SMSのリンクでスマホが感染？詐欺SMSをばらまくAndroidマルウェアに注意

SMSのリンクって、押しただけでスマホが乗っ取られるの？それともアプリを入れた時が危ないの？

ポイントはそこです。押しただけなら落ち着いて閉じる。Androidで偽アプリを入れた場合は、SMS送信や情報流出の確認まで進めよう。

日本サイバー犯罪対策センター（JC3）などから、ちょっとゾッとする警告が出ました。

あわせて確認：SMSリンクを押した直後の切り分けは SMSのリンクを押してしまったら？スマホで最初に確認すること、届いたSMSから支払いに進む手口は スマホ決済に誘導する詐欺メールの見分け方、パソコンに偽警告が出た場合は サポート詐欺・偽ウイルス警告の消し方 を確認してください。

「あなたのスマートフォンが犯罪のインフラに」

え、どういうこと？って思いますよね。

簡単に言うと、あなたのスマホが乗っ取られて、あなたの電話番号から、あなたの知らないうちに、詐欺SMSが何百通も送られているかもしれない、という話なんです。

しかも怖いのは、その詐欺SMSを受け取った人が被害に遭った場合、警察があなたの電話番号を発信元として捜査を始める可能性があるということ。あなたは被害者なのに、加害者として疑われるリスクがあるんです。

🔄 従来の攻撃と何が違うの？

普通のフィッシングは「情報を盗まれる」って話だよね。スマホが発信元になるって、何が違うの？

盗まれるだけでなく、端末が詐欺SMSを送る側に使われる点が違います。ここからは「感染までの流れ」と「家庭で見るべきサイン」を分けて見ます。

まず、従来のサイバー攻撃を思い出してください。

たとえば、フィッシングサイトに引っかかってクレジットカード情報を入力してしまった。すると、そのカード情報が悪用されて不正利用される。これが従来型です。あなたが「被害者」で、あなたの情報が「盗まれる」というシンプルな構図ですね。

でも、今回JC3が警告している新しい脅威は、構図がまったく違います。

あなたのスマホ自体が「攻撃の発射台」になるんです。

具体的に説明しましょう。

スマホが悪用されるまでの流れ

ステップ1：感染する

ある日、あなたのスマホにこんなSMSが届きます。

「佐川急便です。お届けに伺いましたがご不在でした。こちらから再配達の手続きをお願いします → https://xxxxx.duckdns.org」

「あ、そういえばAmazonで何か頼んでたかも」と思ってリンクをタップ。すると「セキュリティのため、Chromeを最新版にアップデートしてください」という画面が出てきます。

言われるがままに「インストール」を押すと…はい、これでマルウェアに感染しました。

実はこの「Chrome」は偽物で、中身はMoqHao（モクハオ）やKeepSpy（キープスパイ）と呼ばれるマルウェアなんです。

ステップ2：「親玉」の居場所を調べる

C2サーバーとかボットネットって急に難しい言葉が出てきた…。

ざっくり言うと、C2は攻撃者からの命令所、ボットネットは命令を受ける端末の集まりです。仕組みを知ると「なぜ偽アプリが危険か」が見えてきます。

感染したマルウェアは、次に「親玉」と連絡を取ろうとします。この親玉を専門用語でC2サーバー（Command & Control Server＝指令サーバー）と呼びます。

でも、ここで一つ問題があります。

もしマルウェアのコードの中に「C2サーバーのアドレスは203.0.113.50です」と直接書いてあったらどうなるでしょうか？

セキュリティ研究者がマルウェアを捕まえてコードを解析すれば、すぐにそのアドレスがわかります。そして「このIPアドレスへの通信はブロックしろ」と世界中のセキュリティソフトに通達される。そうなると、感染したスマホが何万台あっても、全部一斉に通信できなくなってしまいます。

