1. MENU
  2. >詐欺対策安全生活部
  3. >2026年の記事

スマホが乗っ取られるフィッシングアプリの恐怖|不正アプリの見分け方

公開日:

※当サイトはアフィリエイトプログラムを利用しています。

スマホが乗っ取られる!不正アプリの見分け方

「怪しいリンクは開かない」「アプリは公式ストアからだけ入れる」。スマートフォンのセキュリティ対策として、長年そう言われてきました。
しかし現在、その常識は大きく揺らいでいます。

Google PlayやApp Storeの審査をすり抜けた不正アプリが発見されるケースが相次ぎ、公式ストアで配布されていたアプリが後からフィッシングアプリやスパイウェアへ変貌する事例も報告されています。

さらに生成AIの発達によって、本物の利用者が書いたように見えるレビューが大量生産されるようになり、「高評価だから安心」という判断基準も通用しなくなりつつあります。

フィッシングアプリに騙されると、ログインIDやパスワードだけでなく、SMS認証コード、クレジットカード情報、位置情報、さらにはスマホの操作内容まで盗み見られる可能性があります。

この記事では、フィッシングアプリとは何か、実際に起きた事件、被害の仕組み、公式ストアでも安心できない理由、そして見破るための具体的な対策まで詳しく解説。

詐欺の心配一切なし!ワクワクメールへGO

フィッシングアプリとは

フィッシングアプリとは、偽のログイン画面や入力フォームなどを表示してID・パスワードやクレジットカード情報を盗み取る悪意あるアプリ、不正なアプリを指し、多くは正規サービスを装ってインストールや情報入力を促します。

フィッシングアプリの犯行グループが狙うのは、誰もがスマホに入れているユーザー数が圧倒的に多い有名サービスです。

Amazon、楽天、メルカリといった大手EC・フリマアプリ、三菱UFJや三井住友などのメガバンク、あるいは各種クレジットカード会社、さらにはMicrosoftやGoogle、Appleといった、スマホのインフラそのものを提供しているブランドの偽物、いわゆるクローンアプリを制作し、公式ストアに紛れ込ませています。

ユーザー数が数千万人にのぼるサービスであれば、ランダムに罠を張っておくだけで、誰かしらが「いつも使っているアプリの最新版かな?」「便利な連携ツールかな」と勘違いしてダウンロードしてくれるから。

  • ・銀行やクレジットカード会社
    ログイン情報を狙う偽アプリ
  • ・宅配便
    「お荷物のお届け」を装った偽の追跡再配達アプリ
  • ・大手ECサイト
    Amazonや楽天市場などの偽アプリ
  • ・暗号資産
    偽のウォレットアプリや取引所アプリ

盗まれる情報はログインID・パスワード、クレジットカード情報にとどまりません。
SMS経由のワンタイムパスワードまで盗まれる点が最大の脅威です。

これにより、強固なパスワードを設定していても口座から勝手に送金される被害が発生します。

公式ストアをすり抜ける手口

「GoogleやAppleが審査しているのに、なぜそんな大手の偽物がストアに並ぶの?」と疑問に思うかもしれません。

犯行グループは、ストアへの審査提出時には、「電卓アプリ」や「シンプルなQRコードリーダーアプリ」など、あくまで無害なアプリとしてプログラムを組んでいます。
そのため、ストア側の自動・手動審査をすんなり通過してしまうのです。

本当の恐怖は、ユーザーがそれをスマホにインストールした後に始まります。
アプリが起動すると、裏側でこっそり犯人のサーバーにアクセスし、「本物の大手サービスを騙るフィッシング画面」や「スパイウェアプログラム」を後から追加でダウンロードして、アプリ自体を豹変させる手口を使っているのです。

このため、公式ストア側も事前に検知しきれず、ユーザーのスマホの中でだけ悪質なフィッシングアプリへと進化を遂げます。

公式ストアの審査をすり抜ける具体的な仕組みなどは、正にこちらにまとめた「Anatsa」が典型例。

Google Playストアのマルウェア脅威【Anatsa】とあなたもできる対策

不審感を抱かせないレビュー

私たちが公式ストアで新しいアプリを選ぶ際、参考にするのが他のユーザーのレビュや星の数です。
しかし現在、この信頼の拠り所であるレビュー機能が、生成AIによって完全にハッキングされています。

