>
>
公開日
※本記事は、企業向けITセキュリティ製品の導入支援に携わるMoneyForward Adminaセキュリティ編集部が、公開情報および各種公的レポートをもとに作成・監修しています。
近年、スマートフォンは私たちの生活やビジネスにおいて不可欠なデバイスとなりました。しかしその一方で、スマホを狙う「マルウェア(悪質なプログラム)」の脅威が急激に進化しています。特に「マルウェアについて スマホ」での感染事例や、「マルウェアとはスマートフォンで」どのように動作するのかといった疑問を持つ方が増えています。
本記事では、これまでのPC向けセキュリティ対策の常識を覆すスマホ特有の感染ルートや、感染時に現れる具体的な症状を徹底解説します。2025年末に施行された「スマホ新法」による環境の変化や、生成AIを悪用した高度な攻撃手法を踏まえ、個人・企業が2026年に取り組むべき実践的なセキュリティ対策(MTDなど)を網羅的にご紹介します。
スマートフォンにおけるマルウェアとは?
本記事のポイント:
2025年末の「スマホ新法」施行によるサイドローディング解禁が、iPhoneも含めたマルウェア感染リスクを急増させています。
2026年現在は、ユーザーに感染を気づかせないサイレントハッキングや、高度な生成AIを用いた巧妙な詐欺攻撃が台頭しています。
個人の私用スマホ(BYOD)経由で、企業の基幹システム全体がランサムウェア被害に遭うインシデントが多発しています。
マルウェアとは、スマートフォンやパソコンなどのデバイス、およびシステム全体に不利益をもたらす意図で開発された悪質なプログラムやソフトウェアの総称です。軽微なアドウェアから、デバイスを遠隔操作して機密情報を窃取するものまで、脅威の種類は多岐にわたります。
マルウェアと「ウイルス」は同義語として混同されがちですが、正確にはウイルスはマルウェアという広大なカテゴリの「一部」に過ぎません。ウイルスは他のファイルやプログラムに寄生して自己増殖する性質を持つものを指します。これに対してマルウェアは、自己増殖しないトロイの木馬やアドウェアなども含めた「悪意あるソフトウェア」の全体を指す言葉です。
▲ 「マルウェア」と「ウイルス」の正確な包含関係
マルウェアの主な種類と特徴【比較表】
スマートフォンを狙うマルウェアは、PCのような単なるシステム破壊ではなく、個人のプライバシーや金銭情報を密かに窃取することに最適化されています。
マルウェアの種類 | 主な特徴 | スマートフォンにおける主な脅威 |
|---|---|---|
トロイの木馬 | 無害なアプリを装って侵入し、バックグラウンドで悪質な挙動を行う。 | 正規アプリに偽装してインストールされ、遠隔操作を可能にする。 |
バンキングマルウェア | ネットバンキングや決済サービスの認証情報を盗むことに特化。 | 二要素認証のSMSを傍受し、銀行口座から不正送金を行う。 |
アドウェア | 強制的に広告を表示し、裏で不審な通信を行う。 | ブラウザや画面全体に広告をポップアップさせ、不正サイトへ誘導する。 |
スケアウェア | 「ウイルスに感染しました」などの偽警告でユーザーを騙す。 | 偽のセキュリティ警告を表示し、高額な不要アプリの契約を迫る。 |
ワーム・ウイルス | 自己複製を行い、ネットワークやファイルを介して拡散する。 | ウイルスのようにアプリの脆弱性を突いて感染し、周囲の機器へ拡散する。 |
スマホを狙う「不正アプリ(トロイの木馬)」と過剰な権限要求
スマートフォンで最も警戒すべきマルウェアは、正規のゲームや電卓、QRコード読み取りツールなどを装った「不正アプリ(トロイの木馬)」です。これらのアプリは、インストール時に「連絡先の読み取り」「SMSの送信・閲覧」「アクセシビリティ(ユーザー補助)サービス」といった、本来そのアプリの機能には不要な「過剰な権限」を要求します。一度権限を許可してしまうと、スマホ内のすべての操作が攻撃者から監視可能になります。
被害が急増する「バンキング型トロイの木馬」
近年、日本国内でも銀行口座を標的とした「Android.Banker」などのバンキングマルウェアが猛威を振るっています。Dr.Webが発表した2025年Q4レポートによると、バンキング型トロイの木馬の検出数は前四半期比で65.52%急増しました(出典:Dr.Web公式バイラルニュースページ)。これは、宅配便の不在連絡などを装ったSMSから偽のアプリをインストールさせ、ログイン画面を偽装してID・パスワードを奪うだけでなく、ワンタイムパスワードが記載された二要素認証のSMSまで盗み見る極めて悪質なものです。
広告表示でプライバシーを侵害する「アドウェア」
ESETが2026年4月に発表した「2026年3月 マルウェアレポート」によると、国内検出数第1位はWeb閲覧中に強制的に悪質な広告を表示させるアドウェア「JS/Adware.Agent」(全体の19.8%)でした。アドウェアは単に鬱陶しいだけでなく、バックグラウンドでデバイスのシステムリソースを浪費し、プライバシーデータを収集して外部へ送信するケースが多く、無視できない脅威となっています。
【2026年最新】スマートフォン特有の感染経路
