Dr.セキュリティ®

【新サービス】脆弱性診断(セキュリティ診断)のサービスを受注開始しました
→ 費用を抑えるコツの記事も公開中です

社名変更のお知らせ - 旧社名:LTセキュリティ から、新社名:Dr.セキュリティ へ変更しました

ホワイトハッカーが教える
スマホ乗っ取りの実態と確認方法

『スマホが乗っ取られてるかも知れない…』
というご不安を感じた方へ、正しい知識をもって適切に対処して頂くために
スマホの乗っ取りに関する近時の実態と、対策方法/確認方法をご案内致します。

※お知らせ※
【2024年4月22日追記】今後の動向に関する情報を本文内に追記しました。

この記事を書いた人

Dr.セキュリティ®
代表技術者 冨田 圭介

DFプロ認定資格保有
① CDFP-B(基礎資格)
② CDFP-P(実務者資格)
冨田 圭介

スマホの乗っ取りの概略

当記事は、詳しく説明しようという思いからとても長文になっております。じっくり読む時間がない方も多いと思いますので、まず初めに要点をかいつまんだ概略をご説明します。

スマホ乗っ取りの概略図

  • OSやハードウェアの乗っ取り = スマホを遠隔で完全にコントロールできる状態
  • その他の乗っ取り = スマホの一部の機能だけをコントロールできる状態
というようにイメージしてください。
上図の通り、スマホのOSやハードウェアが乗っ取られる可能性は低いです。つまり遠隔で完全にフルコントロールされるリスクは低いです。(その理由は後述します)

例外的に、「スマホを直接触られてハッキングされた。」というような場合、例えば寝ている間とか紛失した際などにスマホを直接操作された場合には、残念ながらフルコントロールのレベルで乗っ取られてしまう危険性は0(ゼロ)ではありません。しかし、「遠隔で完全に乗っ取られる」というのは極めて例外的ですので、普通の人が普通にスマホを使用している限りまったく気にしなくて良いぐらい発生確率は低いです。

とは言え、上図でオレンジ色に示しているようにOS/ハードウェア以外の部分に関しては乗っ取りのリスクがあります。

  • スマホの中の一部(特定のアプリや機能)だけが乗っ取られることがある。
  • スマホと繋がる/同期する別の箇所が乗っ取られ、その影響がスマホにも及ぶことがある。
このような形のスマホの乗っ取りは珍しいことではなく、運が悪いと誰しもが受けうるリスクです。なかには「よくある」と言えるほど多いタイプの乗っ取りもあります。
これに関して詳しく当記事でご説明いたしますので、お時間がある方はぜひ最後までお読み頂けますと幸いです。

ご不安なときは、フォレンジック調査などの
調査サービスをご検討ください

当社はデジタル・フォレンジックが専門の調査会社です。
スマホに限らずパソコン、サーバ、ネットワーク等のIT環境を広く調査可能です。
情報漏洩などでお困りのときはぜひ当社の調査サービスをご利用下さい。

スマホが乗っ取られているか否か、ご自身でも半信半疑という方が多くいらっしゃいます。
『乗っ取られてる? いやまさか・・・でもやっぱり・・・』というように。
そのようなとき、ほとんどのケースではスマホ本体は無事なのですが、しかし前述のようにスマホの一部や別の箇所が乗っ取られていることがあるので、ぜひ当社の調査サービスをご検討頂けましたら幸いです。

スマホ乗っ取りに関する「ネットの情報」は
信憑性だけでなく鮮度にも要注意

スマホの乗っ取りに関してネットには様々な記事や書き込みが溢れていますが、いたずらに恐怖心を煽る内容も散見します。

また、それらと違う良質な記事の場合でも、公開されたのが何年も前で書かれてある内容が古いということもあります。

誤った情報や古い情報をもとにしてスマホのセキュリティ対策を計画しても、まったく意味のない無駄なことをしてしまう恐れがあります。
特にスマホの乗っ取りに関する情勢は、ある日を境にして突然かつ極端に変化します。
例えば・・・