以前はサクラレビューといえば、外国人グループが翻訳ツールをそのまま使ったような、どこかおかしい日本語や、不自然な敬語、同じような定型文の使い回しが多く、注意深く見れば簡単に見破れました。

最新の高度な生成AIが書くレビューは全く違います。
犯行グループはAIに対して、「20代の日本の会社員になりきって、このアプリを1週間使った感想を書いて」「主婦の目線で、家事の合間に使えて便利だという褒め言葉を作って」といった指示を出しています。

その結果、AIが生成するレビューはこのように自然で、多様性に富んだものに。

「仕事用にPDFをスキャンしたくて入れました。動作も軽くてシンプルで使いやすいです!おすすめ。」
「無料アプリなのに、ウザい動画広告が少なくてストレスなく使えます。神アプリ!」
「最初は少し迷ったけど、直感的に操作できるようになりました。アップデートに期待して星4つで。」

このように、あえて「完璧すぎないリアルな文章」や「星4つのちょっとした要望付きレビュー」までAIに書き分けさせることで、人間の目には本物のユーザーが自発的に書いた温かみのある評価にしか見えなくなっています。

さらに、犯行グループはこれを数件ではなく、何百、何千件という規模で短時間に自動生成し、ストアの評価を一気に「★4.6」などの高評価へ押し上げます。

ストアのプログラムも「たくさんの人が高く評価している優良アプリだ」と判断し、検索結果の上位に表示してしまうため、ユーザーは一切の不審感を抱かないということに。

目次へ

日本の事件と被害想定

古い事例もありますが、フィッシングアプリをインストールしてしまうとどうなるのかを端的にあらわしたものなので、被害想定として参考になります。

日本で実際に起きた不正アプリ事件

sagawa.apk(2018年〜、日本)
日本で最も広く知られた不正アプリ事例のひとつで、手口の原型はすでにこの頃から存在していたことになります。

SMS経由で偽の不在通知が届き、偽サイトへ誘導。「sagawa.apk」という偽アプリをダウンロードさせ、インストールするとウイルスに感染。
犯人はアプリを通じて電子商品券の番号を不正取得・現金化する手口を使い、請求は端末の所有者に届く仕組みになっていました。

さらに悪質だったのは、インストールされたスマホからSMSが自動送信されて被害が連鎖拡大する仕組みになっていて、バンキング型トロイの木馬「FAKESPY」が組み込まれ、ネットバンキングの情報まで抜き出す機能を持っていたのです。

FakeSpy(2018年〜2020年)
Android端末向け不正アプリ「FAKESPY」は、SMS(スミッシング)で対象を偽のウエブページに誘導し拡散する手口を取り、端末に保存されているSMS・アカウント情報・連絡先・通話記録・ユーザーの入力情報を収集

さらに収集した情報をもとに、正規アプリに偽装したバンキングトロイの木馬を感染端末に送り込む二段階の手口を取っていました。

FakeSpyの新バージョンは日本を含む世界各国の郵便局・輸送サービスのアプリになりすます形で拡張。
JPCERTも佐川急便を装ったスミッシングとして注意喚起を出しています。

Jppost.apk(2019年〜)
警視庁サイバーセキュリティ対策本部と日本サイバー犯罪対策センターが注意を呼びかけた事例。

Android端末では偽サイトから偽アプリをインストールさせ、端末内の電話帳情報を攻撃者のサーバーに送るとともに、同じ偽SMSを被害者の端末から大量送信させるワーム的な動作が確認されています。

偽サイトは郵便局の公式サイトを模倣し、「Jppost.apk」というファイルのインストールを促す。
インストールすると、スマホ内のデータやSMSが窃取・不正使用される可能性があるのです。

FluBot(2020〜2022年、欧州中心)
FedEx・DHL・Correosなどの荷物追跡アプリに偽装して拡散したAndroidマルウェア。
スミッシングで拡散し、インストールするとアクセシビリティサービスへのアクセスを要求。

オンラインバンキングのアカウント情報や暗号資産アプリの認証情報を窃取しました。

さらに、感染端末の連絡先を悪用して同じマルウェアのリンクを含むSMSを自動送信し、被害を自己増殖的に拡大していく仕組みでした。
2022年に欧州11か国の合同捜査で摘発・壊滅。

