キーロガーとは?ID・パスワード・OTPが盗まれる仕組みと対策

金融アプリ、決済アプリ、証券アプリ、ECアプリ、会員アプリでは、ログイン時にID・パスワードを入力し、必要に応じてSMS認証コードやワンタイムパスワードを入力する場面があります。

このような入力情報を狙う代表的な脅威のひとつが「キーロガー」です。

キーロガーとは、ユーザーが入力した文字や操作情報を記録し、攻撃者に送信する不正な仕組みです。PCだけでなく、スマートフォンやモバイルアプリの文脈でも注意が必要です。

特に金融アプリ・決済アプリでは、ID・パスワードだけでなく、OTP、SMS認証コード、送金情報、カード情報などが盗まれることで、不正ログインや不正送金につながる可能性があります。

本記事では、キーロガーとは何か、ID・パスワード・OTPが盗まれる仕組み、金融・決済アプリを運営する企業が確認すべき対策をわかりやすく解説します。

キーロガーとは?

キーロガーとは、ユーザーがキーボードや画面上で入力した内容を記録するソフトウェアや仕組みのことです。

英語では「Keylogger」や「Keystroke Logger」と呼ばれ、入力された文字、ログイン情報、メッセージ、検索内容、カード情報、認証コードなどを記録する目的で使われることがあります。

キーロガー自体は、管理・監査・保護者による見守りなど、合法的な用途で使われる場合もあります。しかし、ユーザーの同意なく密かに動作し、認証情報や個人情報を盗む目的で使われる場合は、重大なセキュリティリスクになります。

金融アプリ・決済アプリの文脈では、キーロガーは単なる入力記録ツールではありません。認証情報窃取、不正ログイン、不正送金、不正決済につながる攻撃手法として考える必要があります。

キーロガーで盗まれやすい情報

キーロガーは、ユーザーが入力する情報を狙います。

金融・決済アプリで特に注意したいのは、以下のような情報です。

  • ログインID
  • パスワード
  • ワンタイムパスワード
  • SMS認証コード
  • 認証アプリのコード
  • 暗証番号
  • クレジットカード番号
  • セキュリティコード
  • 送金先情報
  • 口座番号
  • 秘密の質問の回答
  • メールアドレスや電話番号

特に問題なのは、ID・パスワードだけでなく、追加認証に使うOTPやSMS認証コードまで盗まれる可能性がある点です。

多要素認証を導入していても、端末側で入力内容や通知内容が盗まれている場合、認証情報が攻撃者に渡るリスクは残ります。

スマホでキーロガーが問題になる理由

キーロガーというと、PCのキーボード入力を記録するイメージが強いかもしれません。

しかし、スマートフォンでも入力情報や画面操作が狙われる可能性があります。

スマホでは、物理キーボードではなく、画面上のソフトウェアキーボード、タップ操作、フォーム入力、コピー&ペースト、画面表示、アクセシビリティ機能などが関係します。

そのため、スマホにおけるキーロガー的なリスクは、単に「キー入力を記録する」だけではありません。

  • 入力欄に入力された文字を盗む
  • 画面上の情報を読み取る
  • スクリーンショットを取得する
  • アクセシビリティ機能を悪用する
  • クリップボードの内容を盗む
  • オーバーレイ画面で入力させる
  • 不正なキーボードアプリとして動作する