  • 新たな脆弱性や構造の欠陥などが発覚して、ある日突然に乗っ取り被害が増える
  • セキュリティやインフラでの対策により、ある日突然に乗っ取り被害が減少する
「1年前は効力があった対策が、新たな脆弱性が見つかったため万全ではなくなり、今では意味をなさなくなっていた。」
「流行した手口の乗っ取りが、ベンダー側で防がれるようになり、現在はノーガードでも被害を受けにくくなった。」
ということもあるため情報の鮮度はとても重要なポイントですので、記事が書かれたのはいつなのかを必ずチェックしてください。

当記事の信憑性鮮度

【鮮度に関して】

当記事は2024年2月現在における傾向などを記載しております。スマホの乗っ取りに関しては情報の鮮度がとても重要なポイントなので、「これは2024年2月時点の情報だ」とご留意のうえお読み下さい。
なお、当ページの内容は状況の変化に応じて適宜更新する方針でおります。
※追記した箇所があります(2024年4月22日)

【信憑性に関して】

これを書いている私は『デジタル・フォレンジック』という分野を専門とし、認定試験を受けて専門資格CDFPシリーズのPractitioner(実務者)という資格を取得し、下記のような調査業務をおこなっております。

  • 企業の業務端末およびITシステムのセキュリティに関する調査
  • 情報漏洩事故の原因解明、被害状況確認等のフォレンジック調査
  • 裁判におけるデジタル証拠の収集や立証のためのフォレンジック調査
  • デジタル機器のセキュリティ診断やマルウェア感染確認のための簡易調査
このような調査業務を10年以上おこなっており、これまでに1000台を軽く超えるスマホ関連事案に対応し、その経験に基づいて当記事を書いております。

【 よくある質問 ① 】
スマホが乗っ取られることって本当にあるの?

【回答】
はい。あります。

当ページ最初の方に載せた概略図のとおり、乗っ取られる箇所は複数あります。

  • アプリやサービスの乗っ取り
  • サーバやクラウドの乗っ取り
  • ネットワークやWi-Fiルータの乗っ取り
  • 動作やセッションの乗っ取り
  • データやファイルの乗っ取り
事案ごとに乗っ取られる箇所は様々ですが、しかし依頼者に話を聞くと全部一括りにして「スマホが乗っ取られた!」とおっしゃる方がとても多いです。

サイバーセキュリティに詳しくない方(便宜のため以下では「一般の方」と言います)はサイバー攻撃に関する知識が無いので、正しく言えば乗っ取りではない別の類型に該当する被害状況でも「乗っ取られた」とおっしゃる方が多く、また同様に、正しく言えばスマホではなく「サーバー」が乗っ取られている状況でも、「スマホ」が乗っ取られたとおっしゃる方が多いです。そのような一般の方の認識に合わせて、当記事においてはスマホに関するサイバー被害全般をまとめて「スマホの乗っ取り」として表記しております。

【 よくある質問 ② 】
スマホを乗っ取られるとどうなるの?

【回答】
被害内容は事案ごとに様々ですので一概に言えませんが、下に例示するような被害のいずれか又は複合的な被害が生じ得ます。

  1. 金銭・財産などの侵害や、勝手に買い物される等。
  2. 情報漏洩、データの侵害
  3. 遠隔操作、盗聴、盗撮 ※現在は減少しています
  4. 踏み台、なりすまし、ボット化(他者に対するサイバー攻撃に悪用される)
  5. 他の犯罪に悪用される(詐欺や脅迫など)
  6. 長期間に渡る監視(メール、位置情報、写真などを監視する)
  7. 暴露・誹謗中傷(ネットにプライバシーを書かれる、周囲に吹聴されるなど。)
世の中全体では上記の1.2.4.5.の割合が多いだろうと思いますが、私がフォレンジック調査を担当したケースでは2.6.7.が多かったです。

1.金銭被害等の件数は多いはずなのですが、当社にフォレンジック調査を依頼される方は少ないです。少額な被害のケースでは民間の調査会社に依頼する意義があまり無いからだと思います。(被害額と調査費用が見合わない等)

