スマートフォンアプリは、銀行、証券、決済、EC、会員サービスなど、さまざまなサービスの入口になっています。
その一方で、正規アプリに見せかけた「偽アプリ」や、正規アプリを改ざんして再配布する「リパッケージアプリ」による被害も注意すべきテーマになっています。
特に金融アプリ・決済アプリでは、偽アプリを通じてログイン情報や認証情報が盗まれると、不正ログイン、不正送金、不正決済、個人情報の窃取につながる可能性があります。
本記事では、偽アプリとは何か、リパッケージアプリや不正アプリとの違い、金融・決済アプリを運営する企業が確認すべき対策をわかりやすく解説します。
偽アプリとは?
偽アプリとは、正規のアプリや有名サービスに見せかけて作られた不正アプリのことです。
見た目のアイコン、アプリ名、ログイン画面、ブランドカラー、説明文などを正規アプリに似せることで、ユーザーに本物だと誤認させます。
偽アプリの目的はさまざまですが、金融・決済領域では主に以下のような被害につながります。
- ID・パスワードの窃取
- ワンタイムパスワードやSMS認証コードの窃取
- クレジットカード情報や口座情報の窃取
- 不正ログイン
- 不正送金・不正決済
- 個人情報の収集
- マルウェア感染
- ブランドや企業信頼の低下
偽アプリは、ユーザーに「自分でインストールさせる」点が大きな特徴です。攻撃者はSMS、メール、広告、SNS、偽サイトなどを使い、ユーザーを不正アプリのダウンロードへ誘導します。

リパッケージアプリとは?
リパッケージアプリとは、正規アプリを解析・改ざんし、不正なコードや機能を追加したうえで、再びアプリとして配布されるものです。
たとえば、正規アプリの見た目や基本機能はそのまま残しつつ、裏側で情報を外部送信するコードを埋め込むようなケースが考えられます。
ユーザーから見ると、本物のアプリとほとんど同じように見える場合があります。そのため、単なる偽ブランドアプリよりも見分けにくいことがあります。
金融アプリや決済アプリの場合、リパッケージアプリは特に危険です。ログイン画面や取引画面が本物に近い状態で表示されるため、ユーザーが疑わずに認証情報を入力してしまう可能性があります。
偽アプリ・不正アプリ・リパッケージアプリの違い
似た言葉として、偽アプリ、不正アプリ、リパッケージアプリがあります。
| 種類 | 概要 | 主なリスク |
|---|---|---|
| 偽アプリ | 正規アプリや有名サービスに見せかけたアプリ | 認証情報窃取、詐欺、マルウェア感染 |
| 不正アプリ | ユーザーや端末に害を与える悪意あるアプリ全般 | 情報窃取、不正通信、遠隔操作、広告詐欺 |
| リパッケージアプリ | 正規アプリを改ざんし、不正機能を追加して再配布したアプリ | 正規アプリに見せかけた情報窃取、不正操作 |
大きく見ると、偽アプリやリパッケージアプリは、不正アプリの一種と考えることができます。
偽アプリはどのように配布されるのか
1. SMSやメールから偽サイトへ誘導する
よくある手口は、SMSやメールでユーザーを偽サイトに誘導し、そこから不正アプリをインストールさせる方法です。
たとえば、配送通知、セキュリティ警告、本人確認、アカウント停止、ポイント失効、金融機関からのお知らせなどを装ったメッセージが使われます。
JPCERT/CCも、SMSに記載されたURLから偽サイトへ誘導され、不正アプリのダウンロードを促される流れを注意喚起しています。特にAndroidでは、不明な提供元からのアプリインストール許可を有効にしてしまうことで、不正アプリがインストールされる可能性があります。
2. 偽の公式サイトから配布する
正規サービスの公式サイトに似せた偽サイトを作り、そこからアプリを配布する手口もあります。
アプリ名やロゴ、画面デザインを似せることで、ユーザーは本物のサービスだと思い込んでしまう可能性があります。
3. 非公式ストアや外部サイトで配布する
公式アプリストア以外のサイトや、ファイル共有サイト、掲示板、SNSなどを通じて配布されることもあります。
特にAndroidでは、外部からAPKファイルを入手してインストールできるため、非公式経路からのアプリ導入には注意が必要です。
4. 広告やSNS投稿で誘導する
検索広告、SNS広告、投稿、メッセージなどを使って、不正なアプリ配布ページへ誘導するケースもあります。
