「ZeroDayRAT」の出現:モバイルデバイスを狙う新たな脅威の全貌
2026年2月、モバイルセキュリティの専門家たちは、AndroidおよびiOSデバイスを標的とする新たなクロスプラットフォーム型スパイウェア「ZeroDayRAT」の出現に警鐘を鳴らしました。iVerify社が発表した新たな勧告によると、この脅威は、攻撃者に個人の通信、正確な位置情報、銀行取引活動への永続的なアクセスを提供するだけでなく、その制御の広範さと感染の容易さにおいて前例のないレベルに達していると指摘されています。これは、単なる情報窃取ツールにとどまらず、標的のデジタルライフ全体を掌握する能力を持つ、極めて高度なツールキットの登場を意味します。
このスパイウェアは、従来のモバイルマルウェアとは一線を画す特徴を持っています。攻撃者は、被害者に悪意のあるバイナリ(通常はAndroid APKまたはiOSペイロード)をインストールさせるだけで、デバイスを侵害できます。その手口は巧妙で、偽のアプリへのリンクを送りつけるスミッシング(SMSフィッシング)が最も一般的ですが、フィッシングメール、偽のアプリストア、WhatsAppやTelegramを通じて共有されるリンクなども観測されています。これらの手法は、ユーザーが疑いなくマルウェアをインストールするよう仕向けるために、非常に説得力のある偽装が施されています。
iVerify社のセキュリティ研究者であるダニエル・ケリー氏は、このプラットフォームが「典型的なデータ収集を超え、リアルタイム監視と直接的な金融窃取にまで及ぶ」と述べています。攻撃が成功すると、オペレーターには専用のウェブベースダッシュボードを通じて、デバイスの広範な概要が表示されます。これには、ハードウェア詳細、オペレーティングシステムバージョン、バッテリー状態、国、SIMおよびキャリア情報、ロック状態などが含まれ、アプリの使用状況も時間別に詳細に表示されます。
さらに、このダッシュボードでは、最近のSMSメッセージやライブアクティビティのタイムラインも一目で確認でき、ユーザーの習慣や連絡先を迅速にプロファイリングすることが可能です。銀行、モバイルキャリア、個人連絡先からの傍受されたメッセージも表示され、ユーザーが誰と最も頻繁にコミュニケーションを取っているか、デバイスがいつアクティブであるか、どのネットワークに接続しているかといった情報が、単一のパネルから明らかになります。これは、標的の生活パターンを詳細に把握するための強力な基盤となります。
巧妙な侵入経路と広範な情報収集能力
ZeroDayRATの感染経路は、ソーシャルエンジニアリングと偽のアプリマーケットプレイスの悪用が中心です。攻撃者は、被害者を欺いて悪意のあるアプリケーションをインストールさせることで、デバイスへの足がかりを築きます。このマルウェアは、Androidバージョン5から16、そしてiOSバージョン26までをサポートしており、広範なモバイルデバイスがその標的となり得ます。攻撃者にとっての利便性は高く、購入者にはマルウェアのバイナリを生成するビルダーと、自身のサーバーにセットアップ可能なオンラインパネルが提供されるため、技術的な専門知識が乏しい者でも容易に攻撃を実行できる構造になっています。
デバイスが一度感染すると、オペレーターは自己ホスト型のパネルを通じて、デバイスモデル、位置情報、オペレーティングシステム、バッテリー状態、SIMおよびキャリアの詳細、アプリの使用状況、通知、そして最近のSMSメッセージのプレビューといった包括的な情報をリアルタイムで把握できます。この詳細な情報収集能力は、脅威アクターが被害者のプロファイリングを行い、誰とどのようなコミュニケーションを取っているか、どのアプリを最も頻繁に使用しているかといった、標的の行動様式に関する深い洞察を得ることを可能にします。
特に注目すべきは、その監視能力の深さです。GPSデータはGoogleマップ上にプロットされ、過去のすべての位置情報履歴が詳細に表示されます。これにより、被害者の移動パターンや頻繁に訪れる場所が筒抜けになります。さらに、WhatsApp、Instagram、Telegram、YouTubeからのアラート、不在着信、システムイベントなど、あらゆる通知がアプリを開くことなく受動的に捕捉されます。この機能は、被害者が意識することなく、そのデジタル活動のほぼすべてを監視されることを意味します。
iVerify社のケリー氏は、「最も問題のあるパネルの一つはアカウントタブだ」と指摘しています。デバイスに登録されているGoogle、WhatsApp、Instagram、Facebook、Telegram、Amazon、Flipkart、PhonePe、Paytm、Spotifyなど、あらゆるアカウントがその関連するユーザー名やメールアドレスと共に列挙されます。これにより、攻撃者は被害者のオンラインアイデンティティ全体を把握し、さらなる攻撃の足がかりとすることが可能になります。この広範な情報収集は、単なるデータ窃取を超え、標的のデジタル生活全体を支配するための基盤を築きます。
リアルタイム監視と金融詐取のメカニズム
ZeroDayRATの脅威は、単なる情報収集にとどまらず、リアルタイムでの監視と直接的な金融窃取を可能にするモジュールを内包しています。このスパイウェアは、キーロギング機能を通じて、被害者がデバイス上で入力するすべての情報を記録します。これにより、パスワード、個人情報、機密性の高いメッセージなどが攻撃者の手に渡るリスクが高まります。さらに、ワンタイムパスワード(OTP)を含むSMSメッセージも収集されるため、二要素認証(2FA)を突破し、アカウントへの不正アクセスを許してしまう可能性も指摘されています。
