スマートフォンアプリは、SMS、通知、位置情報、カメラ、マイク、連絡先、ストレージなど、端末内のさまざまな情報や機能へアクセスできます。
これらのアクセスは、通常はユーザーに便利な機能を提供するために使われます。たとえば、地図アプリが位置情報を使う、金融アプリがプッシュ通知で取引通知を送る、認証アプリがログイン確認を通知する、といった使い方です。
しかし、不正アプリや偽アプリが過剰な権限を取得した場合、SMS認証コード、通知内容、位置情報、端末情報、操作状況などが悪用される可能性があります。
このように、アプリに許可された権限が不正な目的で使われるリスクを、本記事では「権限悪用」として整理します。
金融アプリ・決済アプリの文脈では、権限悪用は単なるプライバシー問題ではありません。認証情報窃取、不正ログイン、不正送金、不正決済、アカウント乗っ取りにつながる重要なリスクです。
本記事では、権限悪用とは何か、SMS・通知・位置情報・アクセシビリティ権限がどのように悪用されるのか、企業が確認すべき対策をわかりやすく解説します。
権限悪用とは?
権限悪用とは、スマートフォンアプリに許可された権限が、本来の目的とは異なる不正な用途で使われることです。
アプリは、端末の機能や情報へアクセスするために権限を要求します。たとえば、位置情報を使うには位置情報権限、カメラを使うにはカメラ権限、通知を読むには通知アクセスなどが関係します。
正規アプリが必要な範囲で権限を使うこと自体は問題ではありません。
しかし、不正アプリや偽アプリがユーザーをだまして権限を許可させると、端末内の情報が盗まれたり、認証コードが読み取られたり、画面操作が監視されたりする可能性があります。
特に金融アプリ・決済アプリでは、SMS認証コード、プッシュ通知、ログイン操作、送金操作、位置情報、端末状態などが不正利用の判断に関わるため、権限悪用を前提にした対策が必要です。

なぜスマホアプリの権限が狙われるのか
スマートフォンには、本人確認や取引に関わる重要な情報が集まっています。
攻撃者にとって、スマホアプリの権限を悪用できれば、ユーザーの認証情報や端末情報を取得しやすくなります。
たとえば、以下のような情報が狙われます。
- SMS認証コード
- プッシュ通知の内容
- 認証アプリの通知
- 位置情報
- 端末情報
- インストール済みアプリ情報
- 画面表示
- タップ操作
- 連絡先
- 通話履歴
- ファイルや画像
これらの情報は単体では決定的な情報に見えない場合があります。
しかし、攻撃者が複数の情報を組み合わせると、不正ログイン、不正送金、フィッシング、なりすまし、標的型詐欺に悪用される可能性があります。
SMS権限の悪用リスク
SMSは、本人確認やワンタイムパスワードの受け取りに使われることがあります。
しかし、不正アプリがSMSを読み取れる状態になると、SMS認証コードが盗まれるリスクがあります。
攻撃者は、フィッシングなどでID・パスワードを入手したうえで、SMS認証コードまで取得しようとする場合があります。
この場合、ユーザーがSMS認証を使っていても、端末側で認証コードが盗まれると、追加認証を突破される可能性があります。
SMS権限が悪用される流れ
- ユーザーが偽アプリや不正アプリをインストールする
- アプリがSMS関連の権限を要求する
- ユーザーが必要な権限だと思って許可する
- 金融機関や決済サービスから届いたSMS認証コードが読み取られる
- 攻撃者が不正ログインや不正送金に悪用する
SMS認証は導入しやすい一方で、端末内の不正アプリやスパイウェアによる読み取りリスクを考慮する必要があります。
通知アクセスの悪用リスク
スマートフォンでは、アプリの通知に重要な情報が表示されることがあります。
たとえば、ログイン通知、取引通知、認証確認、ワンタイムコード、決済承認、本人確認メッセージなどです。
不正アプリが通知へのアクセスを得ると、ユーザーが画面を開かなくても通知内容を読み取られる可能性があります。
金融アプリ・決済アプリでは、通知は単なるお知らせではありません。ログイン、送金、決済、登録情報変更などの重要操作に関わる情報が含まれる場合があります。
通知アクセスで狙われる情報
- ログイン通知
- 認証コード
- 送金通知
- 決済通知
- 本人確認通知
- 不審ログイン通知
- アカウント変更通知
通知アクセスが悪用されると、攻撃者はユーザーの利用状況や認証状況を把握しやすくなります。
そのため、金融アプリ側では、通知に表示する情報の範囲や、重要操作時の通知設計も慎重に考える必要があります。
位置情報権限の悪用リスク
位置情報は、地図、店舗検索、不正ログイン検知、リスクベース認証などで使われることがあります。
一方で、位置情報が不正アプリに取得されると、ユーザーの生活圏、移動パターン、勤務先、よく利用する店舗などが推測される可能性があります。
