「スマートフォン利用シーンに潜む脅威Top10 2026」について
~ JSSEC利用部会ワークショップレポート ~
JSSEC利用部会
利用部会では、利用者視点でスマートフォンを利用する際に想定される脅威を整理した「スマートフォン利用シーンに潜む脅威 Top10 2023」を2023年に公表しています。それから約2年半が経過し、生成AIの普及をはじめスマートフォンを取り巻く利用環境も大きく変化してきました。こうした状況を踏まえ、次期Top10の策定に向けた取り組みを進めています。
その一環として、2026年10月22日(水)に実施したワークショップでは、新たなTop10の候補を選出しました。今回(2026年1月20日)は、その候補を題材に「どの項目を、どのような理由で脅威と捉えるのか」を参加会員同士で議論し、観点のすり合わせと論点の深掘りを行いました。
最終的なTop10は、ワークショップ終了後に実施する投票(第1回・第2回ワークショップ参加会員)に加え、2026年2月6日開催のセキュリティフォーラム2026の現地会場や、2月27日・28日に開催されるサイバーセキュリティシンポジウム道後2026(Sec道後2026)のJSSECブースでも来場者投票を受け付ける予定です。これらの結果を踏まえ、最終版として取りまとめる計画です。
当日は、オフライン3チーム・オンライン2チームに分かれて50分間のディスカッションを実施し、各チームで挙がった意見を発表しました。以下に、発表内容のポイントを整理します。
生成AIで“見抜けない”フィッシングへ——スマホ起点の複合型詐欺に備える
現地A班の議論では、脅威の中心は依然として「フィッシング」であり、Top10でも中核に据えるべきだという意見が多く挙がりました。メール/SMS(スミッシング)/SNSなど入口は多様化しているものの、最終的には認証情報の窃取や不正送金、アカウント乗っ取りに結びつきやすく、被害インパクトが大きい点が理由です。近年は生成AIにより日本語が不自然な文面が減り、“それらしい”誘導文や偽サイトが作られることで、見抜きにくさが増しているという認識も共有されました。
また、いわゆるオレオレ詐欺もスマホを軸に多角的にアップデートされている議論が印象的でした。警察や社長・上司になりすます手口が、ビデオ通話やSNSと結びつき、さらにAIによる音声複製で説得力が高まり、BtoB文脈の「指示型詐欺」(部下に送金・対応させる等)が現実味を帯びています。中でも「LINEグループを作成しろ」と誘導し、企業側の統制が効きにくい場へ移された後に指示が行われる構図は、監視・記録の外に出される怖さがあるとして注意喚起が必要だという意見でした。
対策面では、パスワード使い回しや多要素認証未対応/未利用といった“いつもの弱点”が依然残っていること、だからこそパスキー普及など仕組みで守る方向の啓発が重要だという整理になりました。加えて、ブラウザ拡張機能による情報窃取、解約しづらいUI(ダークパターン)、サイドローディングやマイナンバーカード搭載など環境変化に伴うリスクも論点として挙がりました。総じて、脅威は単体ではなく「アナログ×デジタル」「複数手口の組み合わせ」で増幅するため、基本のWチェックを含め、利用者・企業双方で備えを更新していく必要がある、という結論でした。
攻撃者は「低コスト×高成功率」を選ぶ——フィッシング優位と導線型リスク
現地B班では、「スマートフォン利用者として強い懸念を抱く脅威」と「その脅威にさらされやすい利用シーン」を軸に議論しました。前提として、攻撃者は“コスト(手間)”と“成功率”を天秤にかけて手法を選ぶため、技術的・物理的ハードルが高い攻撃よりも、実行しやすい手口が広がりやすいという整理が共有されました。
その観点から最も優位性が高い脅威として挙がったのが、生成AIの活用で「低コストかつ巧妙」になったフィッシングです。OS脆弱性の突破や悪質なWi-Fi設置は一定の難度がある一方、フィッシングは言語や文面の精度が上がり、従来より見抜きにくい形で継続的に被害を生みやすい、という認識です。加えて、メールを起点にパスワードリセットや再ログインを促し、Apple IDなど重要アカウントの認証情報を奪う“インフォスティーラー(認証情報窃取)”の流れも警戒点として挙げられました。
