Chrome拡張機能Trust Wallet：隠しスクリプトが秘密鍵を収集、被害額は700万ドルに上る

深刻なセキュリティインシデント：バージョン2.68がユーザーのシードフレーズを漏洩

2025年12月24日〜25日、Trust WalletはChrome拡張機能のバージョン2.68の使用停止を緊急警告として発表しました。同社はコード実行中にセキュリティホールを発見し、ユーザーのシードフレーズと秘密鍵が不正に収集される可能性があることを明らかにしました。最初の報告によると、最初の48〜72時間で複数のブロックチェーンにわたり約600万〜700万ドルの被害が確認されています。

Chrome Web StoreのTrust Wallet拡張機能は現在約100万人のユーザーにインストールされています。実際の影響度は、バージョン2.68にアップデートし、脆弱性のある期間中に敏感な情報を入力したユーザーの数に依存します。Trust Walletは、モバイル版や他のプラットフォームには影響がないと断言しています。

攻撃の仕組み：悪意のあるJavaScriptコードによるウォレット秘密情報の収集

セキュリティ研究者は、バージョン2.68のインストールパッケージ内に怪しいロジックを発見しました。具体的には、「4482.js」というファイルへの参照を含むJavaScriptファイルに、コードがシードフレーズと秘密鍵を外部サーバーに送信する可能性があることが判明しました。

シードフレーズは、現在および将来のすべてのアドレスを解錠できる一連の単語です。これが漏洩すると、ウォレットと異なるチェーン上の資産すべてが盗まれるリスクがあります。調査チームは、誤ったバージョンをインストールした後にシードフレーズを入力または復元したユーザーにとって最も高いリスクがあると特定しました。

必要な対策：アップデートだけでは不十分、資産の移動が必要

バージョン2.69へのアップデートは、将来的にマルウェアを除去することができますが、既にシードフレーズが侵害されている場合は自動的に資産を保護できません。

バージョン2.68使用時にシードフレーズを入力または復元した場合、そのシードは漏洩したとみなすべきです。標準的な対策は以下の通りです。

• 完全に新しいシードフレーズを作成する
• 新しいシードフレーズから新しいウォレットにすべての資産を移動する
• 可能であれば、スマートコントラクト上のトークン承認（(token approvals)）を取り消す

これらの操作は複数のチェーンに資産を移動させるためコストがかかる場合があります。ユーザーは、速度とガス代のバランスを考慮し、特にクロスチェーン取引において慎重に行動する必要があります。

「救援」詐欺の増加

インシデント発生と同時に、二次的な詐欺手口も出現しています。詐欺師は「復旧支援」を偽装したドメインを作成し、ユーザーにシードフレーズの提供を促すことで、「ウォレット復旧サポート」を装います。

Trust Walletは、公式チャネル以外からのメッセージには応答しないよう警告しています。攻撃者はTrust Walletのサポートチームを偽装し、被害者を集めようとします。シードフレーズに関する要求の出所を常に確認してください。

より大きな問題：拡張機能はウォレットのセキュリティの弱点

このインシデントは、ブラウザ拡張機能の根本的なリスクを浮き彫りにしています。これらはWebアプリケーションと取引署名のプロセスの間の敏感な位置に配置されており、ユーザーが取引を検証するために依存している情報に干渉できる可能性があります。

学術研究によると、Chrome Web Storeの拡張機能は、悪意のあるものや侵害されたものが自動検閲を回避できることが示されています。攻撃手法が時間とともに変化するため、検出能力は低下しやすいです。特に、クライアント側のコードが複雑化しているウォレットのアップデートでは、解析が難しくなる傾向があります。

前例：ソフトウェア配布プロセスの規律

このインシデントは、ソフトウェアの構築と配布の整合性に関する疑問も提起しています。長期的な対策としては、以下が考えられます。

• 再現性のあるビルド（(reproducible builds)）の構築
• 鍵の分離（(key separation)）
• より明確なロールバック手順の確立

これらの措置により、提供者やプラットフォームは、より良い検査方法やユーザーガイドラインを構築できるようになります。

市場データ：投資家は「様子見」

深刻なインシデントにもかかわらず、トークンTWT（(Trust Wallet Token)）の市場は複雑な動きを見せています。2026年1月12日時点の最新データによると：

• 現在価格：$0.89
• 24時間変動：+0.13%
• 24時間高値：$0.90
• 24時間安値：$0.86

この変動は、投資家がトークンの評価を一方向に修正していないことを示しています。楽観的な兆候としては、Trust Walletの返金約束や、インシデントの収束への信頼が考えられます。

損害予測：今後2〜8週間で$6M–$25 兆+に拡大の可能性

被害額が今後増加する可能性のある理由は以下の通りです。

• 被害者からの遅延報告
• アドレスの再分類
• クロスチェーン交換取引の追跡改善

実際の予測範囲は、今後2〜8週間で以下のシナリオに分かれます。

これは、シード入力がバージョン2.68に限定されているか、他の攻撃手法が存在するか、偽ドメインの排除速度に依存します。

事象のタイムライン

• 12月24日：バージョン2.68が展開され、出金報告が始まる
• 12月25日：Trust Walletがバージョン2.69をリリースし修正
• 48〜72時間：総被害額は約600万〜700万ドルと推定

Trust Walletからの最終警告

同社は、約700万ドルの被害を確認し、影響を受けたすべてのユーザーに返金を約束しています。Trust Walletの指示は以下の通りです。

1. Chromeからバージョン2.68の拡張機能を直ちに無効化
2. Chrome Web Storeからバージョン2.69にアップデート
3. 2.68使用時にシードフレーズを入力した場合は、そのシードは侵害済みとみなす。新しいシードを作成し、資産を移動する
4. 非公式なメッセージには応答しない — 詐欺師はサポートチームを偽装する可能性があります
5. 公式チャネルからの返金案内を待つ

このインシデントは、拡張機能の便利さに関わらず、ユーザーがセキュリティリスクを十分に理解し、注意深く行動する必要性を再認識させるものです。