犯罪者にとって、これは大問題です。せっかく感染させた「資産」が一瞬で使い物にならなくなる。

そこで犯罪者たちは、巧妙な方法を編み出しました。

🕵️ 「外部の掲示板」に住所を書いておく手口

犯罪者はこう考えました。

「マルウェアの中に住所を書くからバレるんだ。だったら、外部のどこかに住所を書いておいて、そこを見に行かせればいい」

具体的にはこんな仕組みです。

【事前準備】犯罪者がやっておくこと

PinterestやInstagram、Imgurなどの普通のSNSにアカウントを作ります。そして、そのプロフィール欄に暗号化したC2サーバーのアドレスを書いておきます。

たとえばこんな感じ：

Pinterestのプロフィール欄：
┌─────────────────────────────┐
│ 名前: haoxingfu88           │
│ 自己紹介: shaoye77xKz9Qm... │ ← 人間が見ると意味不明な文字列
└─────────────────────────────┘

人間が見ても「変なユーザーだな」としか思いません。でも、マルウェアはこの文字列の「解読方法」を知っています。

【感染後】マルウェアがやること

1. まずPinterestにアクセスする（普通のHTTPS通信）
2. 指定されたアカウントのプロフィールページを開く
3. プロフィール欄の文字列「shaoye77xKz9Qm…」を取得
4. マルウェア内蔵の復号アルゴリズムでデコード
5. 結果：「203.0.113.50」というC2サーバーのIPアドレスが判明！

つまりPinterestは「リンク先に飛ばす」のではなく、「暗号化されたメモを置いておく掲示板」として使われているんです。

ステップ3：C2サーバーに接続する

プロフィール欄から住所がわかったら、マルウェアはそのC2サーバーに接続しに行きます。

ここで「結局C2サーバーに接続するなら、Pinterestを挟む意味あるの？」と思うかもしれません。

たしかに、最終的なC2サーバーへの通信自体はブロックされる可能性があります。完全に隠せるわけではありません。

でも、犯罪者にとって大きなメリットがあるんです。

メリット①：マルウェアを解析されても、すぐにはC2がわからない

セキュリティ研究者がマルウェアのコードを解析しても、中には「Pinterestを見に行け」としか書いてありません。実際にマルウェアを動かしてPinterestにアクセスさせないと、本当のC2アドレスがわからない。対応が遅れます。

メリット②：バレても簡単にリカバリーできる

仮にC2サーバー（203.0.113.50）がバレてブロックされたとします。

従来の方法だと、新しいアドレスを書いた新しいマルウェアを作り直して、また最初からばら撒く必要がありました。既に感染させた端末は「使い捨て」です。

でもこの方式なら、Pinterestのプロフィール欄を書き換えるだけでOK。既に感染しているスマホは、次にPinterestを見に行ったとき自動的に新しいC2アドレスを取得します。マルウェア本体を更新する必要がないんです。

つまり、せっかく感染させた何万台ものスマホを「資産」として維持し続けられるわけです。

ステップ4：ボットネットの一員になる

C2サーバーとの通信が確立すると、あなたのスマホは犯罪者の「兵隊」の一人になります。

こうやって乗っ取られたスマホが何千台、何万台と集まったものを「ボットネット」と呼びます。「ボット」はロボットの略、「ネット」はネットワーク。つまり、犯罪者が遠隔操作できるロボット軍団みたいなものです。

ステップ5：あなたの番号で詐欺SMSが送られる

ここからが本当に怖いところです。

犯罪者がC2サーバーから「SMS送れ」という指令を出すと、感染したスマホは一斉にSMSを送信し始めます。

具体的には、マルウェアはインストール時に「SMSの送信権限」を取得しています（偽のChromeアプリが「スパム防止のため、SMSへのアクセスを許可してください」などと言って許可を求めてきたはずです）。この権限があると、標準のAndroid SMS機能を使って、バックグラウンドで、ユーザーの操作なしに、SMSを送信できるんです。

あなたは普通にスマホを使っているつもりでも、裏では詐欺SMSがどんどん送られている。しかも送信履歴はマルウェアによって隠されるので、気づきにくい。

送信されるのは、最初にあなたを騙したのと同じような詐欺SMS。「佐川急便です」「Amazonです」「カードが不正利用されました」といった文面が、あなたの090や080の番号から、見知らぬ誰かに送られていきます。

