スマホ/パソコン【乗っ取り】の確認方法・調査方法

このページについて

情報を覗かれる。長期間監視される。
遠隔操作される。他人に被害拡大する。
完全に乗っ取られると使用不能に。
そのようなスマホ・パソコンの乗っ取りに関連するサイバー犯罪とその確認方法・調査方法に関してこのページで詳しく説明しています。
乗っ取りが発生した、または乗っ取られている恐れがあるときにお読み下さい。
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】
1

乗っ取られる物について

ネットに繋がる全ての物・アプリ・サービスは乗っ取りの危険がある

大分類(内部 or 外部の分類)

大きく分けると次の2つに分類されます。
1,自分の所有物の乗っ取り
2,外部のサービスの乗っ取り

LINEやSNSなどの乗っ取りは外部サービスの乗っ取りに該当します。
スマホやパソコンの乗っ取りは自己所有物の乗っ取りに該当します。

中分類(機器・サービス毎の分類)

全ての分類を言うときりがないので、よく話題になる一例を挙げます。
【自己所有物の例】
◆スマホ、パソコン、周辺機器など
◆テレビ、ゲーム機、スマート家電など
◆住宅設備、建物管理機器、防犯カメラ
◆自動車(コネクテッドカー)

【外部のWebサービス等の例】
◆SNS、通販サイト、会員制サイト等
◆各種アカウントサービス
 (Googleアカウント、Apple ID など)
◆メールサーバ、レンタルサーバ等
◆クラウド、オンラインストレージ等
◆業務用システム、ビデオ会議システム等

小分類(権限の分類)

一般ユーザー権限を乗っ取られると、そのユーザーに許可されている設定の範囲で乗っ取られる。
管理者権限を乗っ取られると、スマホやパソコン等を完全掌握される。

これは分かり難いことかと思いますので、具体的な例を2つ挙げて説明します。

【例1】
1台の家庭用パソコンを家族3人で共有し、父親、母親、息子がそれぞれ個別のアカウントを使用している。
父親のアカウント名は「Papa」。
母親は「Mama」。
息子は「Son」。
父親はパソコンを管理するので、管理者権限(最上級権限)が設定されています。
母親と息子は、勝手に変なアプリを入れたり重要な設定を変更したりできないように、利用制限された権限(一般ユーザーの権限)が設定されています。
(Web閲覧、Office 使用、メール送受信など普段の使用は自由に行えるが、パソコンを壊してしまうような危険な操作はできないよう制限されている。)

このような設定状態のときに、管理者権限の「Papa」が乗っ取られると完全掌握されることとなります。
そのパソコンを自由自在に操ることができます。 「Mama」または「Son」が乗っ取られると、そのユーザーに許可された範囲内で遠隔操作やデータ閲覧が可能です。

【例2】
AAA 社(仮名)が運営する世界的なSNSのシステム。
その権限設定は次のようになっている。
◆会社の役員は最上級権限。システム全体を管理できる管理権限が設定されている。
◆日本法人の社員Aさんは日本国内のシステムを管理する権限が設定され、米国の社員Bさんは米国の、英国のCさんは英国の、というようにそれぞれの国の範囲に限定された管理権限が設定されている。
◆一般ユーザーは1億人いて、それぞれは自分のアカウントの情報のみを管理できる権限が設定されている。

この様な設定状態のときに、役員の権限が乗っ取られると全ユーザーの情報を覗くことができてしまう。
また、社員の権限が乗っ取られると、その国のユーザーの情報を覗くことができてしまう。
一般ユーザーの権限が乗っ取られると、そのユーザーの情報のみ覗くことができてしまいます。
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】
2

乗っ取りの症状と事例

目に見える症状があれば分かりやすいのだが…無症状の乗っ取りも多い。

明確な現象で乗っ取りが発覚した事例

【事例1】ログイン通知により発覚した事例
外部のWebサービスからメールで通知が来た。
その内容は『新しい端末からログインがありました。』というものだった。
ログイン履歴を確認したところ、自分が所有していない機器に関する記録が見つかった。

【事例2】使用不能により発覚した事例
ある日突然、ログインできなくなった。
復旧の手続きをしようとしたところ、本来ならば復旧確認のメールが自分のスマホに届くはずなのだが、何回試しても確認のメールが届かない。
どうやら完全に権限を奪われてしまったようだ…

