2026年6月、セキュリティ企業Malwarebytesは、新たなAndroid向けバンキングマルウェア「Rokarolla」に関する分析を公開しました。
Rokarollaは、銀行アプリや暗号資産アプリを標的に、偽のログイン画面(オーバーレイ)を表示して認証情報を窃取し、SMSやワンタイムパスワード(OTP)の傍受を試みる高度なマルウェアです。
近年、金融機関を狙ったフィッシングや不正送金被害が増加する中、今回の事例は「ログイン情報が盗まれた後に何が起きるのか」を考える上で重要なケースと言えるでしょう。
本記事では、Rokarollaの概要と企業が確認すべきモバイル不正対策について解説します。
Rokarollaとは
RokarollaはAndroid端末を標的とするバンキングマルウェアです。
感染した端末上で、
- 銀行アプリ
- 暗号資産アプリ
- 決済アプリ
などの起動を監視し、正規アプリの上に偽ログイン画面を表示します。
利用者は正規アプリを利用しているつもりでも、実際には攻撃者が用意した入力画面に
- ID
- パスワード
- 認証コード
を入力してしまう可能性があります。
なぜ危険なのか
1. フィッシングサイトではなく端末内部で攻撃する
従来のフィッシング詐欺は、
偽メール
↓
偽サイト
↓
認証情報窃取
という流れが一般的でした。
しかしRokarollaは、
正規アプリ
↓
マルウェアが画面を上書き
↓
認証情報窃取
という流れで攻撃します。
利用者から見ると正規アプリにしか見えないため、気付きにくい点が特徴です。
2. SMS認証だけでは防げない可能性がある
近年、多くの金融サービスでSMS認証が導入されています。
しかし、バンキングマルウェアの中には
- SMS閲覧
- 通知取得
- OTP傍受
を狙うものも存在します。
つまり、
「SMS認証を導入しているから安全」
とは言い切れない状況になっています。
3. 不正ログイン後の不正操作が問題
多くの企業はログイン認証の強化に注力しています。
一方で攻撃者は、
ログイン成功後の
- 送金
- 出金
- 登録情報変更
- デバイス変更
といった重要操作を狙います。
そのため、
認証
+
端末リスク評価
+
異常検知
を組み合わせた対策が求められています。
今回の事案から見える3つの課題
課題① 端末そのものが信用できなくなっている
従来は
正しく認証できた=本人
という考え方が一般的でした。
しかし現在は、
- マルウェア感染
- Root化
- Jailbreak
- オーバーレイ攻撃
などにより、
「認証後も安全とは限らない」
時代になっています。
課題② ログイン情報だけでなく端末状態も確認する必要がある
企業側は
- 不審な端末
- 改ざん環境
- エミュレーター
- デバッグ環境
などを検知する仕組みを検討する必要があります。
課題③ モバイルアプリ自体の保護が重要
攻撃者はアプリそのものを解析し、
- 改ざん
- Hooking
- リパッケージ
を行うケースがあります。
そのため、
- RASP
- App Shielding
- 改ざん検知
などの技術も重要になります。
モバイル不正対策ラボの見解
今回のRokarollaの事例で注目すべき点は、
「認証情報が盗まれること」
ではなく、
「正規アプリ利用中でも攻撃が成立すること」
です。
金融機関や決済事業者は、
- MFA導入
- パスキー導入
だけでなく、
- 端末リスク評価
- 不正環境検知
- アプリ改ざん対策
- 重要操作時の追加認証
まで含めて考える必要があります。
特に金融アプリでは、
「ログインできたら終わり」
ではなく、
「ログイン後の操作をどう守るか」
が重要なテーマになっています。
企業が確認したいチェックポイント
□ Root化・Jailbreak端末を検知できるか
□ 不審なエミュレーター環境を検知できるか
□ オーバーレイ攻撃への対策を実施しているか
□ 送金・出金時に追加認証を実施しているか
□ アプリ改ざんやHookingを検知できるか
□ 異常な端末変更や行動変化を監視できるか
まとめ
Android向けバンキングマルウェア「Rokarolla」は、正規アプリ上に偽ログイン画面を表示し、認証情報やOTPを窃取する可能性がある脅威として報告されています。
今回の事例は、
- フィッシング対策
- MFA導入
だけではなく、
- 端末リスク管理
- アプリ保護
- 不正操作対策
の重要性を改めて示すものと言えるでしょう。
金融機関や決済事業者、会員アプリ運営企業は、認証だけに依存しない多層防御の考え方を改めて確認する必要があります。
参考情報
- Malwarebytes:Rokarolla Android Banking Malware Analysis
- IPA(情報処理推進機構)
- JPCERT/CC
- 金融庁