2.情報漏洩等は最も多いです。乗っ取られたらほぼ全てのケースで何らかの情報を覗き見られます。

4.5.は1.と同様に当社でフォレンジック調査をする機会は少ないですが、例外的に、第一の被害者が踏み台にされるなどしたうえで第二の被害者に損害が生じ、第二の被害者から第一の被害者の責任が追求されている状況において、フォレンジック調査することもあります。

6.長期監視に関して、実はこれ結構多いです。よくあるのは恋人や配偶者から浮気を疑われてスマホを遠隔監視されるというケースですが、その他に元恋人/元配偶者などがストーカー化して引き起こされるケースもあります。そして後者の場合、ただ監視されるだけでなく7.暴露・誹謗中傷などに繋がることもあります。

最後に3.遠隔操作・盗聴・盗撮に関して、これは過去には深刻なリスクでしたが現在では発生確率が大幅に減っていますので、それほど恐れなくても大丈夫です。(盗聴に関しては別の記事「スマホの盗聴の実態と確認方法」で詳しくご案内しております。)

【 よくある質問 ② 】
乗っ取りって一般的によくあることなの?

【回答】
被害内容・箇所によります。
よくある乗っ取りもあれば、滅多にない乗っ取りもあります。

まず先に、滅多にない乗っ取りから説明します。スマホのOSやハードウェアの乗っ取りに関しては、「知らない間に勝手に遠隔で乗っ取られる」というケースはほぼ0(ゼロ)です。完全にゼロではないのですが、普通の人が普通に使用している限り乗っ取りリスクはほぼ無いとみて良いです。

例外的にスマホを直接触られてハッキングされる恐れはありますが、誰にも触らせなければ乗っ取りリスクはほぼ無いです。

また、これは極めて例外的なことですが、非接触かつゼロクリックで乗っ取られる非常に高度なサイバー攻撃が存在しますが、ごく普通の人がそのように高度なサイバー攻撃を受けることはまず無いので、気にしなくて良いと言えます。(これに関しては当記事の後半で少し説明します。また、別の記事「スマホの盗聴の実態と確認方法」でも説明しております。)

次に、よくある乗っ取りについての説明に移ります。先程述べたOSやハードウェア以外の部分に関しては乗っ取りリスクがあり、実際にあちこちで乗っ取り事案が発生しており、知らない間に勝手に遠隔で乗っ取られることも多いです。

乗っ取りの発生リスクに関して分かりやすく説明するため、できるだけ簡単に箇条書きにします。

  1. スマホ自体が乗っ取られることは、可能性はゼロではないが、滅多にない
  2. スマホで使用しているアプリやサービス、サーバ、クラウドが乗っ取られることは、一般的と言えるほどよくある
  3. スマホが繋がるネットワーク機器や他のデバイスが乗っ取られることは、よくある。(詳細は割愛しますが、総務省等による「NOTICE」という注意喚起の取り組みがあることから、侵害件数は相当に多いのだろうと考えられます。)
  4. スマホの処理や通信が乗っ取られることはある。(それが多いのか少ないのかに関しては、ごめんなさい、統計を見たことがないのでわからないです。)
  5. スマホの中にあるデータやファイルが乗っ取られることは、よくある。(他の乗っ取りと牽連して高確率でデータ侵害が発生します)

【2024年4月22日に追記】
今後に懸念されること

Androidスマホの場合、高度なハッキングツールが無償配布されているようです。
そのようなツールが悪用された事案を当社ではまだ対応したことがありませんが、今後に当該ツール(またはその亜種)が普及してしまうと、政府関係者など一部の人だけでなく、世間一般の多くの人たちも脅威にさらされるリスクが生じそうです。当社は引き続き今後の動向に注視してまいります。

iPhoneの場合、現在はまだ安全が確保されていますが、近い将来に状況が大きく変わるおそれがあります。
これまでiPhoneはApple公式のAppストアだけがアプリを配布できる仕組みになっており、Appleによる厳格な審査に基づいたセキュリティ水準が確保されてきましたが、欧州連合(EU)の法律をきっかけにアプリ配布体制が変化することが確定していて、今後はサードパーティのベンダーによるアプリ配布も増えるであろう状況にあり、それに伴ってマルウェア配布のリスクが生じることとなります。

