スマホには名前や住所、写真など多くの個人情報が保存されています。また、電子マネーやクレジットカードの情報を保存しているケースも多く、紛失や盗難に遭えば大きな被害につながる可能性も高まるでしょう。ただ、端末は手元にあっても個人情報の窃取や不正利用されるリスクはゼロではありません。その理由の多くがスマホの乗っ取りによるものです。
本記事では、スマホの乗っ取りとは何か、その概要や乗っ取りによって起こる被害事例を見つつ、防止するための対策をお伝えします。
目次
スマホの乗っ取りとは?
スマホの乗っ取りとは、第三者によって自身のスマホを遠隔操作されたり、さまざまな機能が使えなくなったりする状態になることです。乗っ取られることでスマホの持ち主は個人情報の窃取されたり、インターネットバンキングから無断で送金されたりする被害を受けます。
乗っ取りといえば以前はパソコンが一般的でした。もちろん現在においてもパソコンの乗っ取りもあるものの、スマホであらゆることができるようになったことで、スマホの乗っ取りが増加傾向にあります。
スマホ乗っ取りによる主な被害
スマホを乗っ取られてしまうことで起こる主な被害は次のとおりです。
個人情報の窃取
スマホには多くの個人情報が保存されているため、乗っ取られてしまうことでその個人情報が窃取されてしまいます。また、電話帳から家族や友人の個人情報を窃取される可能性も高まり、本人以外にも被害が及んでしまうケースも少なくありません。
盗撮や盗聴
スマホの乗っ取りにより、悪意の第三者が遠隔操作でスマホを操作し、持ち主の盗撮や電話および日常的な会話を盗聴するなどして脅迫の材料に使うリスクがあります。
また、位置情報を利用して居場所の特定をされてしまう可能性もあり、ストーカー被害につながってしまうリスクも高まるでしょう。
なりすまし
SNSのアカウントを使って本人になりすまして勝手に投稿をする、ECサイトのアカウントを使い高額な買い物をするなどもスマホ乗っ取りにより可能です。
また、フィッシングメールの送信元として使われてしまうリスクもあります。本人と家族や友人間での信頼関係が崩れたり、トラブルの元になったりするリスクも高まるでしょう。
不正送金・キャッシング・不正決済
インターネットバンキングのアカウントを使って口座から送金される、クレジットカード情報を使いキャッシングされるなどです。また電子マネーの不正利用のリスクもあり、金銭的に大きな損失につながることもあります。
IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威2024(個人)」でも、「クレジットカード情報の不正利用」や「スマホ決済の不正利用」といった金銭的被害を及ぼす脅威が挙げられています。
情報セキュリティ10大脅威 2024 【個人】
スクロールできます
「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|
インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
クレジットカード情報の不正利用 | 2016年 | 9年連続9回目 |
スマホ決済の不正利用 | 2020年 | 5年連続5回目 |
偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
出典:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
スマホ乗っ取りの主な手口
さまざまな被害につながるスマホの乗っ取りを行う主な手口は次のとおりです。
SIMスワップ
SIMスワップとは、端末の契約者情報を記録したSIMを利用者が使うスマホとは異なる端末に交換してしまうものです。具体的には次のような方法で交換を行います。
- 攻撃者がスマホ利用者の個人情報をなんらかの形で不正入手し、身分証明書を偽造する
- 攻撃者はスマホ利用者の使う携帯電話会社の店舗に偽の身分証明書を持って「SIMを紛失したので新しいSIMを発行して欲しい」と伝える
- 新しいSIMカードを入手した攻撃者は自身の持つスマホにSIMカードを挿入する
新しいSIMカードが発行され、攻撃者のスマホに挿入されると、その時点で本来の利用者が使っているスマホでは通話ができなくなります。そして、スマホ利用者が不審に思い、携帯電話会社に訪問した際にはすでに攻撃者により不正送金をされてしまっているのです。
この手口は個人ではなく組織的に行われるケースが多く、2022年には全体で1億円を超える被害がありました。
