サポート詐欺で遠隔操作を許してしまったと

(最悪シナリオと最多発シナリオ)

by
  • サポート詐欺で遠隔操作ツールをインストールしてしまっても、すぐに最悪の事態とは限りません。
  • 使われたツールが正規ソフトで、接続中に金融情報やパスワード画面を開いていなければ、被害は画面に映った範囲に留まります。
  • 口頭でカード番号を求めてきた場合、高度な攻撃より即時の金銭詐取が目的だった可能性が高く、深刻な侵害のリスクは相対的に下がります。
  • 状況を整理した上で、インストール済みアプリの確認・パスワード変更・アカウントのセキュリティ診断という現実的な対処を取ることが大切です。

関連記事

1. サポート詐欺で遠隔操作アプリをインストールしてしまった

「自宅のパソコンに警告が出て、書かれている電話番号にかけたら、指示通りに遠隔操作アプリを入れてしまった。クレジットカードでの支払いを求められたので、そこで不審に思って切断したが、個人情報などがどこまで取られたのか心配」という相談がありました。

サポート詐欺と遠隔操作 典型的な手口 ① 偽警告が表示される 「ウイルスを検出しました」 ② 電話をかけさせる 「マイクロソフトサポート」を名乗る ③ 遠隔操作ツールを導入 AnyDesk / TeamViewer など ④ カード情報を口頭で要求 「修理費」「保護サービス料」 被害はどこまで? 最悪シナリオ マルウェア侵入 → 全情報漏洩 キーロガー・永続化・PC初期化必要 最多発シナリオ 正規ツールのみ + 早期切断 被害 = 画面に映った範囲のみ 判断のポイント 何をインストールしたか 遠隔中に何の画面を開いていたか

「パソコンが乗っ取られた」という最悪のケースを考えると、システムのリセット、すべてのアカウントのパスワード再設定、クレジットカードの利用停止まで必要に思えます。
ただ、実際にそこまでするのは時間も労力もかかりますし、そこまで必要なことはそう多くないです。

詐欺のときのやり取りを思い出すと、本当に最悪の事態を想定しないといけないのか、ある程度推測できます。
セキュリティのリスク評価で使われる「最多発シナリオ(Most likely scenario)」と「最悪シナリオ(Worst-case scenario)」という考え方を使って整理します。

1.1. サポート詐欺の典型的手口

まずは、典型的な手口を知っておくことが大事です。

サポート詐欺は、

  • ブラウザに「ウイルスを検出しました」という警告が出ます。
  • 画面が閉じられないように見え、表示された電話番号にかけると「マイクロソフトサポート」などを名乗る人物につながります。
  • 遠隔操作ツールを入れるよう誘導し、「修理費」や「保護サービス料」を請求しカード情報を口頭で聞こうとします。

これは、情報処理推進機構(IPA)でも繰り返し注意喚起している手口で、世界中で被害が出ています1

1.2. 最悪シナリオ(マルウェア侵入)

「遠隔操作ツール」を入れてしまったと聞くと、パソコンの中身が全部抜かれたように思えます。

たしかに、相手の指示に従って、「不審なソフト」をインストールしてしまった場合、技術的にはシステムの侵入を「許可」してしまったことになります。

最悪のケースでは、パソコン内にある、幅広い情報がアクセスできてしまいます。

ファイルシステム

  • ドキュメント、写真、動画などのローカルファイル全般
  • デスクトップ、ダウンロードフォルダの内容
  • OneDriveなどクラウド同期フォルダの内容(同期中のもの)

ブラウザ内の情報

  • 保存済みパスワード(Chrome、Edge等のパスワードマネージャー)
  • Cookieおよびセッショントークン(ログイン状態の維持情報)
  • 閲覧履歴、ブックマーク
  • 自動入力データ(住所、氏名、カード情報など)

認証情報

  • Windowsのログインパスワードハッシュ
  • メールクライアントの認証情報

ネットワーク

  • 同一LAN上の他端末への横展開
  • 社内ネットワークへのアクセス(企業の場合)