このマルウェアは、オペレーターが「ハンズオン」でデバイスを操作できる機能も提供します。これには、ライブカメラストリーミングやマイクフィードの起動が含まれ、脅威アクターは被害者の周囲の環境をリモートで監視することが可能になります。これにより、被害者のプライベートな会話や活動が盗聴・盗撮されるという、プライバシーの完全な喪失に直結する深刻な事態が発生し得ます。このような機能は、かつて国家レベルのアクターが使用していた高度な監視ツールに匹敵すると言われています。
金融詐取の面では、ZeroDayRATは専用のモジュールを組み込んでいます。まず、MetaMask、Trust Wallet、Binance、Coinbaseといった仮想通貨ウォレットアプリを検出し、クリップボードにコピーされたウォレットアドレスを攻撃者管理のアドレスに置き換える「クリプトスティーラー」機能を有しています。これにより、被害者が仮想通貨を送金しようとした際に、意図しない攻撃者のウォレットに資金が流れてしまうという巧妙な手口が使われます。
さらに、「バンキングスティーラー」モジュールは、オンラインバンキングアプリ、PhonePeやGoogle PayのようなUPIプラットフォーム、そしてApple PayやPayPalといったサービスを標的とします。このモジュールは、オーバーレイ攻撃を通じて、正規のアプリの上に偽のログイン画面を表示させ、ユーザーの認証情報を窃取します。これらの金融窃取機能は、個人にとって直接的な金銭的損失をもたらすだけでなく、企業にとっても従業員のデバイスが侵害された場合、資格情報の窃取、アカウント乗っ取り、データ流出といった深刻なリスクを引き起こす可能性があります。
闇市場で流通する「国家級」スパイウェアの衝撃
iVerify社は、ZeroDayRATが「かつては国家レベルの投資や特注のエクスプロイト開発を必要とした、完全なモバイル侵害ツールキット」であると指摘しています。しかし、驚くべきことに、この高度なスパイウェアは現在、Telegramチャンネルを通じて公然と販売されています。開発者は、販売、顧客サポート、定期的なアップデートのための専用チャンネルを運営しており、購入者は「完全に機能するスパイウェアパネル」への単一のアクセスポイントを得ることができます。これにより、技術的な専門知識が限られている者でも、標的の位置情報、メッセージ、財務、カメラ、マイク、キー入力にアクセスできるようになり、サイバー犯罪の敷居が大幅に下がっています。
このプラットフォームの登場は、高度なサイバー攻撃能力が、もはや国家や高度な技術を持つグループだけのものではないという、現代の脅威ランドスケープにおける深刻な変化を示唆しています。Telegramのようなプラットフォームを通じて、このような強力なツールが容易に入手可能になったことで、個人や中小企業も、かつては想像もできなかったような高度な監視とデータ窃取の脅威に直面するようになりました。これは、サイバーセキュリティコミュニティ全体にとって、新たな警戒レベルを要求する事態と言えるでしょう。
企業にとって、従業員のデバイスがZeroDayRATに感染することは、資格情報の窃取、アカウント乗っ取り、そして機密データの流出といった重大なリスクをもたらします。iVerifyチームは、「企業にとって、侵害された従業員のデバイスは、資格情報の窃取、アカウント乗っ取り、データ流出のベクトルとなる」と警告しています。BYOD(Bring Your Own Device)環境が普及する中で、個人のデバイスが企業のセキュリティ境界を脅かす潜在的な経路となる可能性は無視できません。
一方、個人にとっては、ZeroDayRATの感染は「プライバシーの完全な喪失と直接的な金銭的露出」を意味します。銀行口座情報、仮想通貨ウォレット、個人間の通信内容、さらには自宅や職場の様子までが攻撃者の監視下に置かれることで、生活のあらゆる側面が危険に晒されます。このスパイウェアのクロスプラットフォームサポートと活発な開発は、個人と組織の両方にとって、その脅威が拡大し続けていることを明確に示しています。
進化するモバイル脅威の生態系:ZeroDayRATが示す警鐘
ZeroDayRATの出現は、モバイルデバイスを標的とするサイバー脅威が、いかに巧妙化し、多様化しているかを浮き彫りにしています。The Hacker Newsの報道では、このスパイウェアのニュースと時を同じくして、過去数週間に明らかになった他の複数のモバイルマルウェアや詐欺キャンペーンが詳細に紹介されており、モバイル脅威の「生態系」が急速に進化している現状を示しています。例えば、Hugging Faceを悪用して悪意のあるAPKファイルをホスト・配布するAndroid RATキャンペーンや、Google Apps Scriptをデータ流出に利用し、FirebaseやTelegramをC2サーバーとして使う「Arsink」と呼ばれるAndroid RATの存在が確認されています。Arsinkの感染は、エジプト、インドネシア、イラク、イエメン、トルコに集中していると報じられています。