つまり、スマホではキーロガー、スパイウェア、画面オーバーレイ、偽アプリ、バンキングマルウェアが組み合わさって、認証情報を盗むことがあります。

キーロガーが侵入する主な経路

1. 偽アプリ・不正アプリとしてインストールされる

スマートフォンでは、偽アプリや不正アプリにキーロガー機能が含まれている場合があります。

たとえば、便利ツール、セキュリティアプリ、認証アプリ、キーボードアプリ、ファイル管理アプリ、ポイントアプリなどを装い、ユーザーにインストールさせる手口です。

インストール後に不自然な権限を許可してしまうと、入力情報や画面情報が盗まれるリスクがあります。

2. フィッシングサイトから誘導される

SMSやメールで偽サイトへ誘導し、そこから不正アプリを入れさせるケースもあります。

「本人確認が必要」「アカウントを停止します」「不正利用を検知しました」など、緊急性をあおる文面でユーザーを誘導する手口です。

この場合、フィッシングでID・パスワードを入力させるだけでなく、不正アプリをインストールさせて継続的に情報を盗む流れに発展することがあります。

3. 非公式ストアや外部サイトから配布される

公式アプリストア以外のサイトからアプリを入手すると、不正コードを含むアプリをインストールしてしまう可能性があります。

特にAndroidでは、外部からAPKファイルをインストールできるため、非公式経路からのアプリ導入には注意が必要です。

4. 不正なキーボードアプリとして動作する

スマートフォンでは、ユーザーがキーボードアプリを変更できる場合があります。

不正なキーボードアプリを利用してしまうと、入力した文字情報が外部に送信される可能性があります。

通常の文字入力、ログイン情報、検索内容、認証コードなどが記録されるリスクがあるため、キーボードアプリは信頼できるものだけを利用する必要があります。

5. アクセシビリティ機能を悪用する

アクセシビリティ機能は、本来は利用者を支援する重要な機能です。

しかし、不正アプリがこの機能を悪用すると、画面上の情報やタップ操作を読み取ったり、自動操作に近い挙動を行ったりする可能性があります。

金融アプリ・決済アプリでは、アクセシビリティ機能を悪用した情報窃取や不正操作も想定しておく必要があります。

ID・パスワード・OTPが盗まれる流れ

キーロガーによる被害は、単に「入力内容が記録される」だけでは終わりません。

金融・決済アプリでは、次のような流れで不正ログインや不正送金につながる可能性があります。

  1. SMS、メール、広告、偽サイトなどから不正アプリへ誘導される
  2. キーロガー機能を持つ不正アプリをインストールしてしまう
  3. ユーザーがID・パスワードを入力する
  4. OTPやSMS認証コードを入力する
  5. 入力情報が外部へ送信される
  6. 攻撃者が正規サービスへ不正ログインを試みる
  7. 送金、決済、出金先変更、登録情報変更などに悪用される

この流れを見ると、キーロガー対策では、ログイン画面だけを守ればよいわけではないことがわかります。

認証コード入力、送金画面、登録情報変更画面、端末変更、認証方式変更など、重要操作全体を保護する必要があります。

OTPを使っていても安全とは限らない理由

ワンタイムパスワードは、通常のパスワードより安全性を高めるために有効な仕組みです。

しかし、キーロガーやスパイウェアが端末内で動作している場合、ユーザーが入力したOTPがその場で盗まれる可能性があります。

OTPは一定時間で無効になるため、盗まれたとしても長期間使えるわけではありません。しかし、攻撃者がリアルタイムに入力情報を取得している場合、短時間で不正ログインや重要操作に悪用されるリスクがあります。

そのため、金融アプリ・決済アプリでは、OTPを導入しているだけで安心するのではなく、端末状態、入力環境、重要操作時のリスク判定、不正取引モニタリングを組み合わせる必要があります。

金融アプリ・決済アプリで注意すべきリスク

1. 不正ログイン

ID・パスワードが盗まれると、攻撃者が正規サービスへ不正ログインを試みる可能性があります。

さらにOTPやSMS認証コードまで盗まれると、追加認証を突破されるリスクがあります。

2. 不正送金・不正決済

金融アプリや決済アプリでは、不正ログイン後に送金、高額決済、出金先変更などが狙われる可能性があります。

キーロガーで盗まれた入力情報は、単なるログイン突破だけでなく、ログイン後の重要操作にも悪用される可能性があります。

3. アカウント乗っ取り

メールアドレス、電話番号、認証方式、パスワードなどを変更されると、ユーザー本人がアカウントを取り戻しにくくなる場合があります。

特に、登録情報変更や認証方式変更は、攻撃者にとって重要な操作です。

4. 二次被害の拡大

盗まれたID・パスワードが他のサービスでも使い回されている場合、被害は金融アプリだけにとどまりません。

EC、メール、クラウド、SNS、会員サービスなど、複数のアカウントに不正ログインされる可能性があります。

5. 顧客信頼の低下

金融・決済アプリで認証情報の窃取や不正送金が発生すると、ユーザーからの信頼低下、問い合わせ増加、利用停止、ブランド毀損につながります。

そのため、キーロガー対策は技術部門だけでなく、事業責任者やプロダクト責任者も理解しておきたいテーマです。

企業が確認すべき対策

1. 認証情報が盗まれる前提で設計する

金融アプリ・決済アプリでは、ID・パスワードが盗まれないことだけを前提にしてはいけません。

フィッシング、スパイウェア、キーロガー、偽アプリによって認証情報が盗まれる可能性を前提に、ログイン後の重要操作まで含めて対策する必要があります。

2. MFAを導入する

多要素認証は、パスワードだけに依存しないための基本対策です。

ただし、SMS認証やOTPも端末側で盗まれる可能性があるため、可能であればフィッシング耐性のある認証方式や、端末状態・リスクベース認証と組み合わせることが重要です。

3. 重要操作時に追加認証を行う

ログイン時だけでなく、ログイン後の重要操作時にも追加認証やリスク判定を行うべきです。

  • 送金
  • 高額決済
  • 出金先口座の登録・変更
  • 電話番号の変更
  • メールアドレスの変更
  • パスワード変更
  • 認証方式の変更
  • 新端末での利用開始

