端末購入時点で感染済み　Doctor Webがマルウェアを確認

2025年4月、セキュリティ企業Doctor Webは、中国製のAndroid端末に仮想通貨を盗み取るマルウェアがプリインストールされていたと発表した。問題の端末は「S23 Ultra」「Note 13 Pro」など、有名ブランドの名称を模倣した低価格スマートフォンであり、SHOWJIというブランド名で流通しているモデルが複数確認されている。

このマルウェアは、WhatsAppやTelegramに似せたアプリケーションに組み込まれており、ユーザーが仮想通貨の送金を行う際、ウォレットアドレスを攻撃者のものにすり替える「クリッピング」という手法を使用している。見た目には正しいアドレスが表示されるが、実際には資産が第三者のウォレットへと送られる仕組みとなっている。

攻撃の手口は高度化　個人情報の収集も同時進行

Doctor Webの分析によれば、このマルウェアはLSPatchというオープンソース技術を悪用し、40種類以上の正規アプリを改変していたことが判明している。仮想通貨のウォレット情報のすり替えに加え、端末からはWhatsAppのメッセージ、画像ファイル、PDF文書、端末識別情報などが盗み出されていた。

中でも注目されるのが、画像ファイル内に保存されたウォレットのリカバリーフレーズ（ニーモニック）を検索・抽出する機能である。多くのユーザーが利便性を優先し、スクリーンショットでパスフレーズを保存している点を悪用しており、一度抜き取られれば資産の完全な管理権限を奪われる危険性がある。

国内にも流通か　ECサイトで販売される危険端末

Doctor Webが報告した端末群の一部は、日本国内の消費者にも無関係とは言い切れない。編集部が確認したところ、該当する「SHOWJI」ブランドのスマートフォンは、2025年4月時点において海外通販サイトだけでなく、一部国内ECモールでも販売されていた形跡がある。

商品ページでは「S24 Ultra」や「Note 13 Pro」など、有名ブランドと酷似した型番が使用され、画像も既存機種のプロモーション素材を転載したものとみられるケースが多い。レビュー欄には日本語として不自然な文体の投稿が散見されており、信頼性に欠けるアカウントによる高評価が多数並んでいる状態も確認された。

価格はおおむね1万円前後で、スペック上も高性能をうたっているが、メーカー情報や保証の記載は不明瞭な場合が多い。これらの端末が実際にマルウェアを搭載していたかは明言できないものの、少なくとも国内ユーザーがこうした端末にアクセスできる状況は存在していた。

「これは新手のサプライチェーン攻撃」専門家が警鐘

今回の攻撃手法について、複数のセキュリティ専門家が強い警鐘を鳴らしている。情報セキュリティ企業のアナリストである古賀直哉氏は、「これはユーザーが何もしなくても感染する“ゼロクリック型”に近い攻撃であり、一般的なセキュリティ意識では防ぎようがない」と指摘する。

さらに古賀氏は、今回のマルウェアが単なる情報収集にとどまらず、「仮想通貨という“現金性の高い資産”を標的としている点において極めて危険」とも述べた。「ウォレットアドレスのすり替えは地味だが効果的で、特に暗号資産に不慣れな新規ユーザーを狙いやすい」とし、今後さらに類似の事案が出現する可能性を示唆している。

また、IT関連のサプライチェーンリスクを専門とする国際研究機関のレポートでも、今回のような「端末出荷時に感染が完了している攻撃」が増加傾向にあると報告されている。「安価な端末に潜むサイバーリスク」は、今や発展途上国だけの問題ではなく、グローバル市場における共通課題として認識され始めている。

犯行グループは越境型の犯罪ネットワークか

このマルウェアの運用には、30以上のドメインと60以上のコマンド＆コントロール（C2）サーバーが使用されており、非常に組織化された運用体制が敷かれている。Doctor Webによると、攻撃者が使用するウォレット全体で、過去2年間に160万ドル（約2億4000万円）以上の暗号資産が流入しており、そのうち1件のウォレットでは50万ドル（約7500万円）が確認された。

こうした犯行の規模と持続性から、製造元と連携する何らかのサイバー犯罪組織の関与が疑われる。国家機関による直接的な関与は確認されていないが、製造段階でマルウェアが組み込まれている点を踏まえれば、少なくとも製造業者あるいは下請け業者の内部関係者が関与していると考えるのが妥当である。

加えて、中国のサイバー攻撃の専門家の間では、このようなサプライチェーン型の攻撃に関して、「国家の黙認」の可能性を指摘する声もある。中国政府が関与していなかったとしても、こうした攻撃を取り締まる意思が薄く、サイバー犯罪グループが活動しやすい環境が整っているという指摘は根強い。

また、過去には中国発とされるAPTグループ（Advanced Persistent Threat）が、国家主導型のスパイ活動だけでなく、金銭目的のサイバー攻撃に関与した事例もあり、今回のように仮想通貨を直接奪取する形態は、こうしたグループの“資金源確保”の一環として機能している可能性もある。

つまり、今回のマルウェア事案は、単なる経済犯罪にとどまらず、国家と犯罪組織の境界が曖昧な環境下で発生する新たなサイバー脅威の一例とみることもできる。サイバー空間における「攻撃主体の不透明性」は、国際的なセキュリティ対策の構築をより困難にしている。

情報管理と端末選定が今後の焦点に

この事件が示しているのは、端末購入段階におけるセキュリティの脆弱性である。従来、マルウェアの感染はユーザーが誤って不正なアプリをインストールすることが原因とされてきたが、今回はそのプロセスが完全に回避されている。ユーザーが端末を手にした時点で感染が完了しているため、セキュリティアプリでは防ぎきれない。

仮想通貨を扱う個人ユーザーにとっては、日常使用のスマートフォンと資産管理デバイスを分離し、専用のハードウェアウォレットを使用することが最も確実な防衛策となる。さらに、リカバリーフレーズのスクリーンショット保存を避け、物理的に管理する体制が求められる。

企業にも影響　BYODポリシー見直しの必要性

本件は、個人ユーザーだけでなく、企業にとっても重大なリスクを内包している。とりわけ、私用端末を業務利用するBYOD（Bring Your Own Device）を導入している企業にとっては、従業員の端末が感染していた場合に機密情報の漏洩につながる恐れがある。

企業は、端末調達の信頼性を検証するとともに、モバイルデバイス管理（MDM）システムの導入や、接続制限ポリシーの強化など、包括的な対応策を講じることが求められる。

「安さの代償」に潜むリスクを見極めよ

低価格で手に入るスマートフォンには、時に“見えないコスト”が潜んでいる。今回の事案は、製品価格やスペックだけでなく、製造経路と情報セキュリティの信頼性を見極めることの重要性をあらためて浮き彫りにした。

今後も同様の攻撃が拡大する可能性を考慮すれば、ユーザーも企業も“安価な選択”のリスクに対し、より慎重な姿勢をとることが求められる。