日本への直撃は限定的でしたが、宅配偽装+SMSワーム拡散という手口は上記の佐川・日本郵便案件と構造的に同じです。

SpyNote
世界ではさらに深刻な不正アプリも確認されています。「SpyNote」と呼ばれるAndroid向けのマルウェアは、壁紙アプリや便利ツールを装って忍び込み、インストールされると画面の録画・通話の傍受・SMSの読み取りをバックグラウンドで行う。

さらに、自分自身のアンインストールを妨害する機能まで備えており、一度入り込まれると削除すら困難になる。
現時点で日本での被害報告は公開されていませんが、デジタル脅威に国境はありません。

Anatsa
上でも紹介した「Anatsa」は、2020年に初めて発見されたバンキング型トロイの木馬です。

Anatsaは、Google Play ストアにある、ごく普通の、誰もが使いそうな便利ツールになりすまして一般ユーザーを油断させていました。
PDFを表示・編集するリーダーアプリや、お馴染みのQRコードスキャナーアプリ、スマホの動作を軽くするクリーナーアプリといったものです。

これらはストアに並んでいる段階、そしてユーザーがインストールした直後までは、ただの便利なアプリとして正常に動作します。

しかし、スマホに入り込んでしばらく経つと、アプリは「最新版にアップデートしてください」などと嘘の通知を出し、ストアの目の届かない外部サーバーから、本来の目的である「Anatsa」の不正プログラムを裏でダウンロードするのです。

現在進行形で続いている
佐川急便・ヤマト運輸の公式サイトによる注意喚起の更新が2025年まで継続しており、被害が続いていることが伺えます。
2025年9月時点でも類似の偽SMSが出回っている状態。

NTTドコモも「佐川急便・日本郵便などからの不在通知を装ったSMSで偽サイトに誘導し、不正なアプリをインストールさせる事例が報告されている」として、継続的に注意を呼びかけています。

2018年に発覚した手口が、少なくとも2025年以降も形を変えながら続いています。

不正アプリによる被害想定

不正アプリによる被害想定

上記の事件は、不正なアプリをインストールすると何が起きるかを示しています。ここで少しかみ砕いてみますね。

不正なアプリをインストールするとスマホを乗っ取られ、スマホを遠隔操作されることになります。
冒頭で触れたように、盗まれる情報は、ログインIDやパスワード、クレジットカード情報だけではありません。

SMS収集 → 届いた認証コードを盗み見される
スマホに届いたSMSをリアルタイムで読み取られれば、銀行やECサイトが送ってくるワンタイムパスワードが犯人の手に渡る。
パスワードをどれだけ複雑にしていても、この認証コードを突破されると口座から勝手に送金される。

通話録音 → 電話の内容を録音される
通話が録音されていれば、銀行に電話して本人確認をした内容まで犯人に筒抜けになる。

GPS追跡 → 居場所を常時把握される
居場所が常時把握されていれば、スマホの外の行動まで監視される。

キーストローク記録 → 画面で打ち込んだ文字がすべて記録される
画面に打ち込んだ文字がすべて記録されていれば、新しく設定したパスワードも、入力した瞬間に盗まれる。変更した意味がなくなる。

画面録画 → スマホの画面をそのまま覗き見される
画面をそのまま覗き見されている状態では、何をどこで操作しているかが丸見えですよね。
アプリを開いた瞬間から、すべての操作が犯人に見えているのです。

偽サイトであれば、ブラウザのタブを閉じればそこで接続は切れます。
しかし、アプリは一度スマートフォンの中に入り込むと、あなたがアンインストールするまで、電源が入っている限り裏で動き続けます。

さらにSpyNoteにはアンインストールを妨害する機能まで備わっているので、「怪しいと気づいて削除しようとしても削除できない」という状況までもが起きます。

詐欺の心配一切なし!
信頼のワクワクメールへGO

目次へ

フィッシング手順4ステップ

不正なアプリをあなたにインストールさせ、情報や金銭を盗むまでの手順は次の4ステップとなります。
SMSやメールなどによるフィッシングと、公式ストアで直接探す場合を想定しています。