キーロガーによってログイン情報が盗まれた場合でも、重要操作で追加の確認があれば被害を止められる可能性があります。

4. 端末リスクを検知する

ユーザー端末が安全な状態かどうかを確認することも重要です。

  • Root化・Jailbreakされた端末ではないか
  • エミュレーター上で実行されていないか
  • 不審なアプリや不自然な権限利用がないか
  • 古いOSや脆弱な環境ではないか
  • 不正な実行環境でアプリが動作していないか

端末リスクを把握することで、ログインや重要操作時に追加認証、利用制限、注意喚起などを行う判断材料になります。

5. 画面読み取り・Hooking・オーバーレイを想定する

スマホのキーロガー的な脅威では、単なる文字入力だけでなく、画面読み取り、Hooking、オーバーレイ、アクセシビリティ悪用なども関係します。

金融アプリでは、ログイン画面、認証コード入力画面、送金画面、登録情報変更画面などを重点的に保護する必要があります。

6. アプリ改ざん・リパッケージを検知する

正規アプリが改ざんされたり、リパッケージアプリとして再配布されたりすると、ユーザーが本物だと思って認証情報を入力してしまう可能性があります。

アプリの完全性チェック、署名検証、改ざん検知、不正コード検知などにより、正規アプリと異なる状態を検知することが重要です。

7. 不正ログイン・不正取引をモニタリングする

キーロガー対策は、アプリ内の防御だけでは完結しません。

通常と異なる端末、IP、位置情報、時間帯、操作速度、送金先、金額、取引パターンなどをもとに、不審な挙動を検知する仕組みも必要です。

盗まれた認証情報が使われたとしても、不正な操作や取引を早期に検知できれば、被害拡大を抑えられます。

キーロガー対策のチェックリスト

確認項目確認したいポイント
認証情報保護ID・パスワード・OTP・SMS認証コードの窃取を想定しているか
MFAパスワードだけに依存せず、多要素認証を導入しているか
重要操作保護送金・出金先変更・登録情報変更時に追加認証を行っているか
端末リスクRoot化・Jailbreak・エミュレーター・不審環境を検知できるか
画面保護画面読み取り、オーバーレイ、スクリーンショット取得を想定しているか
実行時保護Hooking、デバッグ、不正な実行時干渉を検知できるか
アプリ完全性改ざんアプリ・リパッケージアプリを検知できるか
不正取引検知通常と異なるログイン・送金・決済パターンを検知できるか
ユーザー通知ログイン、送金、登録情報変更、新端末利用を通知できるか

ユーザー側にも伝えるべき注意点

企業側の対策に加えて、ユーザーへの注意喚起も重要です。

  • 公式アプリストア以外からアプリを入れない
  • SMSやメールのリンクからアプリを入れない
  • 不審なキーボードアプリを使わない
  • 不要な権限を許可しない
  • OSとアプリを最新状態に保つ
  • パスワードを使い回さない
  • ログイン通知や取引通知を有効にする
  • 不審な入力画面が出たら操作を中止する

ただし、金融・決済アプリを提供する企業側が、すべてをユーザー任せにするのは危険です。

攻撃者は、正規アプリに似た画面、自然なSMS、もっともらしい通知、緊急性のある文面を使ってユーザーを誘導します。ユーザーがすべてを見抜くことは簡単ではありません。

そのため、企業側ではユーザーへの注意喚起とあわせて、アプリ側・端末側・サーバー側の対策を組み合わせる必要があります。

まとめ:キーロガー対策は認証情報窃取を前提に考える

キーロガーとは、ユーザーが入力した内容を記録するソフトウェアや仕組みです。

スマートフォンでは、キーボード入力だけでなく、画面読み取り、タップ操作、アクセシビリティ悪用、オーバーレイ、クリップボード取得などを通じて、入力情報が盗まれる可能性があります。

金融アプリ・決済アプリでは、ID・パスワード、OTP、SMS認証コード、暗証番号、カード情報、送金情報などが盗まれると、不正ログイン、不正送金、不正決済につながるリスクがあります。

キーロガー対策では、MFAを導入するだけでなく、端末リスク検知、アプリ改ざん検知、Hooking検知、重要操作時の追加認証、不正取引モニタリングを組み合わせることが重要です。

認証情報は「盗まれないようにする」だけでなく、「盗まれたとしても悪用されにくくする」設計が求められます。

参考情報

  • Microsoft Security「What is a keylogger?」
  • Google for Developers「Malware | Play Protect」
  • Google Play Help「Use Google Play Protect to help keep your apps safe & your data private」
  • IPA「情報セキュリティ10大脅威 2026」

関連記事