こうなってしまうと、すべての個人情報を取られた前提で、二次被害を食い止める必要があります。

また、マルウェアがパソコン内で動作していることがあるため、パソコンそのものの初期化まで必要になります。

永続化

  • スタートアップ登録による再起動後も継続する感染
  • 別のマルウェアの追加インストール

リアルタイム監視

  • キーロガーによるキー入力の記録(パスワード入力を含む)
  • スクリーンショットの定期取得
  • Webカメラ・マイクへのアクセス

2. 「遠隔操作を許した=終わり」ではない

ただし、これは何をインストールしたか、によります。

遠隔操作を許した = 終わりではない 正規ツールの特性 Zoomと同じ仕組み 許可した範囲しか操作できない 接続を切れば即終了 正規ツールにできないこと ✗ パスワードの直接抜き取り ✗ 画面外のデータへのアクセス ✗ 許可なしのインストール 代表的な正規ツール AnyDesk TeamViewer LogMeIn 最多発シナリオの特徴 1 正規ツールだけが入っていた 2 カード情報を口頭で求めてきた 3 金融・パスワード画面を開かなかった 4 不審に気づき早期に切断した 被害 = 画面に映った範囲 条件が重なるほどリスクは限定的

実際には、サポート詐欺で使われる遠隔操作ツールは、そのようなマルウェアではなく、企業のITサポートで普通に使われる正規のソフトウェア(AnyDesk、TeamViewer、LogMeIn Rescue など)であることが多いです。
というのも、正規の署名がないマルウェアは、Windowsのセキュリティが弾き、インストールできないことが多いからです。

正規ソフトは、企業による署名があり、インストールできます。これらのサポート用遠隔操作ツールは、コード入力で相手の接続を許可し、相手に画面を見せ、マウスやキーボードの操作を受け付けるソフトウェアです。

このような遠隔操作ツールは、サポートを受ける人のプライバシーにも配慮した設計になっていて、動作には「許可」が必要で、見えている範囲しか操作できません。
この仕組みは、Zoomミーティングに少し似ています。
Zoomミーティングでカメラやマイクを許可すると、相手に映像や音声が伝わります。
自分でミュートにすればその範囲を絞れる。

遠隔操作ツールはこれと同じ仕組みで、自分で許可することでキーボードとマウスの操作を接続した相手に渡せるようにしたものです。
パスワードなどの内部のデータを直接抜き出すことはできません。

2.1. 最多発シナリオ(見えた範囲)

実際に多いのは、こういう展開です。

  • 詐欺師の目的はサポート費の請求です。
  • 電話でパソコン操作を説明し、まずは遠隔操作ツールを入れさせます。
  • 被害者が遠隔操作を許可すると、パソコンに様々な画面を開き、「パソコンに問題がある」というウソの説明をします。
  • 数万円の「サポートプラン」への加入を要求し、申込み画面へのクレジットカード番号の入力を要求します。
  • 不審に気づいた段階で電話を切ると、詐欺師の行動は止まります。

また、詐欺師も、「ハッカー」のような情報技術の専門家、というよりは、いわゆる「闇バイト」のように手順だけを伝えられた「末端の実行役」であることが多いです。

つまり、インストールされたのが正規の遠隔操作ツールだけで、それ以外のアプリやコマンドの実行が確認できないなら、遠隔操作中に開いていたウィンドウに見えたものが、被害の上限と考えられます。

  • パスワードマネージャーやブラウザの保存パスワード画面を開いていなかった
  • 銀行やカード会社のサイトにアクセスしていなかった
  • メールを開いて確認コードや個人情報を見せていなかった

この条件が揃っていれば、「画面を見られたが、データは抜かれていない」状態といえます。

2.2. 被害は「見えた画面」に限られる

もちろん、遠隔操作中に相手が時間をかけて動いた場合、次のことは技術的に可能です。

  • 別のソフトを追加でインストールする(許可が必要)
  • ファイルをコピーしてどこかに送る(転送には時間がかかる)
  • ブラウザに保存されているパスワードの一覧を開いて見る(ただし、PINコードなどの認証が必要)
  • Gmailなどログイン済みのサービスを開き、転送設定やフィルタを仕込む
  • Windowsのスタートアップ設定を変え、再起動後も接続できるようにする

