当記事は、詳しく説明しようという思いからとても長文になってしまったので、重要なことをまず先にお伝えします。

• 現在ではメーカー／ベンダーの対策が進み、スマホの盗聴リスクは大幅に低減しました。
• それによりスマホが盗聴されるケースは非常に稀なこととなりました。
• 例外的に複数の条件が揃うと盗聴リスクが高まりますが、ほとんどの人は気にしなくて良いぐらいに発生確率は極めて低いです。
• とは言え可能性が０（ゼロ）ではないので、８種類の対応方法・確認方法をご案内します。
• ほか「盗聴されてるかも？」と誤解しがちな別の手口による情報漏洩の例をご案内します。
• 別の手口による情報漏洩は盗聴よりも格段に発生確率が高く、実際に頻発しており、誰しもが被害を受け得る身近な脅威です。
• そのため、盗聴だけでなく別の手口の可能性も踏まえて確認や調査をご検討下さい。

当社はデジタル・フォレンジックが専門の調査会社です。
スマホに限らずパソコン、サーバ、ネットワーク等のIT環境を広く調査可能です。
盗聴かも知れない、盗聴かどうか分からないけど情報漏洩している、というようなときはぜひ当社の調査サービスをご利用下さい。

また、ご自身でも半信半疑という方が多くいらっしゃいます。
『盗聴されてる？　いやまさか・・・でもやっぱり・・・』というように。
そのようなとき、ほとんどは盗聴被害はありませんが、しかし前述のように別の手口で情報漏洩しているケースはよくあるので、ぜひ当社の調査サービスをご検討頂けましたら幸いです。

スマホの盗聴に関してネットには様々な記事や書き込みが溢れていますが、いたずらに恐怖心を煽る内容も散見します。

また、それらと違う良質な記事の場合でも、公開されたのが何年も前で書かれてある内容が古いということもあります。

誤った情報や古い情報をもとにしてスマホのセキュリティ対策を計画しても、まったく意味のない無駄なことをしてしまう恐れがありますのでご注意下さい。

【鮮度に関して】

当記事は２０２４年１月現在における傾向などを記載しております。今後に何か大きな変化がない限り、暫くの間は当記事の内容と世情が大きく相違することはないだろうと思いますが、情報の鮮度は重要なポイントなので、「これは２０２４年１月時点の情報だ」とご留意のうえお読み下さい。
※追記した箇所があります（２０２４年４月２２日）

【信憑性に関して】

これを書いている私は『デジタル・フォレンジック』という分野を専門とし、認定試験を受けて専門資格CDFPシリーズのPractitioner（実務者）という資格を取得し、下記のような調査業務をおこなっております。

• 企業の業務端末およびITシステムのセキュリティに関する調査
• 情報漏洩事故の原因解明、被害状況確認等のフォレンジック調査
• 裁判におけるデジタル証拠の収集や立証のためのフォレンジック調査
• デジタル機器のセキュリティ診断やマルウェア感染確認のための簡易調査

【回答】
はい。あります。
ただし、過去には深刻な脅威でしたが、現在では盗聴リスクが大幅に低減されています。

厳密に言えば今でも盗聴リスクは僅かにありますが、しかしそれは不運にも幾つかの条件が揃ってしまった場合のみ起こり得る非常に例外的なことですので、普通の人が普通にスマホを使用している限りそれほど恐れなくて良いです。
※例外的に起こる可能性に関しては後述します。

【回答】
はい。本当です。
ただし今は盗聴機能がある監視アプリの入手は以前よりも難しくなっていますので、被害を受ける確率も下っています。

過去の話になりますが、盗聴機能がある監視アプリ等を簡単に入手＆使用できた時期があり、それによりスマホが盗聴されるケースは度々ありました。平成末期の頃に監視アプリ等の種類が全世界で２～３万種類もあるというレポートを読んだことがあり、その数値がどれほど正しいのか定かではないものの、世界的に流行していたのは確からしいと伺えます。

しかしその後、監視アプリ等の悪用があまりにも横行したためか、メーカー／ベンダー側の対策や規制が強化され、一般の方が監視アプリ等を入手するのは難しくなり、２０１９年あたりを境にして盗聴リスクは減少傾向へと転じたようです。