利用シーン別では、SNS(TikTok等)の広告リンクや実店舗に貼られた偽QRコードなど、日常の行動導線に攻撃が自然に紛れ込む点が議論になりました。広告をクリックしただけで即感染する可能性は高くない(特にiOS)一方、正規ストアや偽サイトへ誘導し、最終的に悪意あるアプリを入れさせる“導線”として広告が機能する点は無視できない、という整理です。さらに、サイドロード(正規ストア外インストール)によるマルウェア感染は海外で顕著であり、iOSのショートカット機能を悪用したスクリプト実行、正規ストアアプリがアップデートを経て段階的に悪質化する「審査の潜り抜け」も論点になりました。
対策は端末の位置づけで分けて考えるべき、という方向性が示されました。会社端末はMDMによる一元管理・制御を基本に、個人端末はフィルタリングや通信先の監視、OSの迅速なアップデートが現実解となる。共通して、端末内検知や通信ブロックなどソリューションによる検知・防御を組み合わせること、そしてキーチェーン等の仕組みを理解したうえで“鍵”となるApple IDなど認証基盤を守ることが重要、という結論でした。
中高生の“ヒヤリハット”が映す、スマホ脅威のいま——なりすまし・DM誘導・AIの影
オンラインC班では、主に中高生のヒヤリハット事例を手がかりに、実態として「どこで被害が起きているのか」を議論しました。興味関心としてはフィッシング(スミッシング含む)が挙がる一方で、「引っかかることはない」という声もあり、体感として多かったのはSNSアカウントの乗っ取り等の“なりすまし”被害でした。占いアプリなどを経由した乗っ取りの例もあり、入口が必ずしも典型的なフィッシングだけではない点が示唆されます。
ただし、法人向けにセキュリティ対策を提供する立場からは、認証情報奪取がランサムウェア被害につながる現実が共有され、「古典的でも軽視できない脅威」としてフィッシングに票が集まりました。迷惑メールはGoogle系よりキャリアメールの方が多く感じる、という実感や、証券口座で認証情報を奪われた事例を踏まえ、パスキー普及の重要性も論点になりました。
中高生の生活は“スマホ中心”であるがゆえに、SMSやSNSのDMで届く誘導(怪しいバイト勧誘、写真から住所特定を匂わせる脅し等)へのガードが難しい、という指摘もありました。知らない相手とつながる心理的抵抗が低く、DMだけでなくリアルで会うケースまである一方、保護者世代がその実態を把握できていないギャップも課題です。ロマンス詐欺も含め、啓発や実態把握(アンケート等)との接続が有効ではないか、という意見が出ました。
そのほか、若年層におけるAPKサイドロードやroot化(ゲーム目的等)、生成AIによる音声生成を悪用したビッシング/振込依頼、画像生成の悪用(他人の写真から性的画像を作る等)といった新旧の論点が交差しました。また、仲違い後に私的な写真・動画が拡散される、いじめ動画の流出など、スマホならではの“撮れる・送れる”が被害化する側面も改めて確認されました。加えて、スマホセキュリティが生体認証に強く依存している点、企業利用ではカメラ・録音・シャドーITが内部不正につながり得る点など、人と運用を含めた対策の必要性が強調されました。
AIが詐欺を“産業化”する——高度化する手口と「通信の秘密」のジレンマ
オンラインD班では、スマートフォンセキュリティを取り巻く現状を、特にAI技術の悪用による脅威の高度化という観点から整理しました。危機感の中心にあったのは、従来型の詐欺が「AI」と結びつくことで、質・量ともに変化している点です。具体的にはスミッシング(SMS)、ビッシング(電話)、ロマンス/投資/リクルーティング詐欺、オレオレ詐欺・なりすましといった複数の類型が挙げられ、手口の多様化が進んでいるという認識が共有されました。
特徴的なのは、被害が個人だけにとどまらず、ビジネス領域へ波及している点です。CEO詐欺のような組織を狙う攻撃では、なりすましが成立した瞬間に金銭・情報被害が一気に拡大します。さらにAIが生成する自然な会話や、テンプレート化された台本を大量展開できる「半自動化された人海戦術」によって、利用者が真偽を見抜く難度は上がり続けています。将来的な懸念としては、生成AIによるフェイク動画・音声が普及した場合、本人確認や意思確認の前提自体が揺らぐ可能性も議論されました。
