銀行アプリ、証券アプリ、決済アプリ、送金アプリなど、スマートフォンを使った金融取引は日常的なものになりました。
一方で、金融サービスを狙う攻撃も高度化しています。フィッシングでID・パスワードを盗むだけでなく、スマートフォン上で動く不正アプリやマルウェアによって、認証情報や取引情報を盗み、不正送金につなげる手口もあります。
このように、銀行アプリや金融サービスを狙うマルウェアは、一般に「バンキングマルウェア」や「バンキングトロジャン」と呼ばれます。
本記事では、バンキングマルウェアとは何か、不正送金につながる主な手口、金融アプリ・決済アプリを運営する企業が確認すべき対策をわかりやすく整理します。
バンキングマルウェアとは?
バンキングマルウェアとは、銀行アプリ、証券アプリ、決済アプリ、送金サービスなど、金融取引に関わる情報を狙うマルウェアの総称です。
主な目的は、ユーザーの認証情報や取引情報を盗み、不正ログイン、不正送金、不正決済、登録情報の変更などにつなげることです。
一般的なスマホ向けマルウェアが、端末情報や個人情報を広く狙うのに対し、バンキングマルウェアは金融サービスに関わる情報や操作を重点的に狙う点が特徴です。
- 銀行アプリのログイン情報を盗む
- 証券口座や決済アプリの認証情報を狙う
- SMS認証コードや通知内容を盗み見る
- 正規アプリに似せた偽画面を表示する
- ユーザー本人の端末上で不正操作を行う
- 不正送金や不正決済につなげる
金融庁も、金融機関を騙ったフィッシングによる不正送金・不正取引被害の増加を受け、フィッシング耐性のある多要素認証の導入等を含む対応を進めています。
なぜバンキングマルウェアが問題になるのか
バンキングマルウェアが問題になる理由は、被害が直接的な金銭被害につながりやすいからです。
単にスマートフォン内の情報が盗まれるだけでなく、銀行口座、証券口座、決済アプリ、送金サービスなどが悪用されると、実際の不正送金や不正決済につながります。
警察庁の資料でも、令和6年のインターネットバンキングに係る不正送金事犯は4,369件、被害額は約86億8,900万円で、その多くは金融機関等を装ったフィッシングによるものと考えられるとされています。
このような状況では、金融アプリ・決済アプリを提供する企業側も、「ユーザーが怪しいリンクを踏まなければよい」という考え方だけでは不十分です。
ユーザー端末側に不正アプリが存在する可能性、認証情報が盗まれる可能性、ログイン後の重要操作が悪用される可能性まで含めて対策を考える必要があります。
バンキングマルウェアの主な手口
1. 偽アプリとして配布される
バンキングマルウェアは、正規の金融アプリや便利ツールに見せかけて配布されることがあります。
たとえば、セキュリティアプリ、認証アプリ、ポイントアプリ、配送通知アプリ、決済関連アプリなどを装い、ユーザーにインストールさせる手口です。
一見すると通常のアプリに見えるため、ユーザーは危険に気づきにくくなります。
2. フィッシングサイトから誘導される
金融機関や決済サービスを装ったSMS、メール、広告などから偽サイトへ誘導し、そこから不正アプリのインストールを促すケースもあります。
警視庁も、金融機関等を装ったメールやSMSからフィッシングサイトへ誘導され、IDやパスワード等が盗み取られる手口に注意を呼びかけています。
バンキングマルウェアの場合、フィッシングで認証情報を盗むだけでなく、端末側に不正アプリを入れさせることで、継続的に情報を盗むリスクがあります。
3. 画面を偽装する
バンキングマルウェアは、正規の銀行アプリや決済アプリの画面に似せた偽画面を表示することがあります。
ユーザーは正規アプリを開いたつもりでも、実際には不正な入力画面にID・パスワード・認証コードなどを入力してしまう可能性があります。
このような画面偽装は、ユーザーが見た目だけで判別することが難しいため、企業側でも注意すべきリスクです。
4. SMSや通知を盗み見る
金融サービスでは、SMS認証コードやプッシュ通知を使って本人確認や取引確認を行うことがあります。
しかし、端末側に不正アプリが存在し、SMSや通知にアクセスできる状態になっていると、認証コードや取引通知が盗まれる可能性があります。
そのため、SMS認証やワンタイムパスワードを導入していても、端末側が侵害されている場合にはリスクが残ります。
5. アクセシビリティ機能を悪用する
一部の不正アプリは、スマートフォンのアクセシビリティ機能などを悪用して、画面上の情報を読み取ったり、操作を補助したりするような挙動を行う場合があります。
