除では、遅すぎるという批判は避けられない。

規制当局の視点では、今回の事件はプラットフォーム事業者の責任範囲を問い直す契機になり得る。EU圏ではMiCA（暗号資産市場規制）が施行されており、日本でも金融庁が暗号資産交換業者への監視を強化している。しかし、App StoreのようなプラットフォームがKYC（本人確認）なしに金融アプリを配布することへの規制は、まだ追いついていない。

セキュリティ専門家の間では、「リカバリーフレーズを要求するアプリは詐欺」という原則の周知が改めて求められている。Ledgerの正規アプリは、リカバリーフレーズの入力を求めない。この基本的な知識が、被害を防ぐ最初の防衛線だ。