一方で、防御側にも限界があります。利用者のリテラシーだけに依存した対策は限界を迎えつつあるものの、技術的対抗策も簡単ではありません。現状の通話アプリ等の対策は「過去に詐欺に使われた番号の通知」レベルにとどまりがちで、本来はAIを用いて通話内容から詐欺性を判定する方向が考えられます。しかしそこには「通信の秘密」や双方の了解といった法的・倫理的な壁があり、踏み込んだ対策が難しいというジレンマが確認されました。
議論はさらに、社会全体が「AIマジョリティ」へ傾くことへの懸念にも広がりました。収益目的のAI生成コメントにAIが返信するような“インプレッションゾンビ”が増え、人間が作った情報が少数派になる——そんな無機質な情報空間(ディストピア)への危機感です。その反動として、AIが介在しにくい対面・フィジカルなコミュニケーションの価値が再評価されるのではないか、という見立ても挙がりました。
以上を踏まえオンラインD班では、JSSECに求められる役割を二軸で整理しました。第一に、AI活用を前提とした「安全な利活用」の推進(例:セキュアAI活用推進タスクフォースを通じた啓発)。第二に、AI悪用や倫理的課題への対処として、社会的ルール作りへの関与(例:政策調査タスクフォースを通した議論・提言)です。脅威の高度化に対し、技術と社会の両面から備えを更新する必要性が強く意識された議論となりました。
社長を名乗るメールが“自然すぎる”時代——E班が重視したフィッシングと新たな入口
オンラインE班の議論では、脅威として最も大きい候補にフィッシング(偽メール)とスミッシング(SMSを使ったフィッシング)が挙げられました。背景には、業務に関わる文脈で「社長の名前」を騙った連絡が実際に届いていること、そしてメールを介した認証情報の窃取や情報漏えいが現実的なリスクになっている、という切実な問題意識があります。近年は生成AIの影響もあり文面が自然で巧妙になり、広報資料や社内文書を思わせる“もっともらしい社長像”を作り込んだメッセージが届くことで、見抜きにくさが増しているという見立てが共有されました。
参加者の中には、社長を語るフィッシングメールを受け取った経験があり、社員の不特定多数にばらまかれただけでなく、顧客にも届いた可能性があったため「当社から発信したものではない」と周知した、という具体的な対応例も紹介されました。報道では短期間で大きな被害額が出ているケースもあり、他人事ではないという空気感でした。メールはドメイン違いなどで判別できる場合がある一方、SMSは差出人の身元が分かりづらく、より判断が難しい点も課題として挙げられています。
関連する詐欺としては、ロマンス詐欺が取り上げられました。手口自体は従来と大きく変わらないものの、接触チャネルが増え「何でも使う」ことで成立しやすくなっている、という整理です。また、病院など多忙な現場を狙い、緊急性を装った“それっぽいシナリオ”で踏ませるフィッシングも懸念されました。
そのほか、QRコード詐欺(クイッシング)は、QRが生活のあらゆる場所にあるからこそ、放置されたQRに気づかず誘導される怖さがある、という意見が挙がりました。さらに、“悪意ある広告・偽商品”については、現金化の仕組みが見えにくく身近な実感は薄い一方、誤タップやスクロール中の意図しない遷移など、本人が「触った覚えがない」形で入口になり得る点が論点になりました。
将来の加速要因としては、生成AIによるフェイク動画・音声も挙がりました。困ったタイミングや心理の隙を突く形で届くと引っかかりやすく、宅配通知のような“ついクリックしてしまう題材”や、趣味嗜好に寄せた誘導が増えることへの警戒感が示されました。加えて、規制緩和等を受けて、正規マーケット由来のアプリでもマルウェア混入の可能性がある点を不安視する声もありました。ゲーム等に紛れた不正は気づきにくく、アプリの挙動が重くても「そういうもの」と見過ごされがち、という指摘です。大手サービスでのデータ流出時の影響や、クラウドに“上げない”運用の難しさも含め、オンラインE