見た目が自然な広告や投稿であっても、リンク先が正規サイトとは限らないため、企業側はブランド悪用や偽サイトの監視も検討する必要があります。
偽アプリが金融アプリ・決済アプリにもたらすリスク
1. 認証情報が盗まれる
偽アプリの大きな目的のひとつは、ユーザーの認証情報を盗むことです。
正規アプリに似せたログイン画面を表示し、ID・パスワード・ワンタイムパスワード・SMS認証コードなどを入力させることで、攻撃者が不正に情報を取得する可能性があります。
2. 不正ログインにつながる
盗まれた認証情報は、正規の金融アプリやWebサービスへの不正ログインに悪用される可能性があります。
ユーザー本人が偽アプリに情報を入力しているため、被害に気づくまで時間がかかることもあります。
3. 不正送金・不正決済につながる
金融アプリや決済アプリでは、認証情報が盗まれると、不正送金や不正決済につながる可能性があります。
特に、送金、出金先変更、登録電話番号の変更、メールアドレス変更、認証方式の変更などは、攻撃者に悪用されやすい重要操作です。
4. 端末内の情報が盗まれる
偽アプリが不正な権限を取得すると、端末内の情報、SMS、通知、連絡先、位置情報、端末識別情報などが外部へ送信される可能性があります。
Googleは、有害なアプリのカテゴリとして、認証情報を盗むフィッシング、情報を収集して外部送信するスパイウェア、無害に見せかけて有害な動作をするトロイの木馬などを整理しています。
5. ブランド毀損につながる
偽アプリによる被害は、ユーザーだけでなく、正規サービスを提供する企業にも影響します。
たとえ企業側の正規アプリが直接侵害されていなくても、ユーザーから見れば「そのサービス名を使った被害」として認識されることがあります。
その結果、問い合わせ増加、SNSでの不安拡散、アプリ利用停止、ブランド信頼の低下につながる可能性があります。
リパッケージアプリが特に危険な理由
リパッケージアプリは、単なる偽アプリよりも見分けにくい場合があります。
なぜなら、正規アプリをもとに作られているため、画面や機能が本物に近いことがあるからです。
攻撃者は、正規アプリを解析し、改ざんしたうえで、不正なコードを追加します。たとえば、入力情報の外部送信、広告詐欺、不正通信、マルウェア機能の追加などが考えられます。
OWASP Mobile Application Securityでは、モバイルアプリに対するリバースエンジニアリングや改ざんへの耐性を重要な観点として整理しています。モバイルアプリは公開後に解析・改ざんされる可能性があるため、アプリ保護を前提にした設計が必要です。
企業が確認すべき対策
1. 公式アプリ配布経路を明確にする
まず重要なのは、ユーザーが正規アプリを迷わず入手できる状態にすることです。
- 公式サイトから正規ストアへの導線を明確にする
- アプリストア上の公式アプリ名をわかりやすくする
- 提供元名・開発元名を統一する
- 偽アプリに注意する案内を用意する
- SMSやメールでアプリファイルを直接配布しない方針を明示する
ユーザーが「どれが本物かわからない」状態になると、偽アプリに誘導されるリスクが高まります。
2. 偽サイト・偽アプリの監視を行う
金融・決済アプリでは、ブランド名やサービス名を悪用した偽サイト、偽アプリ、広告、SNS投稿の監視も重要です。
偽アプリが発見された場合には、アプリストアやホスティング事業者への削除申請、利用者への注意喚起、問い合わせ窓口の整備などを行う必要があります。
3. アプリ改ざん・リパッケージを検知する
正規アプリが改ざんされていないか、リパッケージされていないかを検知する仕組みも重要です。
たとえば、アプリの完全性チェック、署名検証、改ざん検知、不正コード検知などにより、正規の状態と異なるアプリ実行を検知する考え方があります。
4. Root化・Jailbreak・エミュレーターを検知する
攻撃者は、Root化・Jailbreakされた端末やエミュレーター上でアプリを解析・改ざんしようとする場合があります。
金融アプリ・決済アプリでは、アプリがどのような環境で実行されているかを確認し、不正環境では利用制限や追加確認を行うことが重要です。
5. Hookingやデバッグを検知する
Hookingやデバッグツールを使うと、アプリの動作を外部から変更・監視される可能性があります。