本来、アクセシビリティ機能は利用者を支援するための重要な機能です。しかし、不正アプリに悪用されると、入力情報の取得や画面操作の監視につながる可能性があります。
6. 遠隔操作や自動操作に悪用される
バンキングマルウェアの中には、ユーザー端末を経由して不正操作を行うタイプもあります。
この場合、攻撃者はユーザー本人の端末から操作しているように見せかけることができるため、通常のログイン情報や端末情報だけでは不正を見抜きにくくなります。
金融アプリ側では、単にログインできたかどうかではなく、ログイン後の操作や取引のリスクを評価する必要があります。
バンキングマルウェアが不正送金につながる流れ
バンキングマルウェアによる不正送金は、いきなり発生するわけではありません。
多くの場合、以下のように複数の段階を経て被害につながります。
- SMS、メール、広告、偽サイトなどからユーザーが誘導される
- 偽アプリや不正アプリをインストールしてしまう
- SMS、通知、画面表示、入力情報などが盗まれる
- 金融アプリや決済アプリの認証情報が悪用される
- 攻撃者が不正ログインや重要操作を試みる
- 送金、出金先変更、高額決済などが行われる
- 金銭被害や顧客信頼の低下につながる

この流れを見ると、バンキングマルウェア対策は、ログイン認証だけでは不十分であることがわかります。
端末の状態、アプリの実行環境、認証情報の保護、ログイン後の重要操作、不正取引検知を組み合わせて考える必要があります。
金融アプリ・決済アプリで注意すべきリスク
1. ID・パスワードの窃取
もっとも基本的なリスクは、ID・パスワードの窃取です。
フィッシングサイトだけでなく、画面偽装や入力情報の盗み見によって、ログイン情報が盗まれる可能性があります。
2. ワンタイムパスワードの窃取
SMSや通知で送られるワンタイムパスワードは、攻撃者にとって重要な標的になります。
端末側でSMSや通知が盗み見られると、追加認証を導入していても不正ログインを防ぎきれない可能性があります。
3. 正規ユーザー端末からの不正操作
攻撃者がユーザー本人の端末を悪用して操作した場合、通常の端末認証やログイン履歴だけでは不正を判定しにくくなります。
このため、取引内容、操作速度、送金先、金額、端末状態などを組み合わせたリスク判定が必要になります。
4. 送金先・登録情報の変更
不正送金では、単にログインするだけでなく、送金先の追加、出金先口座の変更、電話番号やメールアドレスの変更などが狙われる場合があります。
これらの操作は、ログイン後の重要操作として特に注意すべきです。
5. 顧客信頼とブランド毀損
金融アプリや決済アプリで不正送金被害が発生すると、直接的な補償負担だけでなく、問い合わせ増加、利用停止、SNSでの不安拡散、ブランド信頼の低下につながります。
そのため、バンキングマルウェア対策は、セキュリティ部門だけでなく、事業責任者やプロダクト責任者も理解しておきたいテーマです。
企業が確認すべき対策
1. フィッシング対策だけで終わらせない
不正送金対策では、フィッシングサイトへの注意喚起やドメイン監視も重要です。
しかし、バンキングマルウェアが関与する場合、ユーザー端末内で情報が盗まれたり、不正操作が行われたりする可能性があります。
そのため、フィッシング対策に加えて、端末リスクやアプリ実行環境の確認も必要です。
2. 端末リスクを検知する
金融アプリ・決済アプリでは、利用端末が安全な状態かどうかを確認することが重要です。
- Root化・Jailbreakされた端末ではないか
- エミュレーター上で実行されていないか
- 不審なアプリや不自然な権限利用がないか
- 古いOSや脆弱な環境ではないか
- 不正な実行環境でアプリが動作していないか
端末リスクを把握できれば、ログインや重要操作の際に追加認証や制限を行う判断材料になります。
3. アプリ改ざん・リパッケージを検知する
正規アプリが改ざんされていないか、不正なコードが追加されていないか、リパッケージされていないかを確認することも重要です。
偽アプリや改ざんアプリが出回ると、ユーザーが誤って利用し、認証情報や個人情報を入力してしまうリスクがあります。
4. 画面偽装や不正な干渉を想定する
金融アプリでは、画面偽装、オーバーレイ、Hooking、デバッグ、不正な実行時干渉などを想定した設計が必要です。
特に、ログイン画面、認証コード入力画面、送金画面、登録情報変更画面などは、攻撃者に狙われやすい重要画面です。
5. 重要操作時に追加認証・リスク判定を行う
不正対策では、ログイン時だけでなく、ログイン後の重要操作をどう守るかが重要です。
