パソコン・スマホの
「乗っ取り」を考える
(リモートログインと自動実行)

by

「スマホが乗っ取られてしまったか心配」という相談があります。
話を聞くと、変なメールのリンクを押してしまったり、偽のサイトを表示してしまったとのこと。

確かに心配な操作ですが、「乗っ取り」という言葉はもう少し区別して考える必要があります。

関連記事

1. 「乗っ取り」を分解してみる

「乗っ取り」という言葉には、誰かが遠隔から端末を自由に操作しているイメージがあります。
しかし実際には、インストールしたマルウェアが自動的にデータを送信しているだけのケースもあります。

言葉の違和感から始まった疑問 「乗っ取り」のイメージ 誰かが遠隔操作? 実際の仕組み ! マルウェアが自動実行 人間は直接操作していない → 2つは全く異なる脅威なのに、混同されている

人が直接操作する侵害と、プログラムの自動動作。
この2つは全く異なるはずなのに、「乗っ取り」という言葉で混同されています。

まず、攻撃の形態を分類してみます。

「乗っ取り」を分解してみる 攻撃主体 人間主導型 自動化型 ハイブリッド型 時間軸 即時型 (リアルタイム操作) 非同期型 (後日悪用) 侵害対象 端末の乗っ取り アカウントの乗っ取り (最近はこちらが主流) 「乗っ取り」は単一の概念ではない → 異なる脅威を正確に理解することが重要

攻撃主体による分類では、人間が直接操作する「人間主導型」、マルウェアが自動実行する「自動化型」、そして両方が組み合わさった「ハイブリッド型」があります。
スマホでよく聞く「乗っ取り」の多くは、実は自動化型です。
誰かがリアルタイムで操作しているわけではありません。

時間軸での分類も重要です。
攻撃者が即座に操作する「即時型」と、情報を収集して後で悪用する「非同期型」があります。
フィッシング詐欺で得た認証情報を使って後日アカウントにログインする。
これは非同期型です。

さらに侵害対象も分けられます。
「端末の乗っ取り」と「アカウントの乗っ取り」は別物です。
前者は端末そのものを制御されること。
後者はクラウドサービスのアカウントが不正利用されること。
最近の被害の多くは、実は後者です。

2. 昔は本当に危なかった

ここで、時代をさかのぼってみます。
Windows 95やXPの時代、パソコンをインターネットにつなぐだけで危険でした。

昔は本当に危なかった Windows 95 / XP 時代 ファイアウォール:デフォルトで無効 自動更新:なし ネットワークサービス:無防備に動作 Blasterワーム:つないだだけで感染 「つないだだけで危険」は事実だった あの頃の恐怖は正しかった。システムそのものが脆弱だった。

当時のOSには、今では考えられないほどの脆弱性がありました。
ファイアウォールはデフォルトで無効。
自動更新もない。

ネットワークサービスが無防備に動いていて、外部から簡単にアクセスできました。
そのため、Blasterワームのような、つないだだけで感染するマルウェアが実際に猛威を振るいました1

あの頃の恐怖は、正しかったのです。
システムそのものが脆弱だったから、ユーザーが何もしなくても侵入される。
「つないだだけで危険」は事実でした。

2.1. 今は何が変わったのか

現代のパソコンやスマホでは、状況が一変しています。

今は何が変わったのか Windows 11 / スマホ OS の時代 ファイアウォール:デフォルトで有効 自動更新:脆弱性を迅速に修正 サンドボックス:アプリを隔離して実行 権限管理:カメラ・マイクへのアクセス制御 デフォルト設定なら、システム侵害はほぼ起きない 最新状態を保っていれば、ゼロデイ攻撃以外は安全

OSはデフォルトで堅牢です。
ファイアウォールは有効。
自動更新が動き、脆弱性は迅速に修正されます。
アプリは厳格に審査され、サンドボックスで隔離されて動作します2
許可なくカメラやマイクにアクセスすることはできません3