【事例3】セキュリティ警告により発覚した事例
パソコンのセキュリティ製品が、ネットワークから異常な通信が送りつけられたことを示す警告を発した。
このことから少なくとも自宅ネットワークの内部に侵入されているのは明らか。
ただしパソコンの安否に関しては、全ての攻撃を遮断できたのか、それとも一部の攻撃は受け入れてしまったのか、セキュリティ製品のログを見ただけでは分からない。

関連する現象で乗っ取りに気付いた事例

【事例1】広告表示の異常で気付いた事例
(被害者が女性のケースです)
特に異常なくスマホを使用できているが、ネット閲覧時に表示される広告が、男性向けの商品やサービスに関するものが頻繁に表示されるようになった。

【事例2】データ/ファイルの異常で気付いた事例
■データが壊れて開けなくなった。
■知らないファイルがいつの間にか保存されている。
■削除したファイルがいつの間にか元に戻っている。
■「最近使ったファイル」の履歴がおかしい。
■データの並び順が変わった
など。

【事例3】履歴の異常で気付いた事例
■インターネットの閲覧履歴。
■ネットショップの商品の閲覧履歴。
■動画サイトの視聴履歴。
■SNS のアクティビティやGPS の履歴
など。

【事例4】メールの異常で気付いた事例
■迷惑メールが届く頻度が急に増えた。
■メールが相手に届かないことが増えた。
■迷惑メールではないが、心当たりのない内容のメールが頻繁に届くようになった。
など。

無症状、関連現象も無し。潜伏型の乗っ取りの事例

【事例1】会社に持ち込んだら発覚した事例
自宅で使用しているときは全く気づかなかったが、実は乗っ取りの遠隔操作ウイルスに感染していたようで、会社に持ち込んでWi-Fi に繋げたところネットワーク全体に攻撃が展開されてしまい、本社、支店、海外支部にも被害が拡大してしまった。

【事例2】第三者からの指摘により発覚した事例
ある日突然、第三者から次のような指摘を受けた。
『あなたのメールアドレスから変な内容のメールが送られてきた。』とのことだった。
パソコンを確認したがそのようなメールを送信した履歴は無い。ウイルススキャンをしても何も異常は見つからない。しかし、問題のメールを見せてもらったところ、確かに自分のアドレスから送られているようだ。

【事例3】裁判や法的措置に関連して発覚した事例
例① ある日突然、身に覚えのない「ネットでの誹謗中傷」の罪で訴えられた。
例② 紛争の相手がパソコンから盗んだ情報を証拠として出してきた。
例③ いつの間にか証拠のデータ/ファイルを削除・改竄されていた。
など。
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】
3

状況に合わせた確認方法

乗っ取りの確認方法/調査方法は、被害状況により異なる。

状況① 完全に乗っ取られて使用不能な状態の場合

この場合、ご自身ではどうやっても確認ができません。
使用不能なのですから当然ですね。
サイバーセキュリティ専門企業の調査サービス(デジタル・フォレンジック)をご依頼頂く必要があります。
→ 専門調査会社「株式会社LT セキュリティ」

ただし全てのケースで調査が可能というわけではなく、状況やシステム環境などの要因により調査不可能というケースもあります。
調査可能か、調査費用は幾らぐらいか、まずは有料相談と見積もりを経てから調査をご検討下さい。

状況② 使用可能かつ長期間被害を受け続けている場合

この場合、乗っ取られている物の種類ごとに確認方法が異なります。

【外部Webサービスの場合】


SNS やクラウド等が乗っ取り被害を受けている場合には、「ログイン履歴」や「アクティビティログ」などといったログを確認し、ご自身のものではない痕跡を探す、というのが一般的な確認方法です。
ただし、「ログが真実の記録とは限らない」という点に注意が必要です。
ログの改竄や偽装などの隠蔽工作がある場合には、ログだけを見ても正確な判断はできません。
隠蔽工作された可能性があるケースでは、ご自身で確認するのは不可能かつ危険です。
詳しくは次のページで説明しています。
『不正アクセスの危険な確認方法に注意!』