『スマホが乗っ取られている』と誤解してしまいがちな、
スマホ以外の乗っ取りの例

スマホではなく別の箇所が乗っ取られている状況においても、「スマホ自体が乗っ取られている」と誤解されてしまうケースがとても多くあります。そのように誤解されがちな事例を少しご紹介します。

【誤解の事例①】メール漏洩

誤解した状況:スマホのメールが漏洩して身近な者に読まれていることが発覚し、依頼者はスマホ自体が乗っ取られて遠隔でメールを覗かれているのだと誤解し、スマホのフォレンジック調査を当社に依頼した。

実際の被害内容:スマホ自体が乗っ取られていたのではなく、メールサーバが乗っ取られていることが分かった。

備考:このようなケースはとても多いです。また、この例ではメールに関してご紹介しましたが、似たような形でメッセンジャーアプリやSNSのDMが漏洩したケースでも誤解されることがよくあります。

【誤解の事例②】不正アクセス

誤解した状況:依頼者の行動(訪れた場所、お店、施設等)や誹謗中傷が書かれた文章がネット掲示板に投稿される、SNSに投稿される、手紙で届くなどしたことから、スマホ自体(GPS)が乗っ取られているのだと依頼者は誤解し、スマホのフォレンジック調査を当社に依頼した。

実際の被害内容:スマホ自体が乗っ取られていたのではなく、スマホに入っているアプリが乗っ取られ(厳密に言うとそのアプリが同期するクラウドが乗っ取られ)、そこから「おおよその位置や行動」が漏れていた可能性が高いことが分かった。

備考: GPSが最も狙われやすいですが、それだけでなく写真やメールからおおよその位置を特定するとか、ネットの検索履歴から居場所を推測するという方法もあります。ちなみに、元恋人などからストーカーのように粘着されている状況ですと、この例のようにネットでの誹謗中傷や怪文書による脅迫などに被害が発展することも珍しくないです。

【誤解の事例③】一時的に流行するサイバー攻撃

誤解した状況:依頼者のSNSアカウントにおいて、依頼者が書いたはずのない異常な投稿が発生した。SNSのログイン履歴には不審な記録が見当たらないことから、依頼者はスマホが乗っ取られて遠隔操作されたのだと誤解し、スマホのフォレンジック調査を当社に依頼した。

実際の被害内容:フルコントロールの遠隔操作ではなく、CSRFという攻撃方法でスマホに異常な動作をさせて(特定の処理だけ強制させるような手口です)、依頼者のスマホからSNSに対して勝手に投稿する処理が走った可能性が高いとわかった。

備考:ここではCSRFという攻撃方法の事例をご紹介しましたが、他の攻撃方法に関しても同様に、ある時期に何件も同じ攻撃方法の事案が重なることがあります。サイバー攻撃の手口は流行と収束を繰り返しますので、流行中は多くの方が被害を受けるため、似たような内容の相談が殺到するようです。

【誤解の事例④】同期の仕組みが引き起こした悲劇

誤解した状況:依頼者が見ていないホームページの閲覧履歴がある、見ていない動画が再生履歴にある、見ていない商品が通販サイトの閲覧履歴にあるなど、「見ていないのに履歴がある」という状況から依頼者はスマホの乗っ取りだと誤解し、スマホのフォレンジック調査を当社に依頼した。

実際の被害内容:サイバー攻撃の被害は存在しなかったが、別の原因が見つかった。依頼者は古いスマホを下取りに出したと記憶していたが、実は自宅内にまだあり、それを家族が勝手に使用し、その閲覧履歴が依頼者のスマホに反映されている状態だった。

備考:乗っ取りとは違いますがこういうケースが意外と多くあります。サイバー攻撃ではないのですが、しかし下手すればサイバー攻撃よりも遥かにダメージが大きいです。

通常、同期は片方向ではなく双方向となります。現スマホに旧スマホの閲覧履歴が反映する状態ならば、その逆、旧スマホに現スマホの閲覧履歴も反映されます。つまり依頼者が見ているものが古いスマホにも反映されている状態ですので、家族に知られたくない秘密がバレてしまうことも・・・