スマートフォンのマルウェア感染は、PCとは異なるスマホならではの利便性の隙を突く巧妙な経路へと進化しています。
スマホ新法によるサイドローディング(ストア外アプリ)解禁とリスク
2025年12月18日、日本国内で「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律(スマホ新法)」が全面施行されました。これにより、これまで強固な「App Store」の審査に守られていたiOS(iPhone)でも、公式ストア外からアプリをインストールする「サイドローディング」が可能になりました。この規制緩和はユーザーの選択肢を広げる一方で、審査が甘い、あるいは審査が全く存在しないサードパーティ製ストアを通じて、マルウェアが混入した「偽アプリ」を誤ってダウンロードしてしまうリスクを劇的に増加させています。
QRコードを悪用する「クイッシング(QR詐欺)」の台頭
日本スマートフォンセキュリティ協会(JSSEC)などセキュリティ業界団体の調査において、2026年に重大な脅威として急浮上しているのが「クイッシング(Quishing)」です。これは、QRコード決済が完全に浸透した日本の社会環境を逆手に取り、ポスターやDMに貼られた正規のQRコードの上に偽のQRコードシールを重ね貼りするなどの手法です。ユーザーがスマートフォンで読み取ると、マルウェア配布サイトやフィッシングサイトへ直接リダイレクトされ、気づかぬうちに感染被害に遭う事例が発生しています。
ユーザー操作不要の「サイレントハッキング」
さらに危険な手法として、画面がロックされている状態でも感染を許してしまう「サイレントハッキング」があります。これはスマートフォンのBluetooth脆弱性や、暗号化されていない公共Wi-Fiへの自動接続機能を悪用するものです。攻撃者は公共エリアに罠となるアクセスポイントを設置し、自動接続してきたスマートフォンに対してバックグラウンド通信経由で静かにデータを抜き取ります。
「iPhoneだから安全」は本当?スマホセキュリティの誤解
「iPhoneを使っていればマルウェア対策は不要」という認識は、2026年現在においては完全に過去の誤解です。
誤解1:怪しいサイトやリンクを踏まなければ感染しない
マルウェアへの感染は、怪しいWebサイトを避けたり、不審なリンクをクリックしなければ防げるという単純なものではありません。OSやアプリに潜む深刻な「ゼロデイ脆弱性」を突く標的型攻撃が存在するためです。Googleは定期的にAndroid OSのゼロデイ脆弱性を修正する大規模アップデートを配信しています。こうした脆弱性が放置されている場合、通常のWebサイトに掲載されている正規の広告枠(マルバタイジング)を閲覧しただけで自動感染するケースもあり、事前の予防行動だけでは防ぎきれません。
誤解2:iOS(iPhone)はウイルスの構造上感染しない
iOSもまた、サイドローディングの解禁によって「保護された環境」ではなくなりました。また、悪意あるプロファイル(設定ファイル)のダウンロードや、アプリを介さないスミッシング(詐欺SMS)、Wi-FiやBluetooth経由の侵入に対しては、iOSのセキュリティ機構だけで防御することは困難です。常にアンチウイルスの発想に基づいた防御や、適切なOSアップデートを行う姿勢がOSを問わず必須となっています。
あなたのスマホが「犯罪の踏み台」に?個人・企業が受ける恐ろしい被害事例
スマートフォンのマルウェア感染は、ユーザー自身が被害者になるだけでなく、知らぬ間に加害者に仕立て上げられるリスクを孕んでいます。
【個人被害】気づかぬうちに大量の詐欺SMSを送信する「踏み台」に
警察庁や日本サイバー犯罪対策センター(JC3)の報告によると、宅配便の不在通知などのリンクから不正アプリをインストールしてしまった個人のスマートフォンが、遠隔操作の「踏み台」にされる被害が多発しています。感染したスマホはバックグラウンドで稼働し、深夜などに「自分の携帯電話番号」を使って見知らぬ他人の番号へ数千通もの詐欺SMSを自動送信します。本人が気づいた時には、携帯キャリアから数万〜数十万円という膨大なSMS送信料金が請求され、さらに警察から詐欺に関与した疑いで連絡が入るという恐ろしい事態に直面します。
【企業被害】BYOD(私用スマホ)経由で社内システム全体がランサムウェア暗号化
トレンドマイクロ等のセキュリティベンダーが警告を強めているのが、従業員が個人所有するスマートフォンを業務利用(BYOD)しているケースでの企業感染事例です。個人用スマホがマルウェアに感染し、デバイス内に保存されていた業務メールやSaaSの認証情報が丸ごと窃取されました。攻撃者はその認証情報を用いて企業のVPNを突破し、社内ネットワークに侵入。結果として、企業の基幹システムやファイルサーバー全体がランサムウェアによって暗号化され、事業活動が完全に停止する大惨事へと発展した事例が報告されています。
▲ 個人スマホが詐欺の「踏み台」に悪用される4ステップ
スマホのマルウェア感染を防ぐための最新セキュリティ対策
個人・企業を問わず、2026年のスマートフォンセキュリティには、場当たり的な注意ではなくシステムによる統合的なアプローチが必要です。