2023年以降は、警察の指導もあり携帯電話会社の本人確認強化が行われ被害も減少しています。ただ、店舗によっては本人確認が甘いケースもありまだまだ注意は必要です。
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
不正アプリ
不正アプリをインストールさせることでスマホを乗っ取る手口です。スマホでは、写真加工、動画編集、SNS、ゲームなどさまざまな機能を拡張させるにはアプリの活用が欠かせません。それを利用し、アプリインストール後にアプリに組み込まれたマルウェアがスマホに感染し乗っ取りを行います。
具体的には、メールやSNSなどにアプリダウンロードのURLを記載して誘導するケースが一般的です。また「この端末はハッキングされました」「乗っ取られました」など偽のアラートを出し不安を煽り、削除のためとしてアプリをインストールさせるケースも増えています。
不正アプリはスマホ乗っ取りの手口として古くからある手法です。前述した「情報セキュリティ10大脅威2024(個人)」では2016年から9年連続でランキングしています。
サイバー攻撃
サイバー攻撃はIDやパスワードを予測してログインするものです。主な攻撃手法としては次の2つが挙げられます。
総当たり攻撃
総当たり攻撃とは、スマホのロック画面でIDとパスワードを総当たりで入力し合致する組み合わせを見つけ出すものです。特定に相手に対して行う場合もあれば、無作為に抽出した相手に対して行う場合もあります。
辞書攻撃
辞書攻撃とは、誕生日やパスワードでよく使われる単語をリスト化して順番に入力していくものです。これも総当たり攻撃同様、特定の相手、無作為の相手どちらにも使われます。
どちらの攻撃もプログラムを作成して自動的にIDやパスワードを入力するスクリプト、多数のコンピュータを乗っ取り、攻撃に利用するボットネットといった方法で攻撃を仕掛けます。そのため、複雑なID、パスワードを設定しても見破られてしまうケースが存在します。
2要素認証などよりセキュリティの高い認証方法を利用することが、サイバー攻撃への有効策です。
フィッシング
フィッシングとは、メールに記載されたURLをクリックし、偽の金融機関やECサイトなどに誘導し、ログインする際に入力する個人情報を窃取するものです。
また、個人情報を入力しなくても、偽のWebサイトに訪問しただけで自動的にスマホにマルウェアがインストールされてしまう手口もあります。
偽Wi-Fi
公衆Wi-Fiを使った手口です。無料で使えるWi-FiとしてWi-Fiスポットを偽装し、接続した際にスマホに保存した個人情報を窃取します。
また、正式なWi-Fiスポットでも安心はできません。攻撃者がWi-Fiスポットとスマホ利用者の間に入り込み、通信を盗聴・改ざんによりスマホに保存した情報を窃取するMITM(Man-In-The-Middle Attack:中間者攻撃)といった手口もあります。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、これまで紹介した手口とは異なり、アナログな手法でIDやパスワードを窃取する方法です。
具体的には、
- 本人になりすましてネットワーク管理者に電話する
- ネットワーク管理者になりすまして本人に電話をして聞き出す
- 本人の近くにいて肩越しにログインする際入力を盗み見する(ショルダーハッキング)
などです。
また、ゴミ箱を漁って情報が記載された資料を見つけ出す(トラッキング)といった方法もあります。
先述したフィッシングもソーシャルエンジニアリングの一つとされています。
ブルースナーフィング
ブルースナーフィングとは、Bluetooth対応デバイスに勝手にアクセスしてスマホに保存した情報を窃取するものです。
無線接続であるBluetoothは、利用している場所から半径10m以内であれば、悪意を持ったものに侵入され、マルウェアをインストールされるリスクがあります。ブルースナーフィングはこれを利用して個人情報を窃取する手口です。
これまでスマホでBluetooth接続を使う機会は、それほど多くはありませんでした。しかし近年、Bluetooth接続を使ったワイヤレスイヤフォンの人気が高まったことで、注意が必要になっています。
スマホを乗っ取られていないか確認する方法
スマホを乗っ取られてしまえばすぐに大きな被害を受ける可能性は増大するため、一刻も早く対策が欠かせません。まずは少しでも怪しいと感じた際にやるべきことについて解説します。
直近でインストールしたアプリを確認する
スマホが不可解な動作をした場合、まずは直近でインストールしたアプリのなかに覚えがないものが存在しないか確認しましょう。インストールした覚えのないアプリを見つけた場合は一旦削除します。同時にセキュリティアプリを入れ、ウイルスに感染していないかもチェックしましょう。