対策および確認方法

冒頭の概略で記したように乗っ取りの被害を受ける部分は複数ありますので、以降では部分ごとの対策方法と、乗っ取られているかどうかを確認する方法をご説明します。

アプリと外部サービスの乗っ取りの対策と確認方法

乗っ取りの対策方法

【基本】
単純な「電卓アプリ」などを除いて、基本的にスマホアプリは外部のサービス、サーバ、クラウドと連携しているため、アプリの乗っ取りはそれら外部サービス等の乗っ取りを防ぐように設定することで概ね対策できます。その設定とは「2要素認証」です。2段階認証とか2ファクター認証とも言います。今日ではほとんどの外部サービス等で2要素認証の機能が提供されていますし、それを有効にするだけで典型的な乗っ取り手口である「ID・パスワード盗用型」の乗っ取りを防げます。(それ以外の攻撃方法に関しては話が冗長になるので、ここでは割愛します。)

【例外】
アプリに脆弱性がある場合は、残念ながら外部サービス等の設定だけでは乗っ取りを防ぎきれません。アプリはアップデートすることで脆弱性を改善できますので、新しいバージョンが公開されたら必ずアップデートするよう心がけてください。 ちなみに、アップデートが提供される前の時点で発生する乗っ取りのことを「ゼロデイ攻撃」と言い、これはユーザー側の努力ではどうにも防ぐことができないので諦める他になく、そういうリスクは常に潜在していることを許容した上でスマホを使用する他にないというのが現状です。とは言えスマホに限定して言えば、一般ユーザーがゼロデイ攻撃の被害を受けることはそんなにないので、アップデートさせずに放置しているような場合を除きますが、通常はそれほど気にしないで良いかと思います。(※これはスマホだけに言えることです。スマホ以外の機器、例えばパソコン、ルータ、サーバなどはゼロデイ攻撃の標的になりやすいです。)

乗っ取りの確認方法

【基本】
アプリが連携している外部サービス等のログイン履歴を見れば、乗っ取られているのかどうかを確認できます。ログイン履歴の入手方法は外部サービスごとに異なるので省略しますが、通常は下記3つの方法のいずれかで取得することができます。

  1. アプリの中にログイン履歴の表示メニューがあり、そこで取得する。
  2. 外部サービス等にWebブラウザでアクセスし、その管理画面の中に表示メニューがあり、そこで取得する。
  3. アプリのメーカーに請求して取得する。

【例外】
典型的な「ID・パスワード盗用」ではないサイバー攻撃で乗っ取られている場合、残念ながらログイン履歴のチェックだけでは乗っ取りを確認することができません。ログイン履歴だけでなく、マルウェアの有無や他の種類のログも合わせて確認する必要があります。

【備考】
ご自身で確認するのが難しい場合や、上記の例外に該当する場合には、有料となりますが当社の「マルウェア調査サービス」をご検討ください。ただしそれには安くない調査費用がかかりますので、確認を諦めることもご検討頂くべきかも知れません。

お金をかけてでも調べるべきか、確認を諦めるべきか、被害者が置かれている状況や背景によって異なりますし、被害内容やその深刻度もそれぞれ異なりますので、ご家族・ご友人や警察にご相談されたうえでご検討下さい。
なお、当社の調査サービスについては当ページの最後でご紹介いたします。

サーバー/クラウドの乗っ取りの対策と確認方法

乗っ取りの対策方法

【基本】
これは一つ前の「アプリと外部サービス」と同じく、2要素認証を有効にすることで乗っ取りを防げます。

【例外】
下記2つの例外があります。

  • 2要素認証の機能が無いサーバー/クラウド
  • サーバー/クラウド自体に脆弱性がある
このような場合はユーザー側で対策をすることができませんので、残念ながら諦める他にないです。当該サーバー/クラウドの利用を停止するか、リスクを許容して使用を続けるか、どちらかしか選択肢がありません。

