Ledger偽アプリ「15億円」流出｜App Store配信で50人超が被害に

この記事の要点

2026年4月14日、ZachXBT氏が偽Ledger Live被害を報告
App Store配信の偽アプリで約15.1億円が流出
被害は50人超に及び、BTCやXRPなど主要銘柄が対象
盗難資金はKuCoin経由で150超のアドレスに分散

App Storeに偽Ledger、950万ドル流出
盗難資金はKuCoinへ、150アドレスに分散
リカバリーフレーズ管理が利用者の生命線

App Storeに偽Ledger、950万ドル流出

著名な仮想通貨リサーチャーであるZachXBT氏は2026年4月14日、米アップル（Apple）のApp Storeで配信されていた偽の「Ledger Live（レジャーライブ）」アプリを通じて、約950万ドル（約15.1億円）相当の仮想通貨が盗難されたと報告しました。

被害は4月7日から13日にかけて発生し、50人以上のユーザーが標的になったとされています。対象となった資産はビットコイン（BTC）をはじめ、EVM互換トークン、トロン（TRX）、ソラナ（SOL）、XRPなど複数チェーンに及び、Ledger利用者が扱う主要資産が広く影響を受けました。

ZachXBT氏によると、最大被害者3名はいずれも7桁ドル規模の損失を記録しています。具体的には、4月9日に323万USDT、4月11日に207.9万USDC、さらに4月8日には20.64BTC・211stETH・70ETH（合計約195万ドル相当）の流出が確認されています。

Ledger Liveはハードウェアウォレット「Ledger」の資産管理に使用される公式アプリですが、今回の偽アプリは利用者に24単語のリカバリーフレーズの入力を求め、資産を不正に引き出していたとみられています。当該アプリはアップルによって4月14日までに削除されました。

公式ストアの審査を通過したアプリによって実害が発生したことで、App Store経由でも安全とは限らない現実が改めて示され、プラットフォーム審査体制への懸念が広がっています。

Drift「447億円流出」被害

Drift「447億円流出」北朝鮮系の6ヶ月工作か｜コード無傷のまま侵害

盗難資金はKuCoinへ、150アドレスに分散

ミキサーAudiA6が担う資金洗浄の役割

ZachXBT氏は、流出資金が150を超える仮想通貨取引所KuCoin（クーコイン）の入金アドレスを通じて移動されたと指摘しました。

これらのアドレスは「AudiA6」と呼ばれる中央集権型ミキシングサービスに紐づくとされ、同サービスは高い手数料と引き換えに不正資金のロンダリングを請け負っていると説明されています。

こうしたミキシングサービスは複数アドレス間で資金を循環させて出所を不明瞭にする仕組みで、取引所の入金アドレスを大量に経由させる手口が常態化しています。

今回の事案では、被害発生から数日のうちに150以上の入金経路が動員されており、盗難資金のロンダリングが組織的に進められた可能性が示唆されています。

過去1年で急増、KuCoinへの規制処分

ZachXBT氏は、KuCoinにおける不正資金の流入が過去1年で急増しているとも指摘しています。こうした背景には、同取引所のAML体制をめぐる規制上の問題もあるとみられています。

同取引所は2025年1月、米国でAML（マネーロンダリング対策）法違反の和解として2億9,700万ドル超の罰金支払いに合意しています。

さらに2026年2月にはオーストリア金融市場庁（FMA）がKuCoin EU Exchange GmbHに対し、AML責任者および制裁遵守責任者の不在を理由に新規顧客の受け入れを禁止する行政処分を下しました。同社は2025年11月にMiCA（仮想通貨市場規則）認可を取得したばかりで、わずか3カ月で新規業務停止に追い込まれています。

こうした規制対応の脆弱性が不正資金の流入を許す一因とみられており、AudiA6のような外部ミキシングサービスの介在余地への懸念を指摘する声も出ています。