未だに海外の怪しいサイトではスパイアプリが販売されているようですが、「誰でも簡単に盗聴できる」という危険な状態ではなくなったので、被害を受ける確率も大幅に低減されました。

※ただし盗聴機能が無い監視アプリはまだ少なくないようです。

【回答】
はい。盗聴機能を持つ監視アプリ等は多数ありました。
ただし現在では、それらは正常に動かないことが多いようです。

入手が容易だった頃の古い監視アプリ等は、新しいスマホで使用できないようです。

私が２０２３年におこなった実験では、過去（平成末期の頃）に国内で有名だった複数の監視アプリ等が、「以前は動いていたのに今は動かない」という状態になりました。エラーだらけでまともに使えないとか、起動すらしないとか、発生する問題はまちまちでしたので機種とアプリの相性問題やC&C（攻撃側のシステム環境）が潰されたなどの原因があるのかも知れませんが、いずれにしても実験では一つも正常動作しませんでした。それはAndroid／iPhoneのどちらも同じ傾向です。そのため、入手が容易だった頃の古い監視アプリ等を、今になって悪用されるという盗聴リスクはかなり低いだろうと思われます。

ちなみに現在販売されているスパイアプリのなかには「本当は動かないのに、あたかも動くかのように見せて売られている。」という詐欺まがいのものが多いのですが、全部が全部そうとも限らず、もしかしたら最新機種に対応しているスパイアプリもあるのかも知れないという不気味さは残っています。

【回答】
はい。アプリ以外のマルウェアのリスクは現在もあります。

監視アプリ等は、誰でも簡単に使えるため一般のユーザー層にまで広まった（流行した）のですが、そのようなアプリの形をしていない実行ファイルやスクリプトなどのマルウェアのリスクは今も残っていますし、今後なくなるとも思えません。パソコンのマルウェアと同様、スマホのそれも根絶は現実的に不可能です。

ただし、スマホはパソコンと違って非常に強い機能制限がある仕様なので、普通の人が普通にスマホを使用している限り、知らない間に勝手にマルウェア感染するというリスクはかなり低いです。

とは言え、なりすましメールやSMSなどをうっかり開くとか、危険なURLをうっかり踏んでしまうなど、ユーザー側の誤認／誤操作によりマルウェア感染するリスクは依然として残っています。現状ですと、メーカー／ベンダー側のセキュリティ設計や水際対策などで大半の脅威を大まかに防げていますが、しかしそれには限界があり、特定個人を狙った標的型攻撃に対する防御はユーザーひとりひとりに委ねられていますので、ユーザー自身がセキュリティリスクを忘れてはならないという状況はこれまでもこれからも変わらず続くはずです。

不運にも幾つかの条件が重なってしまうような例外的なケースでなければ、スマホが盗聴されることはほぼ無いとみて良いです。１００％絶対に盗聴されないというわけではないのですが、ほとんどの人は気にしなくて良いレベルの脅威です。

ただし・・・ 盗聴と誤解されがちな別の手口による情報漏洩は、現在でも頻繁に起こっています。
本当に多いので、次はこれに関してご説明します。
また、例外的とは言っても盗聴リスクが完全に無くなったわけではないので、盗聴が起こりうる状況に関しても「誤解されがちな手口」の後に続けてご説明します。

依頼者はスマホが盗聴されてると思い込んでいたけれど、実際に調査してみたら盗聴とは違う手口でプライバシーを盗み見られていた、というケースがよくあります。本当に多いです。

例① スマホの盗聴ではなく、メールが漏れていたケース。

メールを盗み見れば、行動、予定、趣味嗜好など多くのことが分かります。
ホテルやイベント・チケットの予約メールから行動を知る、ネット通販やサービスの注文・問い合わせメールなどから趣味嗜好を知るなど。

例② スマホの盗聴ではなく、Web閲覧／検索履歴が漏れていたケース。

ホームページの閲覧履歴や検索履歴には、その人の関心ごと、心配ごと、趣味嗜好など「心の中のこと」が強く表れます。また、施設や場所の検索、路線や経路の検索などから今後の行動を予測されるリスクもあります。