【パソコンの場合】


まず最初に多くの方が勘違いしている事を説明します。
被害を受けた後にウイルス対策ソフトでスキャンしても、意味がないケースが多くあります。
なぜならばウイルススキャンの妨害や回避などの工作が施されていると、ウイルス対策ソフトの簡易的なスキャンでは検知できないからです。
(そもそもな話ですがウイルス対策ソフトで簡単に防げる種類のウイルスならば、被害を未然に防げているはずです。)
このように通常の簡易的なウイルススキャンでは意味がないことが多いので、より深くスキャンするツールを用いるのが一般的です。
具体的な製品名をここに挙げることはできませんが、Web検索で次のようなキーワードで検索すれば有名なツールが幾つも見つかります。
『アンチウイルス USB 起動』
『ウイルススキャン レスキューディスク』
それらのツールはWindows を起動させずにUSB メモリやCD-R などからパソコンを起動させて、通常ではスキャンできない領域まで深く調べるという物であり、簡易スキャンよりも多くのウイルスを検出可能です。
ただし残念ながら万能ツールというわけではなく、次の点に留意する必要があります。

【留意点①】このツールでも全ての乗っ取りを検出できるわけではない。例えば正当な遠隔管理機能を悪用する手口の乗っ取りは検出できない。

【留意点②】ウイルスを駆除するということは、自ら証拠を消してしまうこととなるので、法的措置を視野に入れている場合には適さない。

【留意点③】被害がパソコンだけでなく他の箇所(ネットワークやサーバー等)にも及んでいる場合には、ウイルスを駆除してもすぐに再感染するリスクが高い。

以上のような問題もありますので、万全を期すならばサイバーセキュリティ専門企業に調査を依頼すると良いです。
→ マルウェア検査サービス

【iPhone, iPad の場合】


ハッキリ申し上げます。
ご自身で確認するのは諦めて下さい。

iPhone 等の場合、ウイルス等の予防に役立つセキュリティ製品はありますが、残念ながら感染状態を深くスキャンできる製品はありません。
その理由の説明は長くなるので割愛しますが、簡単に言うと「Apple 社の方針によりウイルススキャンのプログラムを作れない仕様になっている」からです。
そのため現実的な対処としては、サイバーセキュリティ専門企業に調査を依頼するのが唯一の選択肢であると言えます。
→ マルウェア検査サービス

【Android の場合】


まずはウイルス対策アプリでスキャンしてみる、というのも一つの手です。
ただし無料のアプリは避け、有名メーカーの有料アプリを選択して下さい。
その理由の説明は長くなるので割愛しますが、簡単に言うと無料のウイルス対策アプリは「有効性が著しく低いものが沢山ある」という残念な状況だからです。
詐欺まがいな悪質アプリも存在するようです。
そのような状況ですので、有名メーカーの有料アプリを選んだほうが無難です。
ただしこの場合もパソコンの場合と同様、次の点に留意する必要があります。

【留意点①】全ての乗っ取りを検出できるわけではない。例えば正当な遠隔管理機能を悪用する手口の乗っ取りは検出できない。

【留意点②】ウイルスを駆除するということは、自ら証拠を消してしまうこととなるので、法的措置を視野に入れている場合には適さない。

【留意点③】被害がスマホだけでなく他の箇所(パソコンやネットワーク等)にも及んでいる場合には、ウイルスを駆除してもすぐに再感染するリスクが高い。

以上のような問題もありますので、万全を期すならばサイバーセキュリティ専門企業に調査を依頼すると良いです。
→ マルウェア検査サービス

状況③ 使用可能かつ発覚してから時間経過が少ない場合

基本的には前項の「状況② 使用可能かつ長期間被害を受けている場合」と同じです。
状況②と③の違いは、「揮発性のデータ」を収集できるかどうかの違いとなります。
揮発性データとは、時間の経過や電源のON/OFF 等により消失するデータです。
(例:メインメモリーの中のデータ、短期で消滅するログなど)
被害発覚から時間経過が短い場合には、緊急の証拠保全を実施することで揮発性データを保全できると期待できます。
72時間以内であれば揮発性データが残っている可能性はかなり高いです。
揮発性データの証拠保全は必須ではありませんが、調査の際に判断材料は多ければ多いほど良いので、その意味で有用です。
ただし調査費用は高額になります。
相場感として、120万円~180万円が目安です。
このような高額な費用をかけてでも万全を尽くしたいという場合にご検討下さい。
→ 専門調査会社「株式会社LT セキュリティ」

