App Storeで配信された偽の仮想通貨ウォレットアプリが約15億円相当の仮想通貨を盗み出す、Appleは当該アプリを削除

2026年04月15日 11時40分 セキュリティ

AppleのApp Storeで配信されていた仮想通貨ウォレットアプリ「Ledger Live」の偽物により、少なくとも50人の利用者が2026年4月上旬の数日間で計950万ドル(約15億円)相当の仮想通貨を盗まれたと報じられています。Appleは複数の報告を受けて当該アプリをApp Storeから削除しましたが、被害はビットコイン、イーサリアム、トロン、ソラナ、XRPなど複数のチェーンにまたがって確認されています。

Fake Ledger Live app on Apple’s App Store stole $9.5M in crypto

https://www.bleepingcomputer.com/news/security/fake-ledger-live-app-on-apples-app-store-stole-95m-in-crypto/

Apple pulls fake Ledger app and Freecash in rough day for App Store review - 9to5Mac

https://9to5mac.com/2026/04/14/apple-pulls-fake-ledger-app-and-freecash-in-rough-day-for-app-store-review/ 問題の偽アプリはmacOS向けのアプリ「Ledger Live」を装ったもので、利用者にシードフレーズやリカバリーフレーズを入力させることで、攻撃者がウォレットを丸ごと乗っ取れるようにしていました。 この偽アプリは本物のLedger開発チームとは無関係な「Leva Heal Limited」という名義でApp Storeに登録され、わずか2週間でバージョン1.0から5.0へ進んだように見せる偽の更新履歴まで用意していました。

流出した資産は複数の受け取りアドレスを経由し、最終的にはKuCoin上の150を超える入金アドレスに送られ、高額な手数料で不正資金の流れを見えにくくする集中型ミキシングサービス「AudiA6」と結びつけられています。

被害のうち特に大きかったものとしては、4月8日から11日にかけて3人の被害者がそれぞれ323万ドル(約5億1300万円)、208万ドル(約3億3000万円)、195万ドル(約3億1000万円)を失ったと追跡されています。さらに、ミュージシャンのG. Loveもこのアプリをダウンロードした後に約43万ドル(約6800万円)を失ったとXで明かしており、この被害も追跡と確認が行われたとされています。

今回の事件が発生した要因の1つとして、LedgerがMac向けアプリ自体は自社サイトで配布しているのに対して、AppleのApp Storeで提供しているのはiOS対応版のみだったという点だと指摘されています。こうした配布経路の違いを悪用した手口は過去にもあり、2023年にMicrosoft Storeでも偽のLedger Liveアプリによって76万8000ドル(約1億1520万円)相当の仮想通貨が盗まれた事例があるとのこと。 また、「App Storeの審査を通過して公開された直後にはすでに被害報告が出ていたのに、なぜ早期対応が行われなかったのか」が不明で、集団訴訟につながる可能性も指摘されています。