例③ スマホの盗聴ではなく、位置情報や地図履歴が漏れていたケース。

GPS位置情報から行動を監視するというのはイメージしやすいかと思います。それ以外に、地図アプリの履歴や、過去に訪れた場所の履歴などを盗み見られると、ターゲットの行動を大まかに知られてしまいます。

例④ スマホの盗聴ではなく、SNSから近況が漏れていたケース。

SNSにアップした写真などからもターゲットの行動は大まかに知られてしまいますし、家族や友人とのメッセージを盗み見ればかなり深くプライベートを知られてしまいます。

盗聴の誤解が生じる流れ

上の例のように盗聴ではない別の手口でプライベートな情報を盗み見られてしまい、ネットやSNSで暴露される／周囲に吹聴されるなどし、それを被害者が目にして（耳にして）、『え！？この人なんでそんなこと知ってるの！？もしかしてスマホが盗聴されてる！？』というように思い違いをしてしまう、という流れです。

しつこいようですがこういった誤解が多くありますので、『絶対に盗聴されている！』と決めつけず、確証が得られるまでは盗聴以外の可能性を無視しないで頂きたいです。

過度に不安を煽らないよう繰り返し申し上げますが、現在ではスマホの盗聴被害は受けにくくなっています。ただしあらゆるユーザーが絶対に大丈夫というわけではなく、不運にも幾つかの条件が揃ってしまったときなど、非常に例外的にですが盗聴されるリスクは０（ゼロ）ではないので、その例を以下でご紹介します。

例① 恋人、配偶者、同居人など、ごく身近な人により盗聴されるリスク。

• 寝ている間に監視アプリ等を仕掛けられる
• 自宅に放置している古いスマホに監視アプリ等を仕掛けられる

• 夫の浮気・不倫を疑って、妻が夫のスマホに監視アプリ等を仕掛ける。
• ストーカー気質のある元恋人が仕掛けていた。

例② 他人に用意してもらったスマホや、初期設定を他人に「丸投げ」したスマホ。

前の例①と似ていますが、違うのは「最初から仕掛けられている」という点です。初期設定の段階で監視アプリ等を仕掛けられ、そうと知らずに使用し続けていたという例です。

IT／デジタル機器が極端に苦手な人は、身近な誰かに製品選びから購入、初期設定まで全て任せてしまうことはよくあり、そのような場合にこの例②のリスクが生じ得ます。ただし例①と同様の理由により、現在では実際に盗聴が起こるリスクは低いです。

しかしですが、この場合は盗聴とは違う問題が生じ得ることを理解する必要があります。丸投げした相手に様々なID／パスワード等が知られ、かつ使用者本人は設定を理解していない＆管理できていない状態となるので、不正アクセスなどといった盗聴以外のサイバー攻撃に遭ってしまうリスクが高まります。例えば相手に悪意がある場合はクラウド経由で情報を盗まれるリスクがかなり高いですし、もし相手に悪意がなかったとしても、その人が不運にもフィッシング等の被害に遭ってしまい、パスワードのメモやブラウザに保存されているパスワード等が情報漏洩しますと、悪影響が使用者本人にも及ぶ危険性があります。

例③ 報道関係者、人権活動家など

非接触かつゼロクリックでスマホに侵入および遠隔操作する、つまり「知らない間に勝手に感染する」という非常に高度なスパイウェアが存在し、海外では実際にそれが悪用されたケースが度々発生しているようです。残念ながら私はその検体を入手できておらず、そのメカニズムを自ら解析したことがないので詳細はわからないのですが、２０２３年にNHKのドキュメンタリー番組で特集が放送されたこともあるそうで、その存在自体には疑義がないようです。

ただし一般の方にはほぼ関係がないと思います。これまでにそのスパイウェアのターゲットとなったのは報道関係者、人権活動家、政府関係者、弁護士などだそうです。それらに該当しない、ごく普通の人がターゲットになるとは考えにくいので、リスクはほぼないように思います。

