Ledger IPO：セキュリティをめぐるブラックユーモア

深潮TechFlow

特邀专栏作者

2026-01-29 12:00

この記事は約4238文字で、全文を読むには約7分かかります

「セキュリティ」を中核的セールスポイントとする企業が、その歴史上最大のリスクエクスポージャーに直面したのは、まさにセキュリティ問題からだった。

AI要約

展開

核心的な視点：本稿はLedgerのIPO計画を引き合いに、この「セキュリティ」を中核とするハードウェアウォレット大手が、その発展の過程と高い評価額の背後に、一連の深刻なセキュリティ矛盾と信頼危機が存在することを明らかにする。これには、複数回にわたるユーザーデータ漏洩、製品設計が中核原則から乖離したこと、そしてセキュリティインシデントがユーザーに与えた実際の被害が含まれる。
キー要素：
1. 複数回の重大なセキュリティインシデント：2020年、設定ミスにより100万件を超えるユーザーのメールアドレスと27.2万件のユーザー住所が漏洩；2023年、元従業員のアカウントがハッキングされ、サプライチェーン攻撃につながり、約60万ドルの損失を発生；2026年初頭、再びサードパーティによるデータ漏洩が発生。
2. 中核製品理念からの乖離：2023年に発表した「Recover」サービスは、暗号化されたシードフレーズの断片をサードパーティに預けることを可能にし、「秘密鍵は決してデバイスから離れない」という同社の中核的なセキュリティ主張に反するもので、コミュニティから強い反発を招き、中核ユーザーへの裏切りと見なされた。
3. セキュリティ脆弱性の現実的帰結：初期のユーザー住所漏洩データはダークウェブで流通し、暗号通貨保有者を標的としたオフラインでの物理的攻撃（「レンチ攻撃」など）を間接的に引き起こした可能性があり、共同創業者を含む複数の人物が誘拐または危害を加えられた。
4. 高評価額の市場論理：FTXなどの中央集権型取引所が暴落した後、「Not your keys, not your coins」（鍵を持たなければ、コインも持たない）という考え方が広まり、ハードウェアウォレットの需要が急増した。Ledgerは約50%-70%の市場シェアと約1000億ドルのBTC（総量の5%）を保管しているというストーリーにより、「デジタル金庫」としてのプレミアム評価を獲得した。
5. 業界と資本の背景：2025-2026年、暗号関連企業はIPOブームを迎え、ビットコインの強気相場に牽引されたセカンダリーマーケットは暗号資産に熱狂した。ハードウェアウォレット市場は、2026年の9.14億ドルから2035年には127億ドルに成長すると予測されており、Ledgerに成長ストーリーを提供している。
6. 暗号関連株のボラティリティ：既に上場している暗号関連企業（Circle、Bullishなど）の株価は短期間で普遍的に大幅に下落しており、その価格がビットコインの相場と強く連動し、企業のファンダメンタルズとの関連性は弱いことを示している。

原文著者：Ada、深潮 TechFlow

2025年1月21日未明、フランス中部の町メロー。

David Ballandは眠りから引きずり出され、自宅を離れた。彼は暗号通貨ハードウェアウォレットLedgerの共同創業者であり、同社は世界中のユーザーに1000億ドル相当のビットコインを保管していると謳っている。

フランス紙『ル・モンド』によると、48時間後、フランスの精鋭特殊部隊GIGNがドアを破って突入したとき、Ballandはすでに指を1本失っていた。

犯人はその切断された指の動画をLedgerのもう一人の共同創業者Éric Larchevêqueに送り、メッセージを添えた：暗号通貨のみ受け取る、警察に通報するな、遅延するな、さもなければ結果は自己責任だ。

それから1年後の今日、Ledgerはニューヨーク証券取引所でのIPOを計画しており、評価額は40億ドルを超えると発表した。ゴールドマン・サックス、ジェフリーズ、バークレイズといったウォールストリートで最も有名な名だたる企業がその背後に立っている。

これは「セキュリティ」に関するビジネスだ。

皮肉だろうか？

流出した住所

時を2020年に戻そう。

あの夏、設定ミスされたAPIエンドポイントにより、攻撃者はLedgerのEコマースデータベースに簡単にアクセスできた。100万件を超えるメールアドレスが流出した。さらに深刻なのは、27万2千人の顧客の氏名、電話番号、自宅住所も同時に漏洩したことだ。