C2サーバーからは「この50件の電話番号に、この文面を送れ」という指令が来ます。マルウェアは1.3秒間隔でSMSを送信し、65秒ごとにC2サーバーに「次の指令ください」と確認しに行く。完全に自動化された工場のラインのように、粛々と詐欺SMSが送られ続けます。

つまりこういうことです。

あなたの電話番号 → 他人のスマホに詐欺SMS → その人が騙されてマルウェアに感染 → その人の電話番号からまた別の人へ…

被害者が次の加害者を生む、ねずみ算式の拡大です。

しかも、送信に使われるのはあなたの通信契約です。何百通もSMSを送れば、当然その分の料金はあなたに請求されます。犯罪者はタダ、あなたは高額請求。最悪ですよね。

⚠️ 警察に捜査されるリスク

ここで見落としがちな、でも非常に重要な問題があります。

あなたのスマホから詐欺SMSが送られ、それを受け取った人が騙されてお金を失った場合、警察は発信元の電話番号を調べます。それはあなたの番号です。

「え、でも自分は被害者なのに…」

そうなんです。あなたは確かに被害者です。でも、警察から見れば「この番号から詐欺SMSが送られている」という事実があります。最初は容疑者として扱われる可能性があるんです。

もちろん、調査が進めばマルウェア感染が原因だとわかるでしょう。でも、その間に：

• 警察から事情聴取を受ける
• 携帯キャリアから利用規約違反で契約を解除される
• 最悪の場合、「ブラックリスト」に入って新規契約が困難になる

といったリスクがあります。

「知らなかった」は通用しても、その証明には時間と労力がかかる。これが「犯罪インフラ化」の本当に怖いところです。

MoqHao・KeepSpyの動きをもう少し詳しく

MoqHao（モクハオ）という厄介者

MoqHaoは「Roaming Mantis（ローミング・マンティス）」という犯罪グループが使っているマルウェアです。

このグループは中国語を話す、金銭目的の犯罪集団で、2017年から活動が確認されています。主に日本、韓国、台湾、フランス、ドイツ、アメリカ、イギリスのユーザーを狙っています。日本は主要なターゲットの一つなんです。

🤔 「App StoreやGoogle Playの審査は？」という疑問

ここで多くの人が疑問に思うはずです。「iPhoneのApp StoreやAndroidのGoogle Playって、厳しい審査があるんじゃないの？」

その通りです。だからMoqHaoは基本的に公式ストアを経由しません。

SMSに書かれたリンクをタップすると、公式ストアではない場所から直接APKファイル（Androidアプリのインストールファイル）をダウンロードさせられます。これを「サイドロード」と呼びます。

Androidでは設定で「提供元不明のアプリのインストール」を許可していると、公式ストア以外からでもアプリをインストールできてしまいます。MoqHaoの偽サイトには、ご丁寧にも「インストール方法」が図解で説明されていて、「設定を変更してインストールを許可してください」と誘導してきます。

ただし、例外もあります。2019年には実際にGoogle Playに掲載されていた偽のセキュリティアプリが発見されました。パッケージ名を偽装し、日本の警察や携帯キャリアのセキュリティソフトを装っていたんです。Google Playの審査をすり抜けた例も存在するということです。

iPhoneの場合は事情が異なります。iOSは基本的にサイドロードができないので、MoqHaoをインストールさせることができません。そのため、iPhoneユーザーがリンクをタップすると、Apple IDを盗むフィッシングサイトに誘導されます。マルウェアは入れられないけど、認証情報は盗める、というわけです。

📱 スマホ上ではどう見える？

「じゃあ、インストールしたら変なアイコンが表示されてバレるんじゃないの？」

残念ながら、そう簡単ではありません。

MoqHaoはGoogle Chromeのアイコンと名前を偽装しています。ホーム画面には「Chrome」というアプリが表示されます。普通の人は「あれ、Chrome入れたっけ？」くらいにしか思いません。