ログイン処理、認証処理、送金処理、API通信などに不正な干渉が行われると、重要情報の窃取や不正操作につながる可能性があります。
そのため、金融アプリでは実行時の不正な干渉を検知する仕組みが重要になります。
6. 重要操作時に追加認証・リスク判定を行う
偽アプリや不正アプリによって認証情報が盗まれる可能性を前提にすると、ログイン時の認証だけでは不十分です。
以下のような重要操作では、追加認証やリスク判定を行う設計が望まれます。
- 送金
- 高額決済
- 出金先口座の登録・変更
- 電話番号の変更
- メールアドレスの変更
- 認証方式の変更
- 新しい端末からの利用開始
7. ユーザーへの注意喚起を継続する
偽アプリ対策では、企業側の技術対策だけでなく、ユーザーへのわかりやすい注意喚起も必要です。
- 公式ストア以外からアプリを入れない
- SMSやメールのリンクからアプリを入れない
- 提供元やレビューだけで安易に判断しない
- 不自然な権限要求を許可しない
- ログイン情報や認証コードを安易に入力しない
- 不審な画面が出た場合は公式窓口に確認する
IPAの「情報セキュリティ10大脅威 2026」でも、個人向け脅威として「不正アプリによるスマートフォン利用者への被害」が継続して取り上げられています。これは、偽アプリや不正アプリのリスクが一時的なものではなく、長期的に注意すべきテーマであることを示しています。
偽アプリ対策のチェックリスト
| 確認項目 | 確認したいポイント |
|---|---|
| 公式導線 | 公式サイトから正規アプリストアへの導線が明確か |
| ブランド監視 | 偽サイト、偽アプリ、なりすまし広告、SNS投稿を監視しているか |
| アプリ完全性 | アプリ改ざんやリパッケージを検知できるか |
| 実行環境 | Root化・Jailbreak・エミュレーター・デバッグ環境を検知できるか |
| ランタイム保護 | Hookingや不正な実行時干渉を検知できるか |
| 重要操作 | 送金・決済・登録情報変更時に追加認証やリスク判定を行っているか |
| ユーザー通知 | ログイン、送金、端末変更、登録情報変更を通知できるか |
| 削除対応 | 偽アプリ発見時の削除申請・注意喚起・問い合わせ対応フローがあるか |
偽アプリ対策は「ユーザー任せ」にしない
偽アプリ対策では、ユーザーに注意してもらうことも重要です。
しかし、金融アプリ・決済アプリを提供する企業側が、すべてをユーザーの注意力に任せるのは危険です。
攻撃者は、正規アプリに似た画面、公式サイトに似たページ、自然なSMSや広告を使ってユーザーを誘導します。ユーザーが見た目だけで本物かどうかを判断するのは簡単ではありません。
そのため企業側では、公式導線の整備、偽アプリ監視、アプリ改ざん検知、実行環境検知、重要操作時の追加認証、不正取引モニタリングを組み合わせる必要があります。
まとめ:偽アプリは金融・決済アプリにとって重要な不正リスク
偽アプリとは、正規アプリや有名サービスに見せかけて配布される不正アプリです。
リパッケージアプリは、正規アプリを改ざんし、不正なコードを追加して再配布するもので、ユーザーから見分けにくい場合があります。
金融アプリ・決済アプリでは、偽アプリやリパッケージアプリによって、認証情報の窃取、不正ログイン、不正送金、不正決済、個人情報漏えい、ブランド毀損が発生する可能性があります。
偽アプリ対策では、公式アプリストアへの導線整備だけでなく、偽サイト・偽アプリの監視、アプリ改ざん検知、Root化・Jailbreak検知、Hooking検知、重要操作時の追加認証、不正取引モニタリングまで含めた多層的な対策が重要です。
モバイルアプリを提供する企業は、「正規アプリを作って公開する」だけでなく、公開後に偽アプリ化・改ざん・悪用されるリスクまで想定しておく必要があります。
参考情報
- JPCERT/CC「モバイル端末を狙うマルウェアへの対応FAQ」
- IPA「情報セキュリティ10大脅威 2026」
- Google for Developers「Malware | Play Protect」
- OWASP Mobile Application Security「Mobile App Tampering and Reverse Engineering」
- OWASP MASVS「Resilience Against Reverse Engineering and Tampering」