金融アプリ、決済アプリ、証券アプリ、ECサイト、会員サービスでは、ID・パスワード、OTP、SMS認証コード、端末情報などを使って本人確認を行います。
しかし、これらの認証情報が攻撃者に盗まれると、不正ログイン、アカウント乗っ取り、不正送金、不正決済、登録情報変更などに悪用される可能性があります。
このように、ログインや本人確認に使われる情報が盗まれることを「認証情報窃取」と呼びます。
認証情報窃取は、フィッシング、偽アプリ、キーロガー、スパイウェア、画面オーバーレイ攻撃、マルウェア、漏えい済みパスワードの悪用など、さまざまな手口で発生します。
本記事では、認証情報窃取とは何か、ID・パスワードが悪用される流れ、金融・決済アプリを運営する企業が確認すべき対策をわかりやすく解説します。
認証情報窃取とは?
認証情報窃取とは、ログインや本人確認に使われる情報を攻撃者が不正に取得することです。
代表的なものは、ID・パスワードです。しかし、現在の攻撃では、単にパスワードだけが狙われるわけではありません。
金融アプリ・決済アプリでは、以下のような情報も狙われる可能性があります。
- ログインID
- メールアドレス
- パスワード
- 暗証番号
- SMS認証コード
- ワンタイムパスワード
- 認証アプリのコード
- セッションID
- 認証トークン
- 端末情報
- 本人確認情報
- 秘密の質問の回答
つまり、認証情報窃取は「パスワードが盗まれること」だけではありません。
ログインに必要な情報、追加認証に必要な情報、ログイン後の状態を維持する情報まで含めて、攻撃者に悪用される可能性があるもの全体を考える必要があります。
認証情報が盗まれると何が起きるのか

認証情報が盗まれると、攻撃者は正規ユーザーになりすましてサービスへアクセスしようとします。
金融アプリ・決済アプリでは、以下のような被害につながる可能性があります。
- 不正ログイン
- アカウント乗っ取り
- 不正送金
- 不正決済
- 登録電話番号の変更
- メールアドレスの変更
- 出金先口座の登録・変更
- 認証方式の変更
- パスワード変更
- 個人情報の閲覧・窃取
特に注意したいのは、認証情報窃取が「ログインされる」だけで終わらない点です。
ログイン後に、送金、決済、登録情報変更、出金先変更、認証方式変更などの重要操作が行われると、金銭被害やアカウント乗っ取りに発展する可能性があります。
ID・パスワードが悪用される流れ
認証情報窃取による被害は、次のような流れで発生します。
- フィッシング、偽アプリ、不正アプリなどでユーザーが誘導される
- ID・パスワード・OTP・SMS認証コードなどが盗まれる
- 攻撃者が盗んだ情報を使って正規サービスへログインを試みる
- ログインに成功すると、アカウント情報や取引情報を確認する
- 送金、決済、登録情報変更などの重要操作を実行する
- 金銭被害、個人情報漏えい、顧客信頼低下につながる
この流れを見ると、認証情報窃取対策では、ログイン時の認証だけでなく、ログイン後の重要操作まで保護する必要があることがわかります。
認証情報が盗まれる主な手口
1. フィッシングサイトで入力させる
もっとも代表的な手口がフィッシングです。
攻撃者は、金融機関、決済サービス、配送会社、ECサイト、クラウドサービスなどを装ったSMSやメールを送り、ユーザーを偽サイトへ誘導します。
偽サイトは正規サイトに似たデザインで作られており、ユーザーにID・パスワード、SMS認証コード、カード情報などを入力させます。
ユーザーは本物のサイトだと思って入力しているため、被害に気づきにくい点が問題です。
2. 偽アプリ・リパッケージアプリで盗む
正規アプリに見せかけた偽アプリや、正規アプリを改ざんしたリパッケージアプリも、認証情報窃取の入口になります。
偽アプリは、ログイン画面や認証画面を本物のように見せかけ、ユーザーに情報を入力させます。
金融アプリ・決済アプリでは、偽アプリ経由でID・パスワードや認証コードが盗まれると、不正ログインや不正送金につながる可能性があります。
3. キーロガーで入力情報を記録する
キーロガーとは、ユーザーが入力した文字や操作情報を記録する不正な仕組みです。
PCだけでなく、スマートフォンでも、不正なキーボードアプリ、アクセシビリティ機能の悪用、画面読み取り、クリップボード取得などにより、入力情報が盗まれる可能性があります。
金融アプリでは、ID・パスワードだけでなく、OTPやSMS認証コードも入力情報として狙われます。
4. スパイウェアで端末内の情報を収集する
スパイウェアは、端末内の情報や利用状況を密かに収集するマルウェアの一種です。
スマートフォンでは、SMS、通知、メール、位置情報、連絡先、端末情報、画面表示、インストール済みアプリ情報などが狙われることがあります。
