Ledgerが顧客データ漏洩の可能性を公表

決済処理会社Global-eで不正アクセスを確認

仮想通貨ハードウェアウォレットを提供するLedger（レジャー）は、決済処理を委託しているサードパーティ企業Global-eにおいて不正アクセスが発生し、顧客の氏名や連絡先情報が漏えいしたと明らかにした。

Ledgerは2026年1月5日（月曜日）、影響を受けた顧客に対し電子メールで通知をしている。同社によると、Global-eは自社ネットワークの一部で異常なアクティビティを検知し、確認後すぐに関連システムを封じ込める措置を実施した。その後、独立したフォレンジック専門家を起用し、侵害の詳細について調査を進めている。

Ledgerは今回のインシデントについて、同社のハードウェアデバイス、ソフトウェア、プラットフォームの運用とは切り離された事象であると説明している。決済情報は一切関与しておらず、製品自体の安全性に影響はないと強調した。

漏えいした可能性のある情報と影響範囲

調査の結果、氏名や連絡先情報を含む一部の個人情報が不適切にアクセスされたことが確認された。

一方で、ウォレットの24単語の復元フレーズ、秘密鍵、ブロックチェーン残高、仮想通貨の保有情報は含まれていないとされている。今回の不正アクセスにより、ユーザー資金が直接流出した事実も確認されていない。

Ledgerは影響を受けた顧客の正確な人数や、不正アクセスが発生した詳細な原因については明らかにしていない。同社は決済処理と顧客の連絡先情報管理をGlobal-eに依存しており、サードパーティベンダーを介する構造がデータへのアクセス経路を増やしている点が改めて浮き彫りとなった。

過去の事例とフィッシングへの警戒

Ledgerは過去にも顧客データを巡る問題を経験しており、2020年には、設定ミスのあるサードパーティAPIを通じて、約100万件のメールアドレスと約9,500人分の詳細な連絡先情報が漏えいした。

このインシデントでは、漏洩データを悪用したフィッシング攻撃が相次いだ。今回の件を受け、ブロックチェーン調査員のZachXBTは、ハードウェアウォレット利用者に対し、フィッシング詐欺への警戒を呼びかけている。Ledgerもまた、24単語の復元フレーズを第三者に開示しないこと、取引時には可能な限りクリア署名を用いることを推奨している。