乗っ取りの確認方法

【基本】
確認方法に関しても一つ前の「アプリと外部サービス」と同じです。典型的な「ID・パスワード盗用」で乗っ取られている場合は、ログイン履歴を見れば乗っ取りの有無を確認できます。

【例外】
これも一つ前の「アプリと外部サービス」と同じで、「ID・パスワード盗用」ではないサイバー攻撃で乗っ取られている場合、ログイン履歴のチェックだけでは足らず、マルウェアの有無や他の種類のログも合わせて確認する必要があります。

【備考】
サーバー/クラウドに関しては、有料の調査サービスで調べられるものと、そうでないものがあります。もし調査をご希望の場合は事前に打ち合わせが必要ですので、一度ご相談下さい。

ネットワークやルータの乗っ取りの対策と確認方法

乗っ取りの対策方法

【基本】

  • ルータのファームウェアをアップデートする
  • ルータの管理画面のパスワードを変更する
  • ルータのWi-Fiパスワードを変更する
  • ルータのWi-Fi暗号化設定を強化する
上記の4点が基本で、これだけでも大抵の乗っ取りは対策できます。ただし「古いルーターを何年もメンテナンスせずに使用している」という場合は、その使用を中止し、新しいルータに買い替えたうえで上記の対策をしたほうが良いです。古いルータは改善不能な脆弱性が潜在していることがあるからです。
ちなみに買い替え時期の目安は、私は5年と考えております。それは私の経験則から、家庭用ルーターは5年を超えると故障することが多かったからです。

【例外】
下記2つの例外があります。

  • すでに侵入された後の段階にあり、ルーティング等が設定されてしまっている場合。
  • ネットワーク侵入の原因がルータではない別の箇所にある場合
1番目の例外に関しては、ルーターの初期化または買い替えで対処可能です。2番目の例外は、侵入原因が「どこにあるのか」を特定しなければ対策できません。それらは当社で調査することが可能ですが、しかし、そのようなネットワーク・フォレンジック調査には相当に調査費用がかかりますので、個人のお客様がご依頼するのは難しいかと思います。代わりに「ルータおよび使用端末の全台初期化」のほうが手っ取り早いし安上がりです。

乗っ取りの確認方法

【基本】
ルーターの機種にもよりますが、管理画面でアクセス履歴を表示できる機種ならば乗っ取りの有無を確認できる可能性があります。しかし、家庭用ルータの場合はそれほど多くの記録を残していないので、確認精度はイマイチかも知れません。

【例外】
対策の例外と同じく、すでに侵入済みでルーティング設定されている場合や、原因がルータではない別の箇所にある場合には、専門知識がないと自力で確認するのは難しいかと思います。 お金がかかりますがフォレンジック調査をご依頼頂くか、または確認を諦めてルータを買い替える/全台初期化するなどの対応をご検討下さい。

より詳しい解説記事も公開しております

Wi-Fiルーターの乗っ取りに関しては下記リンク先のページで詳しく解説しておりますので、ぜひこちらもお読み下さい。
Wi-Fiルーターのハッキング/乗っ取りの実態と確認方法

パソコンやIoT機器に関して

パソコンやIoTはスマホの乗っ取りと関係が無いように感じる方が多いと思いますが、実はそれ、盲点です。パソコンやIoTが最初の侵入口となり、そしてスマホに被害が拡大するリスクがあります。

特にスマホとパソコンで共通のアカウントを使用している場合は顕著です。
パソコン → 共通アカウント → スマホ というように連鎖するケースがそこそこあります。

例えばパソコンがウイルス付きメールなどで侵害されたとき、パソコンが同期しているクラウドにも侵入されるリスクは大きく、さらにそのクラウドのアカウントをスマホでも使用している場合には、クラウド侵入の影響がスマホにも及び、スマホのデータ侵害が生じ得ます。

そのためスマホのセキュリティを考える際はパソコンやIoTも含めて対策を考えたほうが良いのですが、しかしそれらにまで言及すると当記事が何倍も長くなってしまうので、ここでは割愛します。