ただし、よく見ると見分けがつく場合もあります。偽アプリが権限を要求するポップアップで、一部の文字だけ太字になっているとか、フォントがおかしいといった違和感があることがあります。でも、急いでいるときにそこまで注意深く見る人は少ないですよね。

2024年以降の新型MoqHaoは、さらに厄介な進化を遂げています。従来は「アプリを開いたら動き出す」だったのが、インストールした瞬間に自動で悪性活動を開始するようになりました。ユーザーが「あ、やっぱり怪しいからアンインストールしよう」と思う前に、もう手遅れになっている可能性があります。

🌐 Wi-Fiルーターまで乗っ取る

MoqHaoの一部の亜種は、スマホだけじゃなく、そのスマホがつながっているWi-FiルーターのDNS設定まで書き換える機能を持っています。

DNSというのは「このURLはどのサーバー？」を教える電話帳みたいなもの。これを書き換えられると、家族が別のスマホやパソコンで「本物の銀行サイト」にアクセスしたつもりでも、偽サイトに飛ばされてしまう可能性があります。一台の感染が家全体に広がるわけです。

KeepSpy（キープスパイ）という銀行狙いの専門家

KeepSpyは、MoqHaoとはちょっと毛色が違います。こちらは特に銀行口座を狙うことに特化したマルウェアです。

どうやって入ってくるか

KeepSpyは単独で侵入することもありますが、よくあるのはTianySpy（ティアニースパイ）という別のマルウェアが「運び屋」になるパターンです。

TianySpyがまず侵入して、後からKeepSpyを追加でダウンロードする。モジュール式というか、レゴブロックみたいに機能を組み合わせられる設計になってるんですね。これにより、最初の検知をすり抜けやすくなっています。

偽装の手口としては「ドコモあんしんセキュリティ」「ソフトバンクのセキュリティアプリ」など、キャリア公式のセキュリティソフトを装うことが多いです。「セキュリティのためにインストールしてください」と言われると、むしろ積極的に入れたくなりますよね。その心理を突いてきます。

何ができるか

KeepSpyの能力は本当に多彩で怖いです。

まず、Wi-Fiの制御ができます。Wi-Fiを勝手にオンにしたり、特定のネットワークに強制接続させたりできる。これを使って、犯罪者が用意した「偽Wi-Fi」につながせ、通信内容を盗み見る「中間者攻撃」が可能になります。

次に、SMSの完全コントロール。犯罪者がC2サーバーから「この番号にこの文面を送れ」と指令を出すと、感染したスマホは言われた通りにSMSを送信します。これがまさに「犯罪インフラ化」の正体。あなたのスマホが、犯罪者のSMS送信マシンになるわけです。

そして最も直接的な被害につながるのが、Webオーバーレイという機能。あなたが本物の銀行アプリを開くと、KeepSpyがそれを検知して、アプリの上に偽のログイン画面をかぶせます。見た目は本物そっくり。あなたはいつも通りIDとパスワードを入力しますが、その情報は銀行ではなく犯罪者に送られています。

さらに怖いのは、銀行から届くワンタイムパスワード（OTP）のSMSも、KeepSpyが横取りしてリアルタイムで犯罪者に転送すること。あなたが「ログインできないな、おかしいな」と思っている間に、犯罪者はあなたのOTPを使って不正送金を完了させています。