特に、マルウェアをインストールされたり、悪意のあるスクリプトを実行されてしまうと、広範な情報を取られてしまうおそれがあります。
パスワード変更だけでは追いつかず、PCリセットが必要になります2

ただし、この操作は基本的には自分の見えている画面で行われます。
インストール前の「許可」が表示されていたかどうかが重要ですし、残されたパソコンのダウンロードやアプリから痕跡を確認できます。

3. インストールした「遠隔操作ツール」を特定する

つまり、まず最初に確認すべきことは、パソコンのダウンロードフォルダや設定のアプリ、「Program Files」フォルダなどです。

インストールしたツールを特定する 確認する場所 1 設定 → アプリ 2 C:\Program Files 3 ダウンロードフォルダ 正規ツールのみ → 最多発シナリオ 不審なアプリあり → 最悪シナリオ対応 口頭請求は逆説的な証拠 本格的な攻撃者なら 口頭では聞かない キーロガーで後から回収する (勘付かれるリスクを避けるため) 口頭請求 = 即時詐取が目的 高度な侵害の可能性は低下 ただし確率的な判断であり 完全排除はできない

Windowsの「設定」→「アプリ」または C:\Program FilesC:\Program Files (x86) のフォルダを見て、入っていたソフトを特定します。
ここに追加されているソフトウェアの名前が、正規のサポート用ツールであれば、被害の範囲は限定できます。

今回の事例では LogMeIn Rescue が見つかりました。
ITサポート企業が正規のサポート業務で使うソフトウェアで、それ自体はマルウェアではありません3
正規の遠隔操作ツールしか入っていないことは、最多発シナリオの特徴のひとつです。

3.1. 状況を思い出す

次に、落ち着いてその場の状況を思い出してみてください。
最多発シナリオの特徴が多いほど、対処の範囲を絞り込めます。

詐欺師がカード番号を口頭で聞いてきたかどうかも判断材料になります。

今回の事例では口頭で求めてきましたが、これは逆説的ですが、カード番号などの個人情報は取られていない、という最多発シナリオの傍証になります。

もし、本格的な攻撃者であれば、クレジットカード番号などは被害者に口頭で聞きません。
被害者に勘付かれてしまうからです。
キーボード操作を監視するマルウェア(キーロガー)を仕込んで、後から回収する方が効率的です4

つまり、口頭で請求してきた時点で、相手の目的がその場での金銭詐取であった可能性が上がり、高度な侵害を狙っていた可能性は相対的に下がります。
それなら、遠隔中に銀行、カード会社、パスワードマネージャー、メールの受信トレイなどを開いていなかったなら、それらの情報が画面越しに見られた可能性は低くなります。

3.2. 個人がやるべき対策

個人が現実的にやるべき対策はこの範囲です。

個人がやるべき対策 現実的な対処ステップ PCを確認する アプリ一覧 + ブラウザ拡張機能 Windows Defender フルスキャン アカウントを確認する Googleセキュリティ診断 ログイン中デバイス + 連携アプリ Gmailの転送設定・フィルタ パスワードを変更する 銀行・通販・カード会社 2段階認証を有効化する カード会社に相談 + 明細を継続確認 PCリセットの判断基準 個人のPC 正規ツールのみ + 確認で異常なし → 様子見でも可 リセット自体が大きな負担になる 企業・組織のPC 社内ネットワークへの横展開リスク → リセットが組織ポリシーとして合理的 フォレンジック調査後に初期化 相談窓口:消費者ホットライン 188 最寄りの消費生活センターへ

まずは、PC上でインストール済みアプリをインストール日順で並べて見覚えのないものを確認します。
ブラウザの拡張機能も見て、見知らぬものは削除します。
Windows Defenderのフルスキャンも実行してください。