調査を依頼する場合は次の重要事項を守った上で、速やかにサイバーセキュリティ専門企業にご依頼下さい。
①ネットワークを遮断する
 (Wi-Fi をOFF にする、LAN ケーブルを抜く、機内モードにする、など。)
②電源はOFF にせず、ON のままを保つ。
 (画面消灯、スリープ、サスペンド、省電力状態に なるのは問題ないが、シャットダウンはダメ。)
③SIM カードは抜かない。SIM スロットは開けない。
 (SIM を抜くと再起動する機種もあるため。)


状況④ 過去に被害を受けていたが現在は止んでいる場合

この場合は「簡易」かつ「確実」な確認方法はありません。
痕跡を辿って過去に遡る「タイムライン解析」という調査手法が適していて、それは警察など法執行機関の調査と同じ本格調査(デジタル・フォレンジック)となります。
そのため、サイバーセキュリティ専門企業の調査サービスのご依頼をご検討下さい。
→ 専門調査会社「株式会社LT セキュリティ」
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】
4

費用対効果の良い
調査計画

スマホ/パソコンなど端末の乗っ取りの調査

被害を受けていることが明らかで、速やかに法的措置等を検討したいという場合には、専門調査会社による「デジタル・フォレンジック」という本格調査が適しています。
→ 専門調査会社「株式会社LT セキュリティ」

乗っ取られているのかどうかハッキリしないと言う場合には、いきなり高額な本格調査を実施するのではなく、より簡易・低価格な検査サービスでまずは正確に被害確認をすると良いです。
→ マルウェア検査サービス

外部Webサービスの乗っ取りの調査は難しい問題がある

外部Webサービスの設備・システムは運営会社が所有する物ですので、ユーザーからの依頼では調査方法に限界があります。
運営会社からの調査依頼であれば、設備に調査機材を接続するなどして“物理的”に調査できるのですが、ユーザーからの調査依頼ではそのような調査はできず、ネット越しに出来る範囲でしか調べることができないので、調査の精度が劣ることになります。
ですので、もし外部Webサービスだけでなくスマホやパソコン自体にも何らかの乗っ取り被害が生じている場合には、まず先にユーザーの手元にある端末のマルウェアから調べ進めた方が、調査の精度や調査費用 の面で考えると良いこととなります。

補足

次のような疑問をお感じの方もいると思います。
『なんで外部Webサービスの事案で端末のマルウェアを調べるの?』

【用語解説】マルウェアとは、遠隔操作ウイルスやスパイウェアなど不正なプログラムを総称する用語です。

【理由1】
近時では乗っ取りとマルウェアが表裏一体となっているケースが多くあります。
マルウェア感染によりパスワードを盗まれてから外部Webサを乗っ取られた、とか、外部Webサービスを乗っ取られて不状態になったためにマルウェアに感染した、というようなケースが多くあります。
そのため端末のマルウェアを調査することで外部Webサービ検知できるケースもかなり多くあるのです。

【理由2】
マルウェア検査は低価格(6万円)です。
これに対して外部Webサービスの乗っ取りの調査は高額です。(最低60万円、通常120万円~)
このような費用面を考慮すると、多くの方におすすめできるのは端末のマルウェア検査となります。
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】
5

解決の流れ

まずは検査。次に本格調査。そして、場合によっては法的措置。

まずは検査を受ける。

スマホやパソコンが乗っ取りの被害に遭っている恐れがある場合は、まずはマルウェア検査を受けましょう。
検査を受ければ、遠隔操作ウイルスに感染しているかどうか(陽性 or 陰性)が分かりますし、陽性の場合はどのような種類・攻撃手口のマルウェアに感染し、どのような危険に晒されているのかが分かります。

次に本格調査を検討する。

本格調査「デジタル・フォレンジック」とは、法的措置のための証拠保全や証明をする調査サービスです。
マルウェア検査を受けた後は、デジタル・フォレンジックの専門技術者とご相談が可能となります。

法的措置を検討する

本格調査(デジタル・フォレンジック)で証拠や報告書等の必要な物を揃えれば、次に挙げるような法的措置が可能となります。
◆弁護士介入、警察介入
◆犯人特定
◆慰謝料請求(損害賠償請求)
◆刑事告訴
◆訴訟
スマホ・パソコンの乗っ取りのウイルス感染を確認する【マルウェア検査】