はじめに：トラストウォレットの重要性と今回の事件の背景

Trust Wallet（トラストウォレット）は、ビットコイン（BTC）、イーサリアム（ETH）をはじめとする多数のブロックチェーン資産を安全に管理できる、非中央集権的な自己管理型デジタルウォレットとして、世界中の数億人のユーザーに信頼されています。その安全性と多様な機能により、多くのユーザーが自身の仮想通貨資産を保有し、分散型アプリケーション（dApps）とのインタラクションを実現しています。しかし、2025年11月から12月にかけて、このトラストウォレットが深刻なサプライチェーン攻撃を受け、一時的に悪意のある拡張機能が配信されるという重大なセキュリティインシデントが発生しました。本稿では、この事件の詳細な経緯、技術的根拠、影響範囲、およびユーザーが取るべき具体的な対処法について、専門的な観点から徹底的に解説いたします。

第一段階：攻撃の起源——NPMパッケージの乗っ取り

今回の攻撃の起点は、開発環境において使用されるオープンソースライブラリである「Node Package Manager（NPM）」のパッケージの乗っ取りでした。2025年11月、複数の関連するNPMパッケージがハッキングされ、これらのパッケージ内に後門コードが注入されました。この攻撃の背後には、特定のサイバー犯罪グループ「Shai-Hulud（シャイ・フリュード）」が関与していると確認されています。彼らは、一般的に利用されている開発ツールの脆弱性を突いて、開発者のマシンやリポジトリへの不正アクセスを試みます。トラストウォレットの開発チームも、この初期段階で影響を受け、重要な開発者アカウントの認証情報、特にGitHub APIキーが盗難されました。このキーの漏洩は、以降のすべての悪意ある行動の鍵となりました。

第二段階：開発環境の侵害と内部情報の取得

GitHub APIキーが手に入ると、攻撃者はトラストウォレットの開発リポジトリに無断でアクセスできました。これにより、開発者が過去に作成したソースコードの完全なバックアップ、構成ファイル、ビルドスクリプトなどが入手可能になりました。特に重要なのは、早期のバージョンの完全なソースコードが得られたことで、攻撃者はそれらを使用して、正当なソフトウェアの動作を模倣することができるようになりました。この段階で、攻撃者は「正当なプロダクト」と見せかけ、後に悪意を持つコードを組み込むための基盤を整えました。また、この時期に、攻撃者はトラストウォレットの公式ドメインとは異なる新規ドメイン「metrics.trustwallet.com」を登録し、後続の悪意ある通信のためのサーバーを準備していました。

第三段階：悪意のある拡張機能の生成と配信

攻撃者は、入手したソースコードを用いて、トラストウォレットの正式な拡張機能（Google Chrome Web Store版）を再ビルドしました。ただし、この再ビルドされたバージョンには、あらかじめ追加された後門コードが含まれており、これはユーザーのウォレットの秘密鍵（助記詞）を暗号化して送信する機能を持っています。さらに、攻撃者は、当初の攻撃で獲得した「Google Chrome Web Store（CWS）APIキー」を利用して、通常の審査プロセスを無視し、直接新しい拡張機能をアップロードすることができました。この措置により、悪意のあるバージョンの「v2.68」が、2025年12月25日ごろに、公式ストアを通じてユーザーのブラウザに自動的に配信され始めました。このタイミングは、クリスマス期間中にユーザーの警戒心が緩む可能性が高い時期であったため、攻撃者は戦略的な意図を持っていました。

第四段階：悪意の発動と被害の拡大

悪意のある拡張機能がユーザーのブラウザにインストールされると、ユーザーがトラストウォレットのウォレットにアクセスするたびに、そのウォレットの秘密鍵が攻撃者のサーバーに送信されます。この時点で、攻撃者はユーザーの資産を完全に制御できる状態となりました。実際に、2025年12月25日以降、複数のウォレットアドレスが急速に資金を引き出し、海外の暗号通貨交換所や匿名性の高いウォレットへと移動する事例が報告されました。初期の被害額は、約850万米ドル相当と推定されており、これは非常に大きな損失です。一部の資金は、攻撃者が資金洗浄を行う前に、関係当局や業界のホワイトハッカーによって迅速に監視・凍結され、回収が可能となっています。