別のスマートフォンやPCから、アカウントを確認します。
Googleアカウントのセキュリティ診断でログイン中のデバイス、2段階認証の設定、再設定用のメールアドレスと電話番号、連携アプリを見ます5。Gmailの転送設定とフィルタも確認してください6
よく使う通販サイト、銀行、カード会社のパスワードも変更しておくと安心です。

カード番号を伝えていなくても、遠隔中にカード情報が画面に出ていた可能性があるなら、カード会社に「サポート詐欺に遭った」と伝えて相談します。
明細は数ヶ月間こまめに確認します7

3.3. 「システムの復元」でマルウェアの心配を消す

遠隔操作をされた場合、最悪シナリオを完全に排除できるわけではなく、被害の範囲を断定できません。

不審なアプリをすべてアンインストールしたとしても、マルウェアの中には、アプリの一覧にも表示されないものがあるからです。

そのため、パソコンのリセットも確実な手段です。
しかし、個人のPCをリセットするのは、設定の再構築や環境の再インストールに膨大な手間と労力がかかり、それ自体が被害です。

そこで、有効な対処方法として、Windowsの「システムの復元」があります8
通常、Windowsでは、アプリをインストールするときにその前の状態をバックアップする仕組みが機能していて、「システムの復元」によって不審なアプリなどが入る前の状態に戻すことができます。

正規ツールしか入っておらず、接続時間も短く、上記の確認で何も出てこなかった場合なら、PCリセットまでは少し様子を見てもよいかもしれません。

4. まとめ

遠隔操作を許してしまったことは、取り消せません。

しかし、「取り消せない」と「取り返しがつかない」は同じではありません。

詐欺のときに何が起きていたかを思い出すことで、被害の上限を絞り込めます。

  • 正規ツールだけが入っていた
  • カード情報や個人情報を口頭で答えなかった
  • 遠隔中に金融機関やパスワード画面を開いていなかった
  • 不審に気づいて早めに切断した

この条件が重なるほど、最悪シナリオではなく、最多発シナリオに近づきます。

それなら、対策のしようがあります。
パスワード変更、2段階認証の有効化、アカウントとPCの確認、明細の継続チェックです。

不安になりすぎず、ただし楽観もせず、状況に応じて対処の範囲を決めてください。

  1. IPAはサポート詐欺の手口と対策をまとめた専用レポートページを公開しています。 – 偽セキュリティ警告(サポート詐欺)対策特集ページ | IPA
  2. IPAの相談事例では、遠隔操作アプリを入れさせた後に夜間から朝にかけて銀行口座を不正送金された事例も報告されています。 – 情報セキュリティ安心相談窓口の相談状況 2025年第1四半期 | IPA
  3. LogMeIn Rescueは、インターネットを介して数秒でリモートのPC・Mac・スマートフォンにアクセスできるエンタープライズ向けリモートサポートツールです。 – LogMeIn Rescue について | GoTo サポート
  4. LogMeIn Rescueを悪用した詐欺の詳細な手口と、正規ソフトが検知されにくい理由について解説した記事があります。 – LogMeIn Rescueを悪用したサポート詐欺に関する包括的脅威分析 | exhi.jp
  5. Googleのセキュリティ診断は myaccount.google.com/security-checkup から直接アクセスできます。ログイン中のデバイス、最近のセキュリティイベント、連携アプリなどをまとめて確認できます。 – セキュリティ診断 | Google アカウント
  6. ログイン済みのデバイス一覧は google.com/devices でも直接確認できます。見覚えのないデバイスがあればその場でログアウトできます。 – アカウントにアクセスしたデバイスを確認する | Google アカウント ヘルプ
  7. サポート詐欺に遭った場合の相談窓口として、消費者ホットライン「188」があります。最寄りの消費生活センターに案内してもらえます。 – 消費者ホットライン | 消費者庁
  8. IPAは企業・組織のPCが遠隔操作された場合、デジタルフォレンジックによる調査後にシステムの復元や初期化を行うよう推奨しています。 – パソコンに偽のウイルス感染警告を表示させるサポート詐欺に注意 | IPA