半年後、このリストはハッカー掲示板Raidforumに投げ捨てられ、非常に安価で販売され、誰でも自由にアクセスできるようになった。

その後何が起こったかは想像に難くない。

フィッシングメールが雪のように舞い込み、Ledgerユーザーを騙して悪意のあるリンクをダウンロードさせ、秘密鍵を通じて彼らの暗号通貨を奪おうとした。一部のLedgerユーザーは、自分の氏名と住所を知っているというメールを受け取り、身代金を支払わなければ家に押し入って暗号通貨を盗むと脅迫された。

しかし、LedgerのCEOであるPascal Gauthierは、同社はハッキングサイトで個人データを漏洩された顧客、自宅住所を漏洩された顧客を含め、賠償しないと表明した。

この事件はLedgerに少なからぬ損害をもたらした。しかし、真の代償は、今なお恐怖の中で生きるユーザーたちだ。

では、Ledgerは教訓を学んだのだろうか？

同じ穴に三度

2023年12月14日、Ledgerはまたもや問題を起こした。

今回の経路はさらに荒唐無稽だ：すでに退職したLedger社員がフィッシング攻撃を受け、攻撃者は彼のNPMJSアカウント権限を入手した。

彼が退職してどれくらい経っていたのか、なぜ退職した社員が依然として重要なシステムへのアクセス権限を保持していたのか、誰も説明しなかった。

悪意のあるコードがLedger Connect Kitに注入された。これは無数のDeFiアプリケーションが依存するコアライブラリだ。SushiSwap、Zapper、Phantom、Balancerなど、DeFiエコシステム全体のフロントエンドが一瞬にしてフィッシングページに変わった。

Ledgerは40分で問題を修正したが、60万ドルはすでに消えていた。

CEOのPascal Gauthierは事後の声明でこう書いた：「これは不幸な孤立した事件です」

孤立した事件だろうか？

そして2026年1月5日、LedgerがIPO計画を発表したちょうど2週間前、またしても漏洩が発生した。今回はサードパーティの決済処理業者Global-eの問題で、顧客の氏名と連絡先が再び流出した。

6年間で、3回の重大な漏洩。

毎回が「孤立した事件」であり、毎回が「サードパーティの問題」だが、毎回結果を引き受けるのはユーザーだ。

もし伝統的な金融機関が6年間で3回のセキュリティ事故を起こしたら、とっくに規制当局から免許を剥奪されているだろう。しかし暗号の世界では、IPOを実施でき、評価額は3倍にもなる。

Recover：公然の裏切り

データ漏洩が偶発事故や過失のせいにできるなら、Ledger Recoverは積極的な自爆行為だ。

2023年5月、Ledgerは新サービスを開始した。月額9.99ドルを支払えば、ユーザーはシードフレーズを暗号化して分割し、3社（Ledger、Coincover、EscrowTech）に預けることができる。もしシードフレーズを忘れたら、身分証明書を提示するだけで取り戻せる。

いつもシードフレーズを無くすのではないかと心配している一般ユーザーにとって、これは確かに親切に聞こえる。

しかし根本的な問題がある：ハードウェアウォレットというビジネスが存在する前提そのものは、「秘密鍵は決してデバイスから離れない」ということではなかったのか？

Ledgerの前CEOであるLarchevêqueは後にRedditで、不安を覚える事実を認めた：もしユーザーがRecoverを有効にしていた場合、政府は法的手続きを通じてこの3社に鍵の断片の引き渡しを強制し、ユーザーの資産を取得できる。

コミュニティは沸騰した。TwitterではユーザーがLedgerデバイスを燃やす写真さえ登場した。

Polygonの最高情報セキュリティ責任者であるMudit Guptaはツイートでこう述べた：「『本人確認』によって保護されているものは、本質的にあまり安全ではありません。偽造が簡単すぎるからです」

Binance創業者のチャン・チャン（CZ）もこう述べた：「これはコールドウォレットのシードフレーズがデバイスから分離可能であることを意味するのか？」と述べ、これは暗号コミュニティが支持する理念に反するとした。

しかしLedgerの返答はこうだった：「現在、大多数の暗号ユーザーは依然としてセキュリティが限られた取引所やソフトウェアウォレットを使って資産を保管しており、多くの人にとって24単語のシードフレーズの管理自体が越えられないハードルです。これはつまり、紙のバックアップが時代遅れの解決策になりつつあることを意味します」

道理は間違っていない。しかし、ある企業の成長戦略が、自社の最も核心的な価値提案を薄めることを必要とするとき、事態は少し微妙になる。

Ledgerの古いユーザーはギークだ。ギークは細かいことを気にし、ギークは騒ぎ立て、ギークはRedditで長文を書いてあなたを罵る。しかしギークはすでにウォレットを買った。ギークは成長に貢献しない。