SMSやメールなどによるフィッシング

SMSやメールなどによるフィッシングから不正なアプリへ

SMSやメールなどによるフィッシングは、最初の段階でフィッシングと気づけるかどうかが大切です。

ステップ① 緊迫感を煽る誘導
始まりは、日常的に届くSMSやメール、あるいはSNS上の広告です。

「お客様の口座に不正なアクセスが検知されました。今すぐご確認ください」
「お荷物をお届けに上がりましたが、宛先不明のため持ち帰りました。以下よりご確認ください」

このように、あなたに「急がなければ」「確認しなければ」と、焦りから冷静さを失い、記載されたURLをクリックしてしまいます。

ステップ② インストールの強要
リンクをクリックすると、本物そっくりに作られた偽のWebサイトが表示されます。
そこには次のような案内が表示されます。

「安全な手続きのために、当社の最新版セキュリティアプリを導入してください」
「配送状況を追跡するため、専用アプリをダウンロードしてください」

あなたは「公式サイトが推奨しているなら」と信じてしまい、アプリをダウンロードしてしまいます。

ステップ③ 悪魔の権限(パーミッション)要求
アプリをインストールして起動する際、画面に「〇〇へのアクセスを許可しますか?」という確認画面が表示されます。
アプリをインストールすると何らかの許可を求められるのは、正規のアプリでもあること。

ここでフィッシングアプリは、通常のアプリではあり得ない「SMSの読み取り権限」や「他のアプリの上に重ねて表示する権限(オーバーレイ権限)」を求めてきます。
多くのユーザーは、いつものことだと深く考えずに「許可」を押してしまいますが、これが致命的な一歩となります。

ステップ④ 情報窃取とサイレント送金
権限を手に入れたフィッシングアプリは、裏で牙を剥きます。

例えば、あなたが本物の銀行アプリを起動した瞬間、フィッシングアプリがそれを検知。
本物の画面の真上に、寸分たがわぬ偽のログイン画面を重ね、被せるように表示するオーバーレイ攻撃を仕掛けます。

あなたは本物のアプリに入力しているつもりでIDとパスワードを入力しますが、そのデータはそのまま犯人のサーバーへ送信されます。
さらに、銀行から送られてくるSMS認証コードもも裏で盗み見られて転送されるため、あなたが気づかないうちに口座からお金が消えていくのです。

公式ストア検索でのフィッシング

公式ストア検索から不正なアプリへ

公式ストアの安全神話が崩れた今、不正なアプリがあなたを罠にかけ、情報や金銭を盗むまでの手順は次の4ステップとなります。
ストアの中で自ら探している段階から、すでに罠は始まっています。

ステップ① 安心感と検索の隙を狙う
始まりは、あなたが「いつも使っている大手サービスのアプリをスマホに入れよう」と、Google Playなどの公式ストアで検索窓にサービス名を入力した瞬間です。

犯行グループは、誰もが知る有名ECサイトやメガバンク、配送業者などの公式を騙るクローンアプリや、「PDFリーダー」「QRコードリーダー」といった定番の便利ツールをストア内にあらかじめ仕込んでいます。

検索結果の上位に、本物そっくりなアイコンや名前の偽アプリが広告として表示されたり、キーワード検索に引っかかったりします。
そのため、「公式ストアの中にある検索結果だから大丈夫だろう」という先入観から、自らそのアプリをタップしてしまいます。

ステップ② AIによるサクラ評価
アプリの詳細画面を開くと、そこには「★4.6」といった高い総合評価と、何百件もの好意的なレビューが並んでいます。

「シンプルで使いやすい」「広告がなくておすすめ!」といった、いかにも本物のユーザーが書いたような極めて自然な日本語の口コミが並んでいるため、あなたは不審感を抱くことなく「評判が良い優良アプリなんだ」と信じて、ダウンロードを自ら押してしまいます。

しかし、その自然に見えたレビューの正体は、生成AIを使って大量に自動生産されたサクラ評価です。
人間の目には本物に見えるよう、上手く書き分けられた文章で信頼性を完全に偽装。

ステップ③ 悪魔の権限(パーミッション)要求
アプリをインストールして起動する際、画面に「〇〇へのアクセスを許可しますか?」という確認画面が表示されます。
アプリを導入した直後に何らかの許可を求められるのは、正規のアプリでもよくある光景です。

しかし、ここでフィッシングアプリは、そのアプリ本来の機能には全く必要のない、過剰な権限を求めてきます。
具体的には、「アドレス帳へのアクセス」「位置情報の取得」、そして最も危険な「SMSの読み取り権限」や「他のアプリの上に重ねて表示する権限(オーバーレイ権限)」など。

