Cointelegraph
DOGE$0.07234 0.27%
TRX$0.3271 1.13%
LINK$8.33 0.77%
ZEC$555.71 2.28%
ADA$0.1649 0.23%
XRP$1.09 0.76%
ETH$1,868.94 1.50%
BTC$64,406.46 0.53%
XMR$335.18 1.59%
BNB$567.90 0.29%
XLM$0.1897 2.74%
SOL$76.01 1.76%
HYPE$60.93 3.79%
Zoltan VardaiライターYohan Yu監修編集者

「Macだから安全」は大間違い!テレグラムを乗っ取り、暗号資産ウォレットを丸ごと盗む“極悪マルウェア”の手口

最新ニュース公開日2026年7月17日

macOSの端末内に保存されたパスワードやログイン情報を抜き取り、テレグラムのセッションまで乗っ取る情報窃取型マルウェアが確認された。標的となるのは、エクソダスやエレクトラム、レジャー、トレザーなどの有名ウォレット。感染に気づかないまま、保有する暗号資産を根こそぎ奪われる恐れがある。

「Macはウイルスに強いから大丈夫」――そんな“安全神話”を信じている暗号資産投資家は、今すぐ考えを改めた方がいいかもしれない。

ブロックチェーンセキュリティ企業のスローミストによると、macOSを狙った情報窃取型マルウェアが、テレグラム・デスクトップのログイン状態を乗っ取り、暗号資産ウォレットを危険にさらす可能性があるという

このマルウェアが盗み出すのは、macOSのキーチェーンに保存された情報だけではない。サファリのクッキー、アップル・ノート、テレグラム・デスクトップのデータに加え、十数種類を超える暗号資産ウォレットに関連するデータベースまで収集する。

パスワードもログイン状態も丸ごと盗む

マルウェアは、端末内に保存されたパスワードや、すでに認証済みのログインセッションを収集。その後、ログイン済みのテレグラム・デスクトップのセッションデータ、ウォレットのデータベース、ブラウザー上のウォレット拡張機能に保存された情報をコピーする。

つまり、攻撃者は被害者のパスワードだけでなく、「すでに本人確認を終えた状態」そのものを盗み出せるということだ。

スローミストによると、攻撃者は感染端末から入手したパスワードを使い、盗んだウォレットのデータベースをオフライン環境で復号しようとする可能性がある。

さらに悪質なのが、正規のレジャーやトレザーのアプリを偽アプリに差し替える手口だ。

偽アプリを本物だと信じた利用者にリカバリーフレーズを入力させ、ウォレットを復元するための“最後の鍵”を盗み出す。リカバリーフレーズが攻撃者に渡れば、ウォレット内の暗号資産を別のアドレスへ移される恐れがある。

スローミストは隔離された検証環境で、この一連の攻撃を実際に再現したとしている。

MacOS malware code used to steal keys and passwords. Source: SlowMist

有名ウォレットが軒並み標的に

スローミストの分析によると、このマルウェアは複数の攻撃手法を組み合わせ、暗号資産口座やウォレットをさまざまな方向から突破しようとする。

標的となるソフトウェアウォレットには、次のような有名サービスが含まれる。

・エクソダス
・アトミック
・エレクトラム
・ワサビ
・モネロ

ハードウェアウォレット関連では、レジャー・ライブやトレザー・スイートも対象だ。

さらに、ビットコイン・コア、ライトコイン・コア、ダッシュ・コア、ドージコイン・コアといった、ブロックチェーンの全取引履歴を保存するフルノード型クライアントのウォレットデータも探し出すという。

テレグラムの2段階認証も役に立たない

今回の攻撃で特に厄介なのが、テレグラムの2段階認証を設定していても、乗っ取りを防げない可能性がある点だ。

通常、新しい端末からテレグラムへログインする場合、電話番号や認証コード、2段階認証用のパスワードが必要になる。

しかし、このマルウェアは新たにログインするのではなく、感染したMac上に残っている「認証済みのローカルセッション」をそのまま再利用する。

スローミストの研究者が行った実験では、盗み出したテレグラム・デスクトップのセッションデータを別のMacに移したところ、電話番号も認証コードも2段階認証パスワードも入力せず、ログイン状態を復元できたという。

つまり、どれだけ複雑なパスワードを設定していても、ログイン済みの状態そのものを盗まれれば意味がない。

感染を疑ったら「全資産の避難」を

スローミストは、端末が感染した可能性のある利用者に対し、現在有効になっているテレグラムのセッションを直ちにすべて終了するよう呼びかけている。

そのうえで、信頼できる端末から新たにログインし、テレグラムの2段階認証パスワードと、テレグラム・デスクトップのパスコードを両方変更する必要があるという。

暗号資産ウォレットについては、感染していないクリーンな端末で新しいリカバリーフレーズを生成し、新たに作成したアドレスへすべての資産を移すことを推奨している。

一度でもリカバリーフレーズや秘密鍵が盗まれた可能性がある場合、単なるパスワード変更だけでは安全を取り戻せない。

「まだ暗号資産が残っているから大丈夫」と考えている間にも、攻撃者が資産を移す準備を進めている可能性がある。感染が疑われるなら、一刻も早い対応が必要だ。

Cointelegraphは、独立性と透明性のあるジャーナリズムに取り組んでいます。本ニュース記事はCointelegraphの編集方針に従って制作されており、正確かつ迅速な情報提供を目的としています。読者は情報を独自に確認することが推奨されます。編集方針はこちらをご覧ください https://cointelegraph.jp/editorial-policy

この話題についてもっと