- フェイクウォレットとは、MetaMaskやTrust Walletなど正規の暗号資産ウォレットアプリを装った偽アプリで、入力されたシードフレーズを攻撃者に送信する詐欺アプリのことだ。
- Google PlayやApp Storeにも紛れ込んでおり、ロゴ・名称・説明文が本物そっくりに作られているため見分けがつきにくく、シードフレーズを入力した瞬間に攻撃者にすべての資産を奪われてしまう。
- 仕組みを知っておけば、公式サイトからのリンクでアプリストアにアクセスする習慣が身につき、偽アプリのインストール被害を防げる。
【深掘り】これだけは知っておけ
フェイクウォレットは、MetaMask、Trust Wallet、Phantom、Coinbase Wallet、Ledger Liveなど正規のウォレットアプリを装った偽アプリのことです。2025年6月にはセキュリティ企業Cybleが複数のアプリストアで20以上の偽ウォレットアプリを特定し、MetaMask・Trust Wallet・Phantomなどの有名ウォレットを装っていたと報告しています。過去にはESETが2019年に偽Trezorアプリ・Coin Wallet(Bitcoin, Ripple, Ethereum, Tether)などをGoogle Playで特定しています。これらはオンライン販売されているアプリテンプレートをベースに作成されており、初心者でも短時間で作れる構造になっています。
典型的な被害パターンは三つあります。一つ目はインストール後の初期設定でシードフレーズの「入力」を求められ、入力した瞬間に攻撃者のサーバーへ送信されるパターン。二つ目はマルウェアが同梱されており、デバイス内の他のウォレットアプリの認証情報を盗むパターン。三つ目はメールやSNSで「Coinbaseウォレットを再設定してください」とリカバリーフレーズが書かれた指示が送られ、被害者がそのフレーズで偽ウォレットを設定して資金を入金すると、攻撃者がそのフレーズを使って引き出すパターンです。最後のパターンは詐欺メールにリンクすら含まれず、正規のCoinbase Walletを使うため検出が極めて困難です。
実践的な対策として、MetaMaskなら必ず公式サイト metamask.io から、Trust WalletならtrustWallet.com から、Phantomならphantom.com からアプリストアへのリンクをたどってください。検索結果やSNS広告は信頼してはいけません。インストール後の初期設定で新しいウォレットを作成する場合、シードフレーズはアプリが自動生成して画面に表示します。アプリが入力を要求してきたら詐欺です。資産が大きくなったらハードウェアウォレット(Ledger・Trezor)への移行も検討してください。
フェイクウォレットの代表的な手口
| 手口 | 仕組み | 対策 |
|---|---|---|
| 偽アプリのストア登録 | 正規ストアに紛れ込み本物そっくりに見せかける | 公式サイト経由でストアへ |
| 初期設定でフレーズ入力要求 | シードフレーズ入力欄に入れさせて窃取 | 新規作成では入力要求は詐欺 |
| 偽サポートメールから誘導 | 偽メールでフレーズ付き設定指示 | サポートはフレーズを送信しない |
典型的なフレーズ・文脈
(偽MetaMaskアプリ初期画面)ようこそ。既存のウォレットを復元しますか?12または24単語のシードフレーズを下記欄に正しく入力してください。入力した瞬間に攻撃者のサーバーへ送信されます。
正規アプリと見た目が同じ偽MetaMaskでシードフレーズの入力を求める、フェイクウォレットの典型的な仕掛けです。入力した瞬間に資産が奪われます。
セキュリティ企業のCybleは、2025年6月に複数のアプリストアで偽の暗号資産ウォレットアプリ20以上を特定したと発表し、MetaMaskやTrust Walletを装った偽アプリのダウンロードに注意するよう呼びかけています。
偽ウォレットアプリの大規模特定を報じる報道番組のキャスターを想定した表現です。
ウォレットアプリは必ず公式サイトのリンクからストアへ。アプリストアで検索すると偽物に当たります。シードフレーズの入力要求が出たら100%詐欺。被害は#9110へ。
スマホセキュリティ専門家が、フェイクウォレット対策として公式サイト経由のダウンロードを助言する場面を想定しています。
困ったときの相談窓口
フェイクウォレットで資産が流出した場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 詐欺被害・不正アクセスの相談 |
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | マルウェア・偽アプリの相談 |
| 金融庁 詐欺的な投資に関する相談ダイヤル | 0570-050588 | 平日 10:00〜17:00(Webは24時間) | 暗号資産投資の相談 |
【まとめ】3つのポイント
- 正体は正規アプリを装った偽ウォレット:MetaMask・Trust Walletなど有名ウォレットの偽物がアプリストアにも紛れ込んでいます。
- 2025年6月に20以上の偽アプリ確認:Cybleがアプリストアでの偽アプリ大量特定を報告しています。
- 公式サイト経由でアプリストアへ:検索結果から直接ダウンロードせず、必ず公式サイトのリンクを使いましょう。
よくある質問
-
QApp StoreやGoogle Playのアプリでも危険ですか?
-
A
はい。Cybleが2025年6月に複数のアプリストアで偽ウォレットアプリ20以上を特定したように、公式ストアの審査をすり抜けて偽アプリが登録される事例は頻発しています。ストアの審査は完璧ではなく、特に登録直後の発見が遅れがちです。「公式ストアだから安全」と決めつけず、必ず公式サイトのリンクを経由してダウンロードする習慣を持ってください。
-
Q偽アプリかどうか見分ける方法はありますか?
-
A
複数の指標を見てください。開発者名が公式と一致しているか(MetaMaskならConsensys Software Inc.、Trust WalletならDApps Platform Inc.など)。レビュー数が極端に少なくないか。1〜2週間以内に登録された新しいアプリではないか。アイコンや説明文が公式サイトと完全一致しているか。一つでも疑念があれば、公式サイトから改めてリンクを確認してください。新規作成時にシードフレーズの入力を要求するアプリは100%詐欺です。
-
Q偽アプリをインストールしてシードフレーズを入力してしまいました。
-
A
そのウォレットの資産はすでに危険な状態です。今すぐ別のデバイスから正規のウォレットアプリを公式サイト経由でインストールし、新しいウォレット(新しいシードフレーズ)を作成して、可能な限り早く資産を新ウォレットに移動してください。古いシードフレーズは絶対に使わず、忘れてください。同時に、偽アプリをデバイスからアンインストールし、ウイルスチェックも実施します。被害確定後は警察と金融庁に被害届を提出してください。
-
Qフェイクウォレットとシードフレーズ搾取の違いは何ですか?
-
A
関係性は包含関係です。シードフレーズ搾取は、シードフレーズを盗み出す詐欺手口全般を指す上位概念です。フェイクウォレットはその中の一つの手段で、偽アプリを使ってシードフレーズを入力させる手口を指します。他にも偽サポートチャット、偽サポートメール、フィッシングサイトなど、シードフレーズ搾取の手段は様々あります。フェイクウォレットはシードフレーズ搾取の一形態だと理解してください。
コメント