詐欺文面が自然になっている理由

ここまででも十分怖いんですが、2025年の状況をさらに深刻にしているのが生成AIの悪用です。

「怪しい日本語」はもう通用しない

昔の詐欺メールって、こんな感じでしたよね。

「貴方のアカウントは危険の状態です。今すぐ確認してください必要です。」

「日本語おかしいな」で気づけた時代は終わりました。

今の詐欺SMSはこうです。

「お届け予定の荷物について、ご不在のため持ち帰りました。下記より再配達の日時をご指定ください。」

完璧な日本語。敬語もビジネスマナーも完璧。本物の企業が送ってきたとしか思えません。

これは犯罪者が日本語を勉強したわけじゃなくて、ChatGPTのようなAIに書かせているからです。

毎回違う文面という悪夢

さらに厄介なのは、AIを使うと同じ意味でも無限にバリエーションを作れるということ。

たとえば「荷物を届けに来たけど不在だった」という内容を、AIに「10パターン作って」と頼むと：

• 「配送状況の確認をお願いいたします」
• 「お届けにあがりましたがご不在でした」
• 「配送センターでお預かりしております」
• 「ご確認の上、再配達をお申し込みください」
• 「お届け先ご不在のため持ち戻りとなりました」

…という具合に、全部違う文面が出てきます。

これの何が問題かというと、スパムフィルターが効かなくなるんです。

従来のスパムフィルターは「この文面が来たらブロック」というパターンマッチングで動いていました。でも、毎回文面が違うと、それぞれが「初めて見る文章」になってしまう。JC3の調査でも「SMSごとに文面が違うことが確認されている」と報告されており、検知が極めて困難になっています。

悪いことに特化したAIもある

ChatGPTには「フィッシングメールを作って」と頼んでも断られる安全装置がついています。でも、ダークウェブにはDarkBERTやWormGPTといった「悪事専用」のAIが出回っています。これらは犯罪的な依頼にも制限なく応じてくれるので、犯罪者にとっては使い放題というわけです。

🎯 どんなブランドが狙われてる？

フィッシング対策協議会の月次報告を見ると、悪用されているブランドの傾向がわかります。

Amazonが単独トップで全体の約11.2%。「支払いに失敗しました」「プライム会員資格が失効します」「アカウントがロックされました」といった文面が、AIによって大量生産されています。ブラックフライデーなどのセール時期には特に激化します。

クレジットカード・信販系が全体の約23%と、カテゴリとしては最大。「不正利用の疑い」「カード利用制限のお知らせ」など、緊急性を煽る文面が特徴です。JCB、三井住友カード、楽天カードなど、有名どころは軒並み悪用されています。

配送系（佐川・ヤマト・日本郵便）も約10%。これは昔からの定番ですが、いまだに効果があるから続いているんでしょう。

2025年の新しいトレンドとしては、公的機関を装う手口が増えています。「国勢調査へのご協力のお願い（回答義務あり）」「税務署からの未払い税金のお知らせ」「電気料金未払いのため供給を停止します」など、断りにくい・無視できない相手を装ってくるのが特徴です。

被害状況と広がり

数字で見ると、事態の深刻さがわかります。

• 📈 月によってはフィッシング報告が十万件を大きく超える規模（1日平均7,000件以上）
• 🏢 悪用されたブランドは115種類（もはや「どのブランドが安全」とは言えない）
• 💸 2024年の特殊詐欺被害額は約7,215億円
• 💳 クレジットカード不正利用だけでも約555億円

2025年もこのペースか、それ以上で被害が出ていると見られています。

スマホが悪用されているサイン

仕組みはわかったけど、家で見るならどこを確認すればいい？

覚えのないSMS送信、急な通信量増加、知らないアプリ、キャリア決済の請求。この4つは優先して確認しましょう。

ここまで読んで「自分は大丈夫かな…」と不安になった方もいるかもしれません。以下のような症状があったら、あなたのスマホが犯罪インフラになっている可能性があります。

身に覚えのない高額請求が来たら要注意です。バックグラウンドで何百通ものSMSが送られていると、定額プランの上限を超えたり、国際SMSの従量課金が発生したりします。「今月やけに携帯代が高いな」と思ったら、明細を確認してください。

知らない人から「何のSMSですか？」と電話やSMSが来るのも危険信号です。あなたの番号から送られた詐欺SMSを受け取った人が、「荷物なんて頼んでないんですけど」「何の用件ですか」と連絡してきているわけです。