【２０２４年４月２２日に追記】
今後に懸念されること

Androidスマホの場合、高度なハッキングツールが無償配布されているようです。
そのようなツールが悪用された事案を当社ではまだ対応したことがありませんが、今後に当該ツール（またはその亜種）が普及してしまうと、政府関係者など一部の人だけでなく、世間一般の多くの人たちも脅威にさらされるリスクが生じそうです。当社は引き続き今後の動向に注視してまいります。

iPhoneの場合、現在はまだ安全が確保されていますが、近い将来に状況が大きく変わるおそれがあります。
これまでiPhoneはApple公式のAppストアだけがアプリを配布できる仕組みになっており、Appleによる厳格な審査に基づいたセキュリティ水準が確保されてきましたが、欧州連合（EU）の法律をきっかけにアプリ配布体制が変化することが確定していて、今後はサードパーティのベンダーによるアプリ配布も増えるであろう状況にあり、それに伴ってマルウェア配布のリスクが生じることとなります。

盗聴の原因は『 マルウェア 』です。

【補足】マルウェアとは、コンピュータ・ウイルスや監視アプリなど悪意プログラムを総称する用語です。

スマホの盗聴は、スマホのマイクを他人が遠隔操作することにより実現されます。そしてそのような遠隔操作を可能にするのが、監視アプリなどのマルウェアです。
具体的には次のような流れの手口で盗聴されることとなります。

1. スマホにマルウェアを仕掛ける。（感染させる）
2. マルウェアが、遠隔操作の司令塔となる「C&Cサーバ」と通信し、スマホとC&Cが連携する状態となる。
3. C&Cからスマホに対して、盗聴の遠隔操作コマンドが発せられる。
4. 遠隔操作コマンドを受け取ったスマホが、マイクを起動して録音を開始する。
5. C&Cからスマホに対して、録音データを送信する遠隔操作コマンドが発せられる。
6. 遠隔操作コマンドを受け取ったスマホが、録音データをC&Cに送信する。
7. C&Cが音声データを保存し、それを攻撃者（犯人）が取得・再生して盗聴完了。

一つ前の「手口・原因」でご説明した通り、スマホの盗聴の原因はマルウェアですので、対応方法も　マルウェアをどうにかする　というのが基本になります。その対応方法の選択肢は一つではなく複数ありますので、状況に合わせて適切なものを選択することとなるのですが、特に注意が必要なことがありまして、お仕事で使用するスマホや会社貸与のスマホの場合、場当たり的に駆除や初期化は絶対におこなわないで下さい。

仕事関連で情報漏洩等のインシデントが起こった場合、後から事案の詳細な説明や証明が必要となることが多く、その際に問題の機器を初期化してしまった後ですと様々な不都合が生じますので、慌てて駆除・初期化してはいけません。少なくとも証拠保全は検討すべきであり、可能ならば当社のような調査会社に依頼して事実確認と証明を済ませておいたほうが良いです。

さて、対応方法に関して大まかに下の表のようなものが挙げられます。

参考例１：私物スマホかつ大ごとにするつもりは無いという場合

被害状況や程度にもよりますが、大ごとにするつもりは無い（法的措置などを考えていない）のであれば、上の表の対応方法の①～⑤を順番にご検討頂くと良いかと思います。

参考例２：会社貸与のスマホの場合

当然のことながら会社の判断を仰ぐのが第一ですが、事業における情報漏洩事案は後から関係各所への説明・報告が必須となる可能性がとても高いので、対応方法⑧をご検討頂くべきです。

参考例３：人間関係のトラブルを抱えている場合

監視アプリ等が悪用されるケースでは、根っこにある問題は人間関係のトラブルということが多いです。

1. 夫婦間のトラブルや、財産を巡るトラブルなど、家族・親族とのトラブル
2. 恋人とのトラブルや、交際関係／ストーカーなどのトラブル

２０１０年代の前半の監視アプリはアプリ一覧を見れば発見できるものが多かったのですが、次第にステルス性が強まり、２０１０年代の後半ではパッと見で発見できないものが主流となりました。そのため駆除するのは容易でなくなりましたが、Androidスマホの場合はアンチウイルス製品（ウイルス対策アプリ）を使用できますので、それを購入してウイルススキャンすれば検出および駆除できる可能性があります。
（検出漏れする可能性もありますが、それに関して話をすると長くなるので割愛します。）

なお、iPhoneの場合はiOSの仕様によりウイルススキャンできません。iPhone向けのセキュリティ製品は、事故の予防に関しては一定の効果を期待できますが、残念ながら既に感染した端末をスキャンすることができないので、この①の方法は実行できません。