位置情報は、直接的にID・パスワードを盗む情報ではありません。
しかし、攻撃者が位置情報を使うことで、より自然ななりすましや標的型フィッシングを行える可能性があります。
位置情報が悪用される例
- ユーザーの生活圏を把握する
- よく利用する金融機関や店舗を推測する
- 地域に合わせたフィッシング文面を作る
- 不正ログイン時の位置情報偽装に悪用する
- 行動パターンから本人確認情報を推測する
金融アプリ・決済アプリでは、位置情報を不正検知に使う場合もあります。
そのため、正規アプリ側では、位置情報の取り扱いを最小限にしつつ、不正アプリによる位置情報取得リスクも前提にする必要があります。
アクセシビリティ機能の悪用リスク
アクセシビリティ機能は、本来、視覚や操作に支援が必要なユーザーを助けるための重要な機能です。
しかし、不正アプリがアクセシビリティ機能を悪用すると、画面上の情報を読み取ったり、タップ操作を補助したり、他アプリ上の動きを監視したりする可能性があります。
金融アプリ・決済アプリでは、ログイン画面、OTP入力画面、送金確認画面、登録情報変更画面などが狙われる可能性があります。
アクセシビリティ悪用で起きる可能性があること
- 画面上のテキストを読み取る
- 入力フォームの内容を取得する
- タップ操作を監視する
- 偽画面やオーバーレイ攻撃と組み合わせる
- 権限許可や設定変更を誘導する
- 重要操作の画面遷移を検知する
アクセシビリティ機能は正当な用途があるため、単純にすべてを危険扱いすることはできません。
ただし、金融アプリ・決済アプリでは、アクセシビリティ機能が不正アプリに悪用される可能性を前提に、重要画面の保護やリスク判定を設計することが重要です。
その他の権限悪用リスク
SMS、通知、位置情報、アクセシビリティ以外にも、スマートフォンアプリには注意すべき権限があります。
| 権限・機能 | 悪用される可能性 |
|---|---|
| カメラ | 本人確認書類、カード、画面の撮影 |
| マイク | 通話内容や周囲音の取得 |
| 連絡先 | なりすまし、フィッシング、詐欺の拡散 |
| ストレージ | 画像、ファイル、認証関連データの取得 |
| クリップボード | コピーしたID、パスワード、口座情報の取得 |
| 他のアプリの上に表示 | 画面オーバーレイ攻撃、偽ログイン画面の表示 |
不正アプリは、これらの権限を単独で悪用するだけでなく、複数の権限を組み合わせて攻撃を行う可能性があります。
権限悪用が不正ログイン・不正送金につながる流れ
権限悪用による被害は、次のような流れで発生します。
- SMS、メール、偽サイト、広告などから不正アプリへ誘導される
- ユーザーが便利アプリや認証アプリだと思ってインストールする
- アプリがSMS、通知、位置情報、アクセシビリティなどの権限を要求する
- ユーザーが必要な権限だと思って許可する
- SMS認証コード、通知内容、端末情報、操作情報が取得される
- 攻撃者が不正ログインや不正送金に悪用する
- 金銭被害、アカウント乗っ取り、個人情報漏えいにつながる
この流れを見ると、権限悪用は単なるアプリのプライバシー問題ではなく、金融・決済サービスの不正対策に直結するテーマであることがわかります。
ユーザー側で注意したいポイント
ユーザー側では、アプリをインストールする際や権限を許可する際に、以下の点に注意することが重要です。
- 公式アプリストア以外からアプリを入れない
- SMSやメールのリンクからアプリを入れない
- 本来の機能に不要な権限を許可しない
- SMS、通知、位置情報、アクセシビリティ権限は慎重に確認する
- 使っていないアプリの権限を見直す
- 不審なアプリは削除する
- OSとアプリを最新状態に保つ
- Google Play Protectなどの保護機能を有効にする
ただし、ユーザーに注意を促すだけでは十分ではありません。
攻撃者は、自然な文面、正規アプリに似たデザイン、緊急性のある通知、もっともらしい権限説明を使ってユーザーを誘導します。
そのため、企業側ではユーザーがだまされる可能性を前提にした設計が必要です。
企業が確認すべき対策
1. 公式アプリ導線を明確にする
偽アプリや不正アプリへの誘導を防ぐためには、公式アプリの導線を明確にすることが重要です。
- 公式サイトから正規アプリストアへ誘導する
- SMSやメールでアプリファイルを直接配布しない
- 公式アプリ名、提供元名、アイコンを統一する
- 偽アプリへの注意喚起ページを用意する
2. アプリ内で不要な権限を要求しない
正規アプリ側も、不要な権限を要求しないことが重要です。
正規アプリが多くの権限を要求していると、ユーザーが不正アプリの過剰な権限要求にも慣れてしまう可能性があります。