動作やデータの乗っ取りの対策と確認方法

乗っ取りの対策方法

動作やデータは、それらが直接に乗っ取られるわけではないので特に対策を意識しないでも良いです。と言いますか、そもそもスマホの場合は動作制限や権限設定などをユーザーが細かく制御できないので、やりたくてもできないというのが本当のところです。
動作やデータの乗っ取りはアプリや外部サービスおよびサーバー/クラウドが侵害されたときに受けることのため、ひいては、それらの乗っ取りの対策しておけば動作やデータが侵害されることないだろう、という推測に基づく対策スキームしか取れません。

乗っ取りの確認方法

動作やデータの乗っ取りを確認するためには特殊な機材が必要となりますので、残念ながら一般ユーザーが自力で確認することはできません。もし裁判などで動作/データの侵害を証明する必要がある場合(例えばデータ改竄を立証する場合など)には、フォレンジック調査をご検討頂くこととなります。

スマホ自体(OSやハードウェア)の乗っ取り、
つまり完全な乗っ取りに関して

スマホは「乗っ取りにくい仕様」になっています。AndroidもiPhoneも、どちらも強力な機能制限がかかっていて「管理者権限」を簡単には使用できない仕組みになっているからです。対照的にパソコンは、管理者権限を使用できるので乗っ取りやすいですし、実際に乗っ取り被害は日常的に発生しています。

管理者権限とは機器を管理するための「最上級」な特権です。管理者権限があるとOSの設定を細かく調整したりシステムデータを書き換えたりできますし、破壊的にシステムデータを削除したりマルウェア(コンピュータ・ウイルス等、悪意あるプログラムを総称する用語)を設置したりも自由にできます。

パソコンの場合は管理者権限を使用できるので「自由自在にカスタマイズできる」という長所がありますが、その反面で乗っ取られやすいという短所があります。

スマホの場合は管理者権限を簡単には使用できないので、画一的な使い方しかできない(細やかなカスタマイズができない)という短所がありますが、その代わり、ユーザーの操作ミスでOSを壊してしまうリスクが少ないですし、マルウェアに感染しにくいという長所があります。
そのためスマホは乗っ取られにくいのです。
そしてこれを根拠として、当ページの冒頭で書いた「完全にフルコントロールされるリスクは低い」という結論に至ります。

ただし不運にも幾つかの条件が揃った場合には、例外的に(本当にかなり例外的ですが)、スマホ自体を掌握されるリスクが僅かにありますので、その例外に関して以降でご説明します。

非接触 & 完全乗っ取り」は極めて例外的

「知らない間に遠隔でスマホを完全に乗っ取られる」というのはほとんど無いです。 スマホに対する「非接触&完全乗っ取り」は非常に高度なサイバー攻撃であり、理屈を言えば起こり得るとしても、現実的に考えて「普通の一般人」が標的にされるとは考えにくいです。海外の例を見ますと、報道関係者や人権活動家など限られたごく一部の人に対して、非接触かつゼロクリックで感染するマルウェアのサイバー攻撃がおこなわれたケースもあるようですが、ごく普通の一般人が普通にスマホを使用している限り、そのような攻撃を受けるとはちょっと考えにくいので、それほど恐れなくて良いと思います。

接触ありの場合は、例外的に乗っ取りリスク発生

もし普通の人がスマホの完全乗っ取りの被害に遭うとしたら、非接触のサイバー攻撃ではなく、下の例のようにスマホを直接触られる形でのハッキングを挙げられます。

【例①】被害者が寝ている間に、恋人がスマホを勝手に操作して乗っ取る。

【例②】ITに疎い人がスマホの設定などを面倒くさがり、誰かに「丸投げ」で代行させて、そのときに乗っ取られる。

【例③】画面ロックをかけていないスマホを紛失し、それを拾った者が勝手に操作して乗っ取る。

直接触られたら乗っ取りが起こり得る、とは言え、実際のところ現在では乗っ取りリスクは大幅に低減しています。平成の頃は「監視アプリ」や「スパイアプリ」というものが流行していたので、上記の例①のように恋人や配偶者に乗っ取られるケースがそこそこあったのですが、そのような悪質アプリに対するメーカー/ベンダー側の対策が進んだため現在では入手やインストールが容易ではなくなり、「誰でも簡単に他人のスマホを乗っ取れる」という状況ではなくなりました。