再起動するだけで動作を止められるタイプのマルウェアが意外と多いです。
特にiPhoneの場合、マルウェア感染の際に「ジェイルブレイク（脱獄とも言います）」を伴うことがありますが、ジェイルブレイクは再起動によって終了する（入獄する）ため、そのタイプのマルウェアは再起動でほぼ確実に止められます。

ただしあらゆる種類のマルウェアを止められるわけではなく、また、再起動で一旦は停止できたとしても何かの拍子にまた起動する可能性はありますので、あくまで簡易的な応急処置であり、根本的な解決にはならないとご理解下さい。

これは実験の過程で偶然に気がついたことなのですが、マルウェア実験用のスマホのOSをアップデートしたら、監視アプリが動かなくなったことがありました。OSアップデートはセキュリティを維持するためどのみち必須になりますので、前の②と合わせてとりあえずOSをアップデートしてみるのも良いかと思います。

初期化すれば全てのデータが消えますので、マルウェアも消えます。後述する「スマホ買い替え」の次に確度の高い方法です。
※ただしお仕事で使用するスマホの場合は初期化しないで下さい。理由は既に述べておりますが大事なことなのでもう一度書きます。

お仕事関連で情報漏洩のインシデントが発生した場合、後から事案の背景や詳細に関して説明や証明が必要となることが多いのですが、初期化してしまうと証明しようがなくなるので、結構マズイことになります。ですので初期化はNGです。絶対にやらないで下さい。少なくとも証拠保全が必須であり、可能ならば当社のような調査会社に事実確認と証明の調査をご依頼下さい。

説明するまでもないかと思いますが、買い替えが最も確度高い解決方法です。これまでに私が担当したケースでは、「スマホを買い替えたけれど盗聴が収まらない」と言う方が結構いらっしゃいますが、その殆どの場合、盗聴とは違う別の問題があります。当ページ内の『盗聴と誤解されがちな例』にも記載しましたが、例えば盗聴ではなくメールが漏れているとか、ネットの閲覧・検索履歴が漏れているなど、別の手口による情報漏洩をスマホ盗聴と誤解してしまう方がとても多くいらっしゃいます。なので、もし買い替えても被害が収まらないという場合には、当社に一度ご相談頂けたらと思います。

当社のWebサイトでは、スマホのマルウェアの検査方法を教えるHow To記事を公開しております。この記事ではWindowsパソコンと検査用の無料アプリを使用し、当ページ内「スマホ盗聴の手口・原因」でご説明したC&Cサーバとの連携をチェックする、「C&C検査法」という検査方法の手順を詳しくご説明しております。

自分で調べるのはとても手間と時間はかかりますが、調査会社に依頼しないでもある程度の精度でチェックできますので、調査技術にご興味がある方はぜひ一度お試し頂けたら幸いです。

※セルフチェックには３～４時間ぐらいかかると思いますので、けっこう大変です。
お時間に余裕のある時にお試し下さい。
『じぶんで検査。』スマホのウイルスの確認方法
https://lt-security.jp/howto/selfkensa/index.php

当社では「マルウェア調査」というサービス名称で、スマホのマルウェア感染状態を確認および証明する調査サービスを提供しております。

マルウェア調査サービス　税込２２万円

• 来店プランの場合はお預かり不要
• 郵送プランの場合は１～２週間スマホをお預かりします
• C&C検査法による高精度検査を実施
• 報告書とデジタル証拠を提出しますので、公式な報告や、警察、弁護士、裁判所などへの提出にもご利用頂けます。

法人のお客様の場合ですと、ステークホルダーや個人情報保護委員会に報告が必要なケースが多く、単に感染確認するだけでは足らず、感染までの経緯や感染後の挙動の確認が必要ということが多いかと思います。そのようなときに、裁判案件や警察の犯罪捜査でも採用される『デジタル・フォレンジック』という調査手法および技術を用いた調査をご検討下さい。

モバイル・フォレンジック調査　税込３３万円～

• 全国対応
• 出張可能
• 法的対応や裁判案件に最適な本格の調査サービスです
• 訴訟中の案件にも対応可能です
• 弁護士からのご相談も歓迎致します