SMS認証コードや通知内容が盗まれると、MFAを導入していても突破されるリスクがあります。
5. 画面オーバーレイ攻撃で偽画面に入力させる
画面オーバーレイ攻撃とは、正規アプリの画面の上に偽画面を重ねて表示し、ユーザーに情報を入力させる攻撃です。
たとえば、ユーザーが銀行アプリを開いたタイミングで、正規アプリに似せたログイン画面やOTP入力画面を表示します。
ユーザーは本物の画面だと思って入力しますが、実際には攻撃者に認証情報を渡している可能性があります。
6. 漏えい済みID・パスワードを使い回す
別サービスから漏えいしたID・パスワードが、他のサービスで悪用されることがあります。
ユーザーが複数サービスで同じID・パスワードを使い回している場合、攻撃者は漏えい済みの認証情報を使って、金融アプリ、EC、会員サービス、クラウドサービスなどへログインを試みます。
このような攻撃は、 credential stuffing、いわゆるパスワードリスト攻撃とも呼ばれます。
7. セッション情報やトークンを盗む
認証情報窃取では、ID・パスワードだけでなく、ログイン後のセッション情報やトークンが狙われることもあります。
セッションIDや認証トークンが盗まれると、攻撃者がログイン済みユーザーになりすまして操作する可能性があります。
この場合、ユーザーがID・パスワードを再入力していなくても、ログイン後の状態が悪用されるリスクがあります。
なぜMFAを入れていても安心できないのか
MFAは、不正ログイン対策として重要な仕組みです。
しかし、MFAを導入していればすべての認証情報窃取を防げるわけではありません。
たとえば、以下のようなケースではMFAを突破される可能性があります。
- SMS認証コードがスパイウェアに盗まれる
- OTPが偽画面に入力される
- ユーザーがフィッシングサイトで認証操作を行ってしまう
- 攻撃者がリアルタイムに認証コードを取得する
- セッションCookieやトークンが盗まれる
- MFA疲れやプッシュ通知承認を悪用される
そのため、MFAは重要ですが、MFAだけに依存する設計は危険です。
金融アプリ・決済アプリでは、MFAに加えて、端末リスク、アプリ改ざん、画面オーバーレイ、セッション管理、重要操作時の追加認証、不正取引モニタリングを組み合わせることが重要です。
金融アプリ・決済アプリで特に注意すべき操作
認証情報が盗まれた場合、攻撃者はログイン後に重要操作を試みます。
特に注意すべき操作は以下です。
- 送金
- 高額決済
- 出金先口座の登録・変更
- 登録電話番号の変更
- メールアドレスの変更
- パスワード変更
- 認証方式の変更
- 新端末の登録
- 本人確認情報の変更
- カード情報の確認・変更
これらは、単なるアカウント設定ではありません。
攻撃者に悪用されると、アカウント乗っ取り、金銭被害、被害回復の困難化につながります。
そのため、金融アプリ・決済アプリでは、ログイン時だけでなく、重要操作時にも再認証やリスク判定を行う設計が必要です。
企業が確認すべき対策
1. パスワードだけに依存しない
ID・パスワードだけで重要サービスを守るのは限界があります。
ユーザーのパスワード使い回し、フィッシング、漏えい済み認証情報の悪用を前提に、多要素認証やリスクベース認証を組み合わせる必要があります。
2. MFAを導入する
MFAは、パスワードが盗まれた場合の被害を抑えるための基本対策です。
ただし、SMS認証やOTPも端末側で盗まれる可能性があるため、可能であればフィッシング耐性のある認証方式や、端末認証、生体認証、リスクベース認証との組み合わせを検討することが重要です。
3. 重要操作時に追加認証を行う
ログインに成功したからといって、すべての操作を許可するのは危険です。
送金、出金先変更、電話番号変更、認証方式変更などの重要操作では、再認証や追加認証を行うべきです。
これにより、認証情報が盗まれた場合でも、不正操作を止められる可能性があります。
4. 端末リスクを検知する
ユーザー端末が安全な状態であるとは限りません。
金融アプリ・決済アプリでは、以下のような端末リスクを確認することが重要です。
- Root化・Jailbreak
- エミュレーター
- デバッグ環境
- Hooking
- 不正アプリの存在
- 画面オーバーレイリスク
- 古いOSや脆弱な環境
端末リスクが高い場合には、追加認証、利用制限、注意喚起、重要操作の保留などを検討できます。
5. アプリ改ざん・リパッケージを検知する
正規アプリが改ざんされたり、リパッケージアプリとして再配布されたりすると、ユーザーが本物だと思って認証情報を入力してしまう可能性があります。
アプリの完全性チェック、署名検証、改ざん検知、不正コード検知などにより、正規アプリと異なる状態を検知することが重要です。
6. 画面オーバーレイ・画面読み取りを想定する