ただし海外の怪しいサイトではスパイウェア等がまだ売られているようで、それを入手して悪用するなど、かなり例外的ですが僅かにリスクは残っているようです。

乗っ取りの対策方法

非接触&ゼロクリックの完全乗っ取りは、OSの脆弱性を突くサイバー攻撃によっておこなわれますので、OSを最新版にアップデートすれば概ね防げます。
ゼロデイ攻撃の可能性はあるものの、そもそも、前述の通りこの手のサイバー攻撃を「ごく普通の一般人」が受けるとは考えにくいので、とりあえずOSアップデートだけ忘れないようにしておけばほぼ安全です。

接触型の乗っ取りに関しても、OSを最新版にアップデートするだけで結構防げます。
できれば最新機種かつ最新版のOSにしたほうが良いのですが、とりあえずOSアップデートだけでも相当な予防効果があります。
その理由は、ハッキングに用いるツールが最新版に対応していない可能性が高いからです。ハッキングツールは新しいOSがリリースされた後に開発される物であり、しかもそれが入手可能になるのはかなり時間が経ってからですので、OSを最新版にすれば、まだその時点で世の中にハッキングツールが存在しない(または入手できない)状態となり、乗っ取られるリスクはほぼ0になります。

乗っ取りの確認方法

スパイアプリ等は、2010年代前半の頃はアプリ一覧などに表示されるものが多かったのですが、2010年代後半になるとステルス性の高いものが出回るようになり、画面を見ただけでは確認できないケースが増えました。

当社のWebサイトでは、そのようなスパイアプリを調べる方法の一つである、「C&C検査法」という検査方法のやり方を教えるHow To記事を公開しております。その記事ではWindowsパソコンと検査用の無料アプリを使用し、遠隔操作の司令塔となる「C&Cサーバ」との連携をチェックする手順を詳しくご説明しております。

自分で調べるのはとても手間と時間はかかりますが、調査会社に依頼しないでもある程度の精度でチェックできますので、調査技術にご興味がある方はぜひ一度お試し頂けたら幸いです。

※セルフチェックには3~4時間ぐらいかかると思いますので、けっこう大変です。
お時間に余裕のある時にお試し下さい。

『じぶんで検査。』スマホのウイルスの確認方法
https://lt-security.jp/howto/selfkensa/index.php


スマホ乗っ取りの証拠が必要な場合
① マルウェア調査

当社では「マルウェア調査」というサービス名称で、スマホのマルウェア感染状態を確認および証明する調査サービスを提供しております。
ご自身による確認が難しい場合や、専門会社による証明が必要なときにご利用をご検討ください。

マルウェア調査サービス

マルウェア調査サービス 税込22万円

  • 来店プランの場合はお預かり不要
  • 郵送プランの場合は1~2週間スマホをお預かりします
  • C&C検査法による高精度検査を実施
  • 報告書とデジタル証拠を提出しますので、公式な報告や、警察、弁護士、裁判所などへの提出にもご利用頂けます。
【ご予約・お問い合わせ】
電話:03-6240-9989
メール:お問い合わせフォーム

スマホ乗っ取りの証拠が必要な場合
② フォレンジック調査

法人のお客様の場合ですと、ステークホルダーや個人情報保護委員会に報告が必要なケースが多く、単に感染確認するだけでは足らず、感染までの経緯や感染後の挙動の確認が必要ということが多いかと思います。そのようなときに、裁判案件や警察の犯罪捜査でも採用される『デジタル・フォレンジック』という調査手法および技術を用いた調査をご検討下さい。

デジタル・フォレンジック調査サービス

モバイル・フォレンジック調査 税込33万円~

  • 全国対応
  • 出張可能
  • 法的対応や裁判案件に最適な本格の調査サービスです
  • 訴訟中の案件にも対応可能です
  • 弁護士からのご相談も歓迎致します
【ご予約・お問い合わせ】
電話:03-6240-9989
メール:お問い合わせフォーム

こちらも読まれています