インターネットバンキングの残高を確認する
インターネットバンキングから残高を送金されてしまえば金銭的に大きな損失になります。そのため、乗っ取られたかどうか不安なことがあった際にはすぐにインターネットバンキングの残高を確認しましょう。また、ECサイトで身に覚えのない購入がないかどうかの確認もかならず行います。
スマホを購入した店舗に確認する
急に通話ができない状態になったのであれば、SIMスワップに遭った可能性があります。すぐにスマホを購入した店舗でSIMカードの再発行を行ったかどうかを確認します。
SNSのログイン履歴を確認する
スマホを乗っ取られた際のわかりやすいサインの一つがSNSのログイン履歴です。多くのSNSでは、普段ログインをしない場所でログインをすると、登録しているメールアドレスにログインをしたことの通知が届きます。身に覚えのない場所からログインしたことの通知が来た場合は、乗っ取られた可能性があります。
通信量を確認する
不正アプリをインストールした場合、攻撃者が遠隔操作をすることで通信量が普段よりも多くなっている場合があります。GB単位で通信量が一気に増加していれば、乗っ取りを疑ってもよいでしょう。
スマホが乗っ取られた場合の対策
前述した確認作業をした結果、スマホが乗っ取られていると感じた場合、次のような対策が必要です。
アカウントの変更をする
乗っ取られたと感じたらまず、すべてのアカウントのID、パスワードを変更しましょう。スマホにログインするID、パスワードのほか、メール、SNS、ECサイトなど大きな被害につながるものはすぐに変更します。できるだけ複雑かつ強固なパスワードに変更し、2要素認証が可能なアプリであれば、かならず利用しましょう。
また、インターネットバンキングとクレジットカード会社へはすぐに連絡を取り、アカウントを停止するよう依頼してください。
返金・キャンセル要求を行う
不審なアプリに課金されている可能性があるため、削除する際にはかならず退会手続きを取るようにしましょう。
また、スマホのOSがAndroidであればGoogle Play ストア、iOSであればApp Storeに連絡をして事情を説明し、課金分の返金要求をします。そのほか、ECサイトで高額商品を購入されていた場合もキャンセルが可能かどうかを確認してください。
モバイルデータ通信もWi-Fiもオフにする
スマホを乗っ取られ悪意のあるマルウェアに感染してしまうと、勝手にインターネット接続の機能をオンにされ情報窃取や不正使用のリスクが高まります。
これを防ぐにはモバイルデータ通信もWi-Fiもオフにすることです。一時的にではあるものの、勝手にインターネット接続されるリスクは低減します。それでもインターネット接続が行われるようであれば、重要なデータのバックアップを取ったうえで初期化をすることの検討も必要です。
乗っ取りの専門家に相談する
自身での対策が不安な場合は、乗っ取りの専門家に相談しましょう。また、攻撃者から脅迫を受けた場合は速やかに警察に通報します。
不審なメールやアプリは不用意に触らない
スマホ乗っ取りを防ぐには、OSやシステムを常に最新の状態に保つ、怪しいWi-Fiスポットで接続しない、セキュリティ対策ソフトを導入するなどが有効です。
ただし万全の対策をしていても、不審なメールに記載されたURLをよく確認せずクリックしたり、不審なアプリを安易にインストールしたりすれば、乗っ取られる可能性は高まります。
そのため、まずは自身が常に危機意識を持ち、不審なメールやアプリには触れないようにすることが重要です。それでも乗っ取られた場合は、本記事の内容を参考に迅速に対処し、被害を最小限に抑えられるようにしましょう。
安全で簡単なログイン管理を実現する「GMOトラスト・ログイン」
使用するアプリや社内システムのID・パスワード管理にお困りではありませんか?「GMOトラスト・ログイン」は、シングルサインオン(SSO)機能を提供し、Google WorkspaceやMicrosoft 365、Salesforceなど、さまざまなサービスへのアクセスを一元化します。
- 多要素認証:追加のセキュリティ層を提供し、情報漏洩を防ぎます。
- 簡単導入:基本機能は無料で、即日導入が可能です。
- 豊富な連携アプリ: 国内IDaaSで連携アプリ数No.1を誇ります(※)。
今すぐ、業務の効率化とセキュリティ強化を実現しましょう。詳細はこちらからご覧ください。
※国内に本社をもつIDaaSベンダー企業の公開情報をもとにした自社調べ。2023年10月1日時点。