第五段階：検出と対応——協力による危機回避

このインシデントは、迅速な検出と協力によって被害の拡大を食い止めることができました。2025年12月25日当日、著名なブロックチェーンアナリストである「0xAkinator」氏と「ZachXBT」氏が、異常な取引パターンを発見し、攻撃者のウォレットアドレスを特定しました。彼らはすぐに情報公開を行い、関係者に注意喚起を行いました。同時に、トラストウォレットのパートナー企業「Hashdit」や内部システムも、多数の異常なログイン試行や不審なデータ送信を検知し、警告を発しました。この情報共有が、全体の対応スピードを劇的に向上させました。さらに、複数のホワイトハッカーが、攻撃者が使用していたドメイン「metrics.trustwallet.com」に対して、分散型拒否サービス（DDoS）攻撃を実施することで、サーバーの稼働を停止させ、悪意のある拡張機能がユーザーの端末に悪意のあるコードをダウンロードできないようにしました。この措置により、新たな被害の発生を大幅に抑制しました。

第六段階：修復と回復——v2.69のリリース

攻撃の兆候が明らかになった後、トラストウォレットチームは緊急対応を開始しました。まず、すべての開発環境のセキュリティを再評価し、関与したすべてのキーとトークンを無効化しました。次に、事前に検証済みの「清潔な」バージョンのソースコードに基づき、新たな安定版「v2.69」を迅速にビルドし、公式ストアにリリースしました。このバージョンは、攻撃者が改ざんしたバージョンとは全く異なるものであり、ユーザーの資産を保護するための強固なセキュリティ機構が搭載されています。そして、この新しいバージョンは、自動更新機能を通じて、既存のユーザーのブラウザに順次配信されました。これにより、悪意のあるバージョンの利用がほぼ停止し、ユーザーの資産のさらなる損失を防ぐことができました。

第七段階：被害者の救済と補償制度

今回のインシデントにより、多くのユーザーが資産を喪失しました。しかし、トラストウォレットは、親会社であるビットコイン（Binance）と連携し、被害者の救済を最優先に考えました。2026年1月6日、トラストウォレット公式公告にて、「特定の被害者に対する加速ペイアウトプログラム」が発表されました。このプログラムの対象となるのは、2025年12月24日以前に、ビットコイン（Binance）の口座から被害ウォレットに資金を移動したユーザー、または、ビットコイン口座で本人確認済みのユーザーです。こうしたユーザーは、通常の申請手続きよりも速く、身分確認プロセスを経ることで、補償金の受領が可能となります。公式メールラインを通じて、個別にビデオ認証の手順が通知され、迅速な対応が進められています。なお、該当しないユーザーについては、従来通りの手続きを経て補償が行われる予定です。

今後の課題とユーザーへのアドバイス

この事件は、単なるソフトウェアバグではなく、開発プロセス全体のサプライチェーンにまで及ぶ深刻なセキュリティリスクを浮き彫りにしました。特に、外部のオープンソースライブラリの信頼性、開発者の資格認証情報の厳格な管理、および公式ストアの審査プロセスの強化が、今後の必須課題となります。ユーザーの立場からは、以下の点に十分注意することが求められます：

• 公式チャネルからのみダウンロードする：トラストウォレットの拡張機能は、必ず公式のGoogle Chrome Web Store、Apple App Store、または公式サイトからのみダウンロードしてください。
• 自己管理型ウォレットの基本原則を守る：秘密鍵や助記語は、決して第三者に教えないこと。オンライン上で保存したり、メールに添付したりしないことが最重要です。
• 定期的なセキュリティチェックを行う：ウォレットの設定や接続アプリを定期的に確認し、不審な項目がないかを確認しましょう。
• 補償制度の利用を検討する：被害に遭った場合は、公式の補償手続きを早急に開始し、必要な書類を提出してください。

トラストウォレットは、依然として世界最大級のデジタル資産管理プラットフォームであり、その安全性は依然として高いレベルを維持しています。しかし、すべての技術は完璧ではないため、ユーザー自身の意識と行動が、最終的な資産の安全を守る鍵となります。

結論

トラストウォレットにおける今回のインシデントは、極めて深刻かつ複雑なサイバー攻撃の典型例です。その過程は、外部のライブラリの乗っ取りから始まり、開発環境の侵入、悪意のあるソフトウェアの生成、公式配信、そして最終的な被害の発生に至るまで、一連の精密な戦略が展開されました。しかし、各ステージでの検出と迅速な対応、特にホワイトハッカーと業界の協力体制が、被害の拡大を阻止し、回復を可能にしました。この出来事は、開発者だけでなく、ユーザー全員にとって、仮想通貨の管理における「セキュリティの継続的意識」の重要性を強く示唆しています。技術の進化に伴い、攻撃手法も高度化しています。私たち一人ひとりが、知識を深め、慎重な行動を心がけることで、未来の同様のリスクを未然に防ぐことができます。トラストウォレットは、この教訓を糧に、より強固なセキュリティ体制を構築し、ユーザーの信頼を守り続けることを誓います。