設定レベルの防御:不要な入り口をすべて塞ぐ
まずはデバイスの設定を見直しましょう。Androidでは「提供元不明のアプリのインストール」を原則オフに制限します(スマホ新法後のiOSにおいても、信頼できないサードパーティ製ストアの利用は避けるのが賢明です)。また、BluetoothやWi-Fiの「自動接続」設定を無効化し、必要な時だけ手動で接続するルールを徹底しましょう。Googleが2026年2月に発表した実績によると、Google Play プロテクトは毎日3,500億件以上のアプリをスキャンし、AI防御システムによって2025年だけで175万件の不正アプリを排除しています(出典:Google公式ブログ)。ただし、ストア外アプリについてはユーザー自身による自己防衛が不可欠です。
企業の標準装備:MDMからMTD(モバイル脅威防御)へのステップアップ
企業が導入している「MDM(モバイルデバイス管理)」は、紛失時のリモートロックやポリシー設定に過ぎず、動作中の高度なマルウェアを検知することはできません。2026年のビジネススマホセキュリティにおいて必須とされているのが、端末内の通信やアプリの不審な挙動をリアルタイムで監視・ブロックする「MTD(Mobile Threat Defense:モバイル脅威防御)」の導入です。
今すぐ確認!スマホセキュリティ対策 10項目チェックリスト
対象 | 確認項目 | 推奨アクション |
|---|---|---|
OS・アプリ | 1. OS(Android / iOS)が最新状態か | 自動アップデートを「オン」にする |
OS・アプリ | 2. 不要なアプリを放置していないか | 使っていないアプリは直ちに削除する |
設定 | 3. 提供元不明アプリのインストール許可 | 設定画面で「許可しない」にする |
設定 | 4. Wi-Fiの自動接続が有効になっているか | 自動接続を「オフ」にする |
設定 | 5. Bluetoothが常時オンになっているか | 不使用時は「オフ」にする |
認証 | 6. 画面ロックを設定しているか | 生体認証(指紋・顔)と複雑なパスコード |
通信・利用 | 7. QRコードを不用意に読み込んでいないか | 不審なポスターやチラシのQRは無視する |
通信・利用 | 8. 銀行やキャリアからのSMSリンクを開くか | 公式アプリやブラウザのブックマークからアクセス |
管理(法人) | 9. 業務スマホにMTDが導入されているか | MDMからMTD(モバイル脅威防御)への切り替え検討 |
管理(法人) | 10. BYOD(私用端末)の利用規約があるか | セキュリティ基準の定義と監査体制の構築 |
よくある質問
Q:スマートフォンがマルウェアに感染したときの代表的な症状は何ですか?
A:バッテリーの異常な消耗や本体の発熱、不審なポップアップ広告の表示、身に覚えのない通信データ量の激増などが挙げられます。最悪の場合、バックグラウンドで他人に詐欺SMSを自動送信する踏み台にされている可能性もあります。
Q:iPhoneはマルウェアに感染しないというのは本当ですか?
A:いいえ、誤りです。2025年末のスマホ新法施行によるサイドローディングの解禁に加え、Wi-FiやBluetoothの隙を突く「サイレントハッキング」、アプリを介さないフィッシング攻撃などに対しては、iOSであっても完全に無防備となるため対策が必須です。
Q:スマホがマルウェアに感染した疑いがある場合、どのように対処すればよいですか?
A:すぐにネットワーク(Wi-Fiおよびモバイル通信)を切断して外部との通信を遮断します。その後、不審なアプリや構成プロファイルの削除を行い、信頼できるモバイルセキュリティアプリでスキャンを実行してください。改善しない場合はデバイスの初期化を検討します。企業環境では、MDM/MTDのリモートワイプ機能を活用し、社内のインシデント対応フローに従って速やかに情報システム部門へ報告・隔離を優先してください。
▲ マルウェア感染が疑われる場合の緊急対処フロー
まとめ
「明日からできるスマートフォン防衛の第一歩」
スマートフォンのマルウェア脅威は日々巧妙化しており、「iPhoneだから」「怪しいサイトを見ないから」といった過去の認識は通用しません。まずは明日と言わず、今すぐスマートフォンの設定画面を開き、OSのシステムアップデートを最新にし、不要なWi-FiやBluetoothの自動接続設定をオフにすることから始めましょう。OSアップデートと設定変更は今日中に終わる作業です。まずそこから着手してみてください。
✅ OSの自動アップデートをオンにした
✅ Wi-Fi・Bluetoothの自動接続をオフにした
✅ 提供元不明アプリのインストールを「許可しない」に設定した
✅ 不審なQRコードやSMSリンクを開かないルールを徹底した
✅ 業務スマホへのMTD導入をIT部門に提案・検討した
✅ BYODポリシーとインシデント対応フローを整備・確認した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