成長は初心者から来る。初心者は面倒を嫌い、初心者は安心を買うために月額9.99ドルを払い、初心者は「秘密鍵は決してデバイスから離れない」といった技術的詳細には関心がない。

しかしこれはセキュリティと利便性のトレードオフではない。

これはコアユーザー層に対する公然の裏切りであり、彼らの信頼を、より大きな市場への切符と引き換えにすることだ。

レンチ攻撃

David Ballandの切断された指に話を戻そう。

暗号業界には「レンチ攻撃」という用語がある。どんなに複雑な暗号学や、どんなに分散化されたプロトコルも、誰かがレンチを持ってあなたの前に立ち、秘密鍵を要求するのを防ぐことはできない、という意味だ。

この言葉はほとんどブラックユーモアのように聞こえ、プログラマーが発明した、ホワイトボードで脅威モデルを描くときに言う冗談のようだ。

しかし、そんなことが実際に起こると、まったく笑えない。

2024年12月、ベルギーの暗号インフルエンサーStéphane Winkelの妻が誘拐された。2025年5月、別の暗号通貨富豪の父親が指を切断された。Ballandの事件は、より大きなトレンドの一部に過ぎない。

フランスの内部保安専門家がインタビューでこう語った：「これらの事件の手口はどれも同じです。同一犯かどうかは調査が必要ですが、この業界がプロの誘拐犯の狩場になっていることは確かです」

問題は：獲物のリストはどこから来るのか？

2020年に流出した27万件の自宅住所は、今なおダークウェブで流通している。それは普通の漏洩データではない。それは「この人物は暗号通貨を保有している」とラベル付けされた住所リストであり、その中の資産規模は購入したLedgerのモデルからおおよそ推測できる。最も高価なモデルを買った人は、おそらく最も多くのコインを持っている人かもしれない。

ある意味、Ballandの遭遇はLedger自身が蒔いた種だ。

こう言うのは重すぎるかもしれない。結局のところ、Ledgerが積極的にデータを誘拐犯に渡したわけではない。しかし、「セキュリティ」を核心的な売りとする企業が、顧客の自宅住所さえ保護できないとき、自分にはまったく責任がないと胸を張って言うのは難しい。

400億ドルの論理

これまで多くのネガティブな点を述べてきたが、今度はなぜウォールストリートが依然としてLedgerを支持するのかについて話そう。

答えはたった一語：FTX。

2022年11月、FTXが崩壊し、3200億ドルの評価額が一夜にしてゼロになった。数十万のユーザーの資産がそのブラックホールに凍結され、今も取り戻せていない。

「鍵を持たなければ、コインも持たない」というありきたりなスローガンが、突然、血みどろの現実教育となった。

しかし、ハードウェアウォレットの需要はその後急騰し、Ledgerはこの市場で唯一真のブランド認知度を持つプレイヤーだ。BSCNの報道によれば、同社は50％から70％の市場シェアを占めている。Ledgerは1000億ドル相当のビットコインを保管していると主張しており、これは世界のビットコイン総時価総額の5％に相当する。

さらに重要なのはタイミングだ。

2025年、暗号企業はIPOを通じて340億ドルを調達した。CircleとBullishはそれぞれ100億ドル以上を調達した。BitGoは2026年最初の上場暗号企業となったばかりだ。Krakenは2000億ドルの評価額で上場を待機している。

これはエグジットの宴であり、Ledgerはこの食卓を逃したくない。

創業者はキャッシュアウトしたい、VCはエグジットしたい、そしてビットコインバブルに沸くセカンダリー市場は、「暗号」というラベルの付いた株式なら何でも買おうとしている。

『Market Growth Report』のデータによると、2026年の世界の暗号通貨ハードウェアウォレット市場規模は9億1400万ドルで、2035年には約127億ドルに達すると予測されており、予測期間中の年間複合成長率は33.7％である。ハードウェアウォレットの普及が加速すれば（ビットコインETFと機関投資家の関心はその可能性が高いことを示している）、Ledgerはこの成長機会を捉え、有利な立場を占めることになる。

そして400億ドルの評価額は、「暗号資産保管インフラ」というナラティブに対応している。投資家が買っているのはハードウェア企業ではなく、この業界で唯一ブランド認知度のある「デジタル金庫」なのだ。

言い換えれば、評価額はナラティブによって決まり、ビジネスによって決まるのではない。