さらに、Google Playストアにアップロードされた「All Document Reader」というドキュメントリーダーアプリが、5万回以上ダウンロードされた後に「Anatsa」(別名TeaBotおよびToddler)バンキングトロイのインストーラーとして機能していた事例も報告されています。また、2025年10月以降、イランのユーザーを標的とし、正規の自動車ビジネスを装ったフィッシングウェブサイトを通じて「deVixor」というAndroidバンキングトロイが活発に活動しており、機密情報の窃取に加え、デバイスをロックして仮想通貨での支払いを要求するランサムウェアモジュールまで搭載していることが判明しています。
国境を越えた不正な送金を可能にする「ShadowRemit」キャンペーンでは、Google Playアプリのリストを模倣した偽のAndroidアプリやページが悪用され、手数料無料や改善された為替レートを謳って不正なAPKが宣伝されていました。また、「Triada」というAndroidトロイのオペレーターは、Chromeブラウザのアップデートを装ったフィッシングランディングページを利用し、GitHubにホストされた悪意のあるAPKファイルをダウンロードさせる手口が観測されています。これらの事例は、攻撃者がユーザーの信頼を悪用し、正規のプラットフォームやサービスを装ってマルウェアを配布する手口が常態化していることを示しています。
特に懸念されるのは、NFC(近距離無線通信)を利用した決済詐欺の増加です。Group-IBの報告によると、2024年11月から2025年8月にかけて、あるPOSベンダーだけで35万5000ドル以上の不正取引が記録されています。これは、被害者を欺いてNFC対応マルウェアをインストールさせ、スマートフォンに物理的な支払いカードをタップさせることで、取引データを攻撃者のデバイスに中継させる「ゴーストタップ」と呼ばれる手口です。TX-NFC、X-NFC、NFU Payといった主要なNFCリレーアプリのベンダーがTelegramのサイバー犯罪コミュニティで活発に活動しており、この種の脅威が急速に拡大していることが示されています。
企業と個人が直面するモバイルセキュリティの課題
ZeroDayRATのような高度なモバイルスパイウェアの台頭は、現代社会におけるモバイルデバイスのセキュリティ対策が、もはや従来の枠組みでは不十分であることを明確に示しています。iVerify社は、ZeroDayRATのような脅威を検出するためには、従来のデバイス管理(MDM)の範囲を超えたモバイルEDR(Endpoint Detection and Response)機能が必要であると強調しています。これには、デバイス上での検出、モバイルフォレンジック、そして管理対象環境とBYOD環境の両方における自動化された対応を組み合わせることが求められます。モバイルデバイスのセキュリティは、エンドポイントやメールのセキュリティと同等の緊急性をもって扱われるべきだという彼らの提言は、現在の脅威の深刻さを物語っています。
モバイルデバイスは、私たちの日常生活やビジネス活動の中心に深く組み込まれており、その利便性の裏側には常にサイバー脅威のリスクが潜んでいます。攻撃者は、AppleやGoogleが導入するセキュリティ保護を回避し、ユーザーを欺いて悪意のあるアプリをインストールさせるための新たな方法を絶えず模索しています。特に、iOSデバイスを標的とする攻撃では、企業がApp Storeを介さずにアプリをインストールできるエンタープライズプロビジョニング機能が悪用されるケースも過去に観測されており、プラットフォームの設計上の特性も脅威の対象となり得ます。
ZeroDayRATのようなスパイウェア、監視ツール、情報窃取機能を組み合わせたツールが商業的に利用可能になったことで、スキルレベルの低いハッカーにとっても攻撃の障壁がさらに低下しました。これは、モバイルに特化したサイバー脅威の洗練度と永続性が進化していることを浮き彫りにしています。企業は、従業員のモバイルデバイスが機密情報へのアクセスポイントとなり得ることを認識し、包括的なモバイルセキュリティ戦略を策定する必要があります。これには、従業員へのセキュリティ意識向上トレーニングの実施、強力な認証メカニズムの導入、そして最新の脅威インテリジェンスに基づいた防御策の継続的な更新が含まれるべきです。
個人ユーザーもまた、自身のデバイスが常に標的となり得るという意識を持つことが重要です。不審なメッセージやメールに含まれるリンクをクリックしない、信頼できないソースからのアプリをインストールしない、そしてデバイスのOSやアプリを常に最新の状態に保つといった基本的なセキュリティ習慣を徹底することが求められます。ZeroDayRATが示すように、モバイルデバイスのセキュリティは、もはや個人の問題にとどまらず、企業や社会全体にとっての喫緊の課題として、より一層の注意と対策が求められています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -New Mobile Spyware ZeroDayRAT Targets Android and iOS - https://www.infosecurity-magazine.com/news/zerodayrat-mobile-spyware-android/
- -New ZeroDayRAT Mobile Spyware Enables Real-Time Surveillance and Data Theft - https://thehackernews.com/2026/02/new-zerodayrat-mobile-spyware-enables.html