バッテリーの減りが異常に早い、スマホの動作がやたら重いというのも、バックグラウンドでマルウェアが活動している兆候かもしれません。

もしこれらに心当たりがあったら、今すぐ機内モードにして通信を遮断してください。その上で、契約しているキャリアのサポート窓口や、最寄りの警察に相談しましょう。

🛡️ 自分を守るために

結局、家族には何を伝えればいい？

「SMSのリンクからアプリを入れない」「入れたかもと思ったら一人で消そうとせず相談する」。この2つだけでもかなり効きます。

大原則：SMSのリンクは絶対にタップしない

これが一番大事です。どんなに本物っぽくても、どんなに急かされても、SMSに書いてあるリンクは踏まない。

荷物の再配達をしたいなら、SMSのリンクではなく、佐川急便やヤマト運輸の公式アプリを開くか、ブラウザのブックマークから公式サイトにアクセスする。この一手間が、あなたを守ります。

Androidユーザーは設定を確認

Androidの設定で「提供元不明のアプリのインストール」を無効にしておきましょう。これだけで、偽アプリのインストールをかなり防げます。

設定 → セキュリティ → 「提供元不明のアプリ」または「不明なアプリのインストール」を確認してください。

セキュリティアプリを入れる

キャリアが提供しているセキュリティサービスや、McAfee、Trend Microなど信頼できるベンダーのセキュリティアプリを入れておくと、不審なアプリのインストール時に警告してくれます。

AndroidにはGoogle Play Protectという機能が標準で入っていて、これがオンになっていれば既知のマルウェアは検知されます。ただし、新種のマルウェアには対応が遅れることもあるので、過信は禁物です。

「急かす」メッセージは詐欺の常套句

「今すぐ確認してください」「本日中に手続きしないと」「24時間以内に対応しないと停止されます」

こういう文面を見たら、まず深呼吸。本当に緊急なら、企業は電話してくるか、郵便で通知を送ってきます。SMSで「今すぐ」と言ってくるのは、冷静に考える時間を与えないための手口です。

🏛️ 国も動き出した

国や通信事業者も、ボットネットやフィッシングSMSへの対策を強化しています。

ただし、制度や事業者側の対策だけで家庭のスマホを完全に守ることはできません。SMSのリンクを開かない、野良アプリを入れない、OSとブラウザを更新する、といった基本対策が重要です。

犯罪者側のC2サーバーや配信基盤が止められても、別の文面・別のドメインで再開されることがあります。利用者側の入口対策も欠かせません。

また、オンラインでの口座開設では、従来の「身分証の写真をアップロード」という方法から、マイナンバーカードのICチップ読み取りによる本人確認へと移行が進んでいます。これにより、フィッシングで盗んだ身分証画像を使った「なりすまし口座開設」を防ぐ狙いです。

📝 まとめ

長くなりましたが、要点をまとめます。

【何が起きているか】

あなたのスマホがマルウェアに感染すると、「ボットネット」の一部になります。そして、あなたの電話番号から、あなたの通信料で、詐欺SMSが大量に送られます。

【なぜ巧妙か】

マルウェアはC2サーバーのアドレスを自分の中に持たず、PinterestなどのSNSのプロフィール欄に暗号化して置いています。これにより、マルウェアを解析されてもすぐにはC2がわからず、仮にバレてもプロフィールを書き換えるだけで復活できます。

【あなたのリスク】

被害者であると同時に、加害者にもなりかねません。あなたの番号から詐欺SMSが送られれば、警察の捜査対象になる可能性すらあります。

【どう守るか】

SMSのリンクは絶対にタップしない。これが最大の防御です。

📚 参考情報

• JC3（日本サイバー犯罪対策センター）公式サイト
• フィッシング対策協議会 月次報告
• 警察庁 サイバーセキュリティ情報
• McAfee / Kaspersky / SEKOIA セキュリティレポート

SMSや詐欺メール全般の基本は フィッシング詐欺対策まとめ、すでに入力・支払い・インストールをしてしまった場合は ネット詐欺に遭ったかも？最初にやることまとめ も確認してください。