つまり、デフォルト設定のまま最新状態を保っていれば、システムレベルの侵害はほとんど起きなくなったのです4

パソコンやスマホの頻繁な「アップデート」は面倒ですが、それによってセキュリティが強化されているのです。

2.2. 脅威の「主語」が変わった

では今の脅威は何か。
それは人間の判断ミスです。

脅威の「主語」が変わった 昔の脅威 PC システムの脆弱性 今の脅威 ユーザーの行動 つなぐだけで危険 許可したときだけ危険

怪しいアプリを自分でインストールする。
フィッシングメールのリンクをクリックして認証情報を入力する。
不審なファイルを開く。
公式ストア以外からアプリを入れるために、セキュリティ設定を自ら解除する。

現代の侵害の大半は、こうしたユーザー操作が起点になっています。
システムが侵入を許したのではなく、ユーザーが扉を開けたのです。

ここで重要な認識の転換が必要です。

昔の脅威は「システムの脆弱性」が主語でした。
だから「つなぐだけで危険」だった。
今の脅威は「ユーザーの行動」が主語です。
だから「許可したときだけ危険」なのです。

この変化を理解せずに、昔の恐怖をそのまま今に当てはめている人が多い。
「スマホをWi-Fiにつないだら乗っ取られるかも」
「アプリを入れたら勝手に操作されるかも」。

そんな心配をする人には、
「デフォルト設定で最新OSを使っている限り、あなたが何かを許可しない限り、ほぼ何も起きません」

もちろん絶対安全とは言えません。
しかし、脅威の性質が変わったことを理解すれば、何に気をつけるべきかが見えてきます。

3. 「アカウント」を守るのは貴方自身

さらに言えば、今の脅威の中心は手元のパソコンやスマホではなく「アカウント」です。

「アカウント」の時代 クラウド 銀行 SNS メール ストレージ EC ! 端末よりアカウントを狙う方が効率的 パスワードを入力させるだけ → システムの脆弱性は不要

銀行、SNS、メール、クラウドストレージ。
私たちの重要な情報はすべてクラウドにあります。
しかも、パスワードを利用者から騙し取るには、システムのセキュリティは関係ありません。

攻撃者にとっては、端末を乗っ取るより、アカウントの認証情報を盗む方がはるかに「効率的」なのです。

フィッシング詐欺が横行するのは、このためです5
「端末を乗っ取る」技術的な攻撃より、「人を騙してパスワードを入力させる」社会工学的な攻撃の方が、今は主流なのです。

4. 言葉を正確に使う大切さ

「乗っ取り」という心配は、昔のイメージを引きずったままだと、本当の脅威が見えなくなります。
端末が勝手に操作される心配をするより、自分が騙されて情報を渡してしまうリスクを意識すべきです。

技術的な防御は十分に進化しました。
でも、人間の判断は完璧ではありません。
だからこそ、脅威を正確に理解し、何に注意すべきかを知ることが重要なのです。

  1. Blasterワーム(MSBlast)は2003年8月に発生し、Windows 2000とXPのRPC(Remote Procedure Call)の脆弱性を悪用して感染を広げた。2003年8月15日時点で42万3000台の感染が報告された – Blaster ワームへの対策 ‐ Windows XP 編 | Microsoft Learn
  2. AndroidとiOSではアプリをサンドボックス内で実行する設計を採用している。各アプリは独立したユーザーID(UID)を持ち、他のアプリやシステムから隔離された環境で動作する – アプリ サンドボックス | Android Open Source Project
  3. iOS、iPadOS、およびvisionOSでは、他社製アプリはすべてサンドボックス化され、他のアプリによって保存されたファイルにアクセスしたり、デバイスに変更を加えたりすることはできない。各アプリには専用のホームディレクトリが用意され、ランダムに割り当てられる – iOS、iPadOS、およびvisionOSでのランタイムプロセスのセキュリティ – Apple サポート (日本)
  4. もちろん、ゼロデイ攻撃のような例外はありますが、それは一般ユーザーが標的にされることはまずありません。
  5. 2024年のフィッシング報告件数は171万8,036件と過去最高を記録し、フィッシングを用いた不正送金事件の被害額は86億9,000万円に達した – SNS詐欺178%増、フィッシング171万件超え—令和6年のサイバー脅威と警察の対策