以下の操作は、追加認証やリスク判定の対象にすべきです。
- 送金
- 高額決済
- 出金先口座の追加・変更
- 登録電話番号の変更
- メールアドレスの変更
- 認証方式の変更
- 新しい端末からの利用開始
金融庁は、金融機関を騙ったフィッシングによる不正送金・不正取引被害の増加を踏まえ、フィッシング耐性のある多要素認証の導入等を盛り込んだ監督指針・事務ガイドラインの改正を実施しています。
6. 不正取引モニタリングを組み合わせる
バンキングマルウェア対策は、アプリ側だけで完結するものではありません。
サーバー側の不正検知、取引モニタリング、異常ログイン検知、送金先リスク判定などと組み合わせる必要があります。
たとえば、普段と異なる時間帯、場所、端末、送金先、金額、操作速度などが確認された場合には、追加確認や一時保留を行う設計が考えられます。
7. ユーザー通知と停止導線を整える
不正送金対策では、ユーザーが異変に気づける仕組みも重要です。
- ログイン通知
- 送金実行通知
- 登録情報変更通知
- 新端末ログイン通知
- 不審操作時の一時停止導線
- 緊急問い合わせ導線
ただし、端末側の通知が不正アプリに妨害される可能性もあるため、通知だけに依存せず、アプリ内・メール・Web・コールセンターなど複数の接点で対応できる設計が望まれます。
バンキングマルウェア対策のチェックリスト
| 確認項目 | 確認したいポイント |
|---|---|
| 認証情報保護 | ID・パスワード・OTP・SMS認証コードの窃取を想定しているか |
| 端末リスク | Root化・Jailbreak・エミュレーター・不審環境を検知できるか |
| アプリ保護 | 改ざん、リパッケージ、Hooking、デバッグを検知できるか |
| 画面偽装対策 | ログイン画面や送金画面への不正な干渉を想定しているか |
| 重要操作保護 | 送金、出金先変更、登録情報変更時に追加認証やリスク判定を行っているか |
| 不正取引検知 | 通常と異なる端末・場所・金額・送金先・操作を検知できるか |
| ユーザー通知 | ログイン、送金、登録情報変更などをユーザーに通知できるか |
| インシデント対応 | 不正送金疑いが発生した際の停止・調査・顧客対応フローがあるか |
バンキングマルウェア対策は「アプリ・端末・認証・取引」を分けて考える
バンキングマルウェア対策で重要なのは、ひとつの対策に依存しないことです。
たとえば、多要素認証を導入していても、端末側で認証コードが盗まれる可能性があります。端末認証をしていても、本人端末が不正操作される可能性があります。不正送金検知をしていても、アプリ側の改ざんや画面偽装を見逃す可能性があります。
そのため、金融アプリ・決済アプリでは、以下のように分けて考えることが重要です。
- 認証:本人確認、MFA、パスキー、追加認証
- 端末:Root化・Jailbreak、エミュレーター、不審アプリ、OS状態
- アプリ:改ざん、リパッケージ、Hooking、難読化、RASP
- 取引:送金、決済、出金先変更、登録情報変更、不正取引検知
- 運用:通知、停止、調査、顧客対応、再発防止
このように多層的に対策することで、バンキングマルウェアによる不正送金リスクを下げることができます。
まとめ:バンキングマルウェアは金融アプリの不正送金対策で重要なテーマ
バンキングマルウェアとは、銀行アプリ、証券アプリ、決済アプリ、送金サービスなどを狙うマルウェアです。
主な目的は、ID・パスワード、ワンタイムパスワード、SMS認証コード、取引情報などを盗み、不正ログインや不正送金につなげることです。
金融アプリ・決済アプリを運営する企業では、フィッシング対策や認証強化だけでなく、端末リスク、アプリ改ざん、画面偽装、不正な実行環境、ログイン後の重要操作、不正取引検知まで含めて確認する必要があります。
バンキングマルウェア対策は、単なるウイルス対策ではありません。
金融・決済サービスの信頼を守るためには、アプリ、端末、認証、取引、運用を分けて、多層的にリスクを下げる設計が重要です。
参考情報
- 金融庁「フィッシング耐性のある多要素認証等に係る官民一体・業界横断的な広報について」
- 金融庁「インターネットバンキングによる預金の不正送金事案が急増しています」
- 警察庁「インターネットバンキングに係る不正送金事犯の情勢」
- 警視庁「インターネットバンキング不正送金被害の防止対策」
- IPA「情報セキュリティ10大脅威 2026」
- Google for Developers「Malware | Play Protect」