多くのユーザーは、公式ストアから入れたアプリだからと油断し、いつもの手続きのつもりで深く考えずに「許可」を押してしまいますが、これがスマートフォンを乗っ取られる致命的な一歩となります。

ステップ④ スパイウェア化
権限を手に入れたアプリは、公式ストアの審査時には隠していた牙を剥き、スパイウェアへと豹変します。

例えば、あなたが普段使っている本物の銀行アプリやECサイトを起動した瞬間、この不正アプリがそれを検知。
本物の画面の真上に、寸分たがわぬ偽のログイン画面を重ね、被せるように表示するオーバーレイ攻撃を仕掛けます。

あなたは本物のアプリに入力しているつもりでIDやパスワード、クレジットカード情報を入力しますが、そのデータはリアルタイムに犯人のサーバーへ送信されます。

さらに、最後の砦である銀行からのSMS認証コードが届いても、事前に与えてしまった「SMS読み取り権限」を使って、アプリが裏で認証コードを盗み見し、あなたに通知が届く前に犯人側へ転送してしまいます。

これによって、二要素認証すら完全に無効化され、あなたがスマートフォンを触っていない時間に、口座からお金が跡形もなく消えていくのです。

目次へ

Web型フィッシングより危険な理由

比較項目 Web型(偽サイト) アプリ型(フィッシングアプリ)
被害の継続性 タブを閉じれば終了 削除するまで常駐し続ける
二要素認証への対応 突破困難 SMS傍受で無効化される
公式ストア経由の場合 スマホが警告を出す スマホは何も警告しない
ウイルス対策ソフト 比較的検知しやすい 難読化・コード頻繁更新で検知をすり抜ける

目次へ

見破るための5つの防衛策

1️⃣開発元(デベロッパー名)を確認する
アプリ名が本物そっくりでも、開発元の名前が個人名だったり、全く聞いたことのない怪しい組織名だったりすることがあります。
有名なサービスであれば、必ず開発元の公式サイト等からストアへのリンクを辿ってインストールするのが確実です。

2️⃣低評価レビューを必ず読む
AIで★5のサクラレビューが水増しされていても、★1〜2の低評価に「勝手に裏で通信している」「関係ない権限を求められた」といった被害者の告発が埋もれているケースがあります。
平均評価だけでなく、低評価の声を必ずチェックしてください。

3️⃣権限(パーミッション)を厳しく審査する
アプリの機能と釣り合わない権限要求は不正のサイン
宅配追跡アプリがSMSの閲覧を求めきたり、電卓アプリが連絡先やカメラ・マイクを求めてくる・・・といったことです。

少しでも不自然に感じたら許可しないを選び、アンインストールしてください。

4️⃣使っていないアプリは定期的に削除する
後からのアップデートで悪質なスパイウェアへ変貌するケースもあるので、使わなくなったアプリはこまめにアンインストールしてください。

5️⃣OSを常に最新にする
AndroidやiOSのアップデートには、不正アプリがシステムの脆弱性を突いてSMSを盗み見したり他のアプリの画面を乗っ取ったりするのを防ぐ修正が含まれています。

目次へ

アプリをインストールしてしまったときの対処法

怪しいアプリを入れてしまったかもしれないと気づいたら、落ち着いて、でも素早く行動してください。

機内モードにして通信を遮断
アプリが犯人のサーバーと通信するのを物理的に止めます。

アンインストール
「設定」>「アプリ」を開き、アプリを削除します。

パスワード変更・口座を凍結
すでに情報が盗まれている可能性があるため、必ず別の端末から対象サービスのパスワードをすべて変更し、銀行やカード会社に連絡して利用を一時停止してもらいます。

最後に
フィッシング詐欺は怪しいサイトを見極める時代から、公式ストアのアプリであっても疑う時代へと完全にシフトしています。
アプリを入れる前・起動した後に、次の2点を確認する習慣をつけてください。

不自然な権限を求めてこないか?
低評価レビューに警告は書かれていないか?

この「一瞬の疑い」が、AIなどで進化を続ける詐欺から、あなたの資産と個人情報を守る最大の盾になります。
そしていつも書いていますが、あなた自身で判断できないなら、アプリをインストールするのはやめましょう。

あわせて読みたい

バイブコーディングとは?AI時代のアプリ開発に潜むリスクと正しい向き合い方

フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは

Web3フィッシング詐欺の手口と対策|承認一つで全資産を失う罠と防衛習慣

目次へ