ログイン画面、OTP入力画面、送金確認画面などは、認証情報窃取の対象になりやすい重要画面です。
画面オーバーレイ、スクリーンショット、画面録画、画面共有、アクセシビリティ悪用などを想定し、必要に応じて画面保護を検討する必要があります。
7. セッション管理を強化する
認証情報窃取では、ID・パスワードだけでなく、セッション情報やトークンも狙われます。
セッションIDの安全な生成、ログイン後のセッションID更新、Cookie属性の適切な設定、セッション有効期限の管理、ログアウト時のセッション失効などが重要です。
8. 不正ログイン・不正取引をモニタリングする
盗まれた認証情報が使われた場合でも、すぐに被害が確定するとは限りません。
通常と異なる端末、IP、位置情報、時間帯、操作速度、送金先、金額、取引パターンなどをもとに、不審な挙動を検知できれば、被害拡大を抑えられる可能性があります。
認証情報窃取対策では、ログイン時の防御と、ログイン後の操作監視を組み合わせることが重要です。
9. ユーザー通知を設計する
新しい端末からのログイン、送金、登録情報変更、パスワード変更、認証方式変更などが行われた場合には、ユーザーへ通知する仕組みが有効です。
通知により、ユーザー本人が不審な操作に早く気づける可能性があります。
ただし、通知だけでは不正操作を防げないため、リスクの高い操作では通知に加えて再認証や一時保留も検討すべきです。
認証情報窃取対策のチェックリスト
| 確認項目 | 確認したいポイント |
|---|---|
| パスワード対策 | 使い回し・漏えい済みパスワードの悪用を想定しているか |
| MFA | パスワードだけに依存せず、多要素認証を導入しているか |
| フィッシング耐性 | SMS認証やOTPだけに依存しない設計を検討しているか |
| 重要操作保護 | 送金・登録情報変更時に再認証やリスク判定を行っているか |
| 端末リスク | Root化・Jailbreak・エミュレーター・不正環境を検知できるか |
| アプリ保護 | 改ざん、リパッケージ、Hooking、デバッグを検知できるか |
| 画面保護 | 画面オーバーレイ、画面読み取り、スクリーンショットを想定しているか |
| セッション管理 | セッションID、Cookie、トークンを適切に管理しているか |
| 不正ログイン検知 | 通常と異なるログイン端末・場所・時間帯を検知できるか |
| 不正取引検知 | 通常と異なる送金・決済・登録情報変更を検知できるか |
| ユーザー通知 | 重要操作や新端末利用をユーザーへ通知しているか |
認証情報窃取対策は「盗まれない」だけでは不十分
認証情報窃取対策では、「ID・パスワードを盗まれないようにする」ことはもちろん重要です。
しかし、実際にはフィッシング、偽アプリ、マルウェア、画面オーバーレイ、漏えい済みパスワードの悪用など、さまざまな経路で認証情報が盗まれる可能性があります。
そのため、企業側では「盗まれないようにする」だけでなく、「盗まれても悪用されにくくする」設計が必要です。
- ログイン時の認証を強化する
- 端末やアプリのリスクを確認する
- 重要操作時に追加認証を行う
- ログイン後の不正操作を監視する
- 不審な場合はセッションを停止する
- ユーザーへ速やかに通知する
このように、認証情報窃取対策は、認証機能だけの問題ではありません。
アプリ、端末、認証、セッション、取引、通知、運用を組み合わせた多層的な対策が重要です。
まとめ:認証情報窃取は不正ログイン・不正送金の入口になる
認証情報窃取とは、ID・パスワード・OTP・SMS認証コード・セッション情報など、ログインや本人確認に使われる情報が攻撃者に盗まれることです。
盗まれた認証情報は、不正ログイン、アカウント乗っ取り、不正送金、不正決済、登録情報変更などに悪用される可能性があります。
主な手口には、フィッシング、偽アプリ、キーロガー、スパイウェア、画面オーバーレイ攻撃、漏えい済みパスワードの悪用、セッション情報の窃取などがあります。
金融アプリ・決済アプリを提供する企業では、MFAの導入だけでなく、フィッシング耐性、端末リスク検知、アプリ改ざん検知、画面保護、セッション管理、重要操作時の再認証、不正取引モニタリングを組み合わせることが重要です。
認証情報は「盗まれないように守る」だけではなく、「盗まれたとしても不正操作につながりにくくする」設計が求められます。
参考情報
- OWASP「Credential Stuffing Prevention Cheat Sheet」
- OWASP「Authentication Cheat Sheet」
- OWASP「Session Management Cheat Sheet」
- CISA「Multifactor Authentication」
- IPA「情報セキュリティ10大脅威 2026」