必要最小限の権限に絞り、なぜその権限が必要なのかをわかりやすく説明することが大切です。
3. 重要画面を保護する
ログイン画面、OTP入力画面、送金画面、登録情報変更画面などは、特に保護すべき画面です。
画面オーバーレイ、スクリーンショット、画面録画、アクセシビリティ悪用、Hookingなどを想定し、重要画面でのリスクを評価する必要があります。
4. 端末リスクを検知する
金融アプリ・決済アプリでは、ユーザー端末が安全であるとは限らない前提で考える必要があります。
以下のような端末リスクを検知できるか確認しましょう。
- Root化・Jailbreak
- エミュレーター
- デバッグ環境
- Hooking
- 不正アプリの存在
- 画面オーバーレイリスク
- 不審な権限利用
5. 重要操作時に追加認証を行う
権限悪用によってSMS認証コードや通知内容が盗まれる可能性がある場合、ログイン時の認証だけでは不十分です。
送金、出金先変更、電話番号変更、メールアドレス変更、認証方式変更などの重要操作では、再認証やリスクベース認証を組み合わせることが重要です。
6. 不正取引モニタリングを組み合わせる
権限悪用によって認証情報が盗まれたとしても、ログイン後の不正操作を検知できれば被害を抑えられる可能性があります。
通常と異なる端末、場所、操作速度、送金先、金額、取引パターンなどをもとに、不審な操作を検知する仕組みが必要です。
7. ユーザー通知を設計する
ログイン、送金、登録情報変更、新端末利用、認証方式変更などの重要操作が行われた場合には、ユーザー通知が有効です。
ただし、通知内容が不正アプリに読まれる可能性もあるため、通知に表示する情報量や、通知後の確認導線も慎重に設計する必要があります。
権限悪用対策のチェックリスト
| 確認項目 | 確認したいポイント |
|---|---|
| 公式導線 | 正規アプリストアへの導線が明確か |
| 権限設計 | 正規アプリが不要な権限を要求していないか |
| SMSリスク | SMS認証コードが端末内で盗まれる前提を持っているか |
| 通知リスク | 通知内容に重要情報を出しすぎていないか |
| 位置情報リスク | 位置情報の取得・利用目的が最小限か |
| アクセシビリティ悪用 | 画面読み取りや自動操作リスクを想定しているか |
| 重要画面保護 | ログイン・OTP・送金画面を保護しているか |
| 端末リスク検知 | Root化・Jailbreak・Hooking・不正環境を検知できるか |
| 追加認証 | 重要操作時に再認証やリスク判定を行っているか |
| 不正取引検知 | 通常と異なる送金・決済・登録情報変更を検知できるか |
権限悪用は「ユーザーが許可したから安全」ではない
権限悪用で注意したいのは、ユーザーが自分で許可しているように見える点です。
しかし、ユーザーが権限の意味を正確に理解しているとは限りません。
不正アプリは、もっともらしい説明や便利な機能を装って、SMS、通知、位置情報、アクセシビリティなどの権限を許可させようとします。
そのため、金融アプリ・決済アプリを提供する企業側では、「ユーザーが許可したから問題ない」と考えるのではなく、不正アプリが端末内で権限を悪用する可能性を前提に対策する必要があります。
まとめ:SMS・通知・位置情報の権限悪用は不正対策に直結する
権限悪用とは、スマートフォンアプリに許可された権限が、本来の目的とは異なる不正な用途で使われるリスクです。
金融アプリ・決済アプリでは、SMS認証コード、通知内容、位置情報、アクセシビリティ機能、画面情報などが悪用されると、不正ログイン、不正送金、不正決済につながる可能性があります。
ユーザー側では、不審なアプリを入れない、不要な権限を許可しない、権限設定を見直すことが重要です。
一方で、企業側ではユーザーの注意だけに依存せず、公式アプリ導線の整備、最小権限設計、重要画面保護、端末リスク検知、重要操作時の追加認証、不正取引モニタリングを組み合わせる必要があります。
権限悪用対策は、単なるプライバシー対策ではありません。金融・決済サービスの信頼を守るための、モバイル不正対策の重要な一部です。
参考情報
- Android Developers「Permissions on Android」
- Android Developers「App permissions best practices」
- Google Play ヘルプ「Use Google Play Protect to help keep your apps safe & your data private」
- OWASP MASTG「Testing for App Permissions」
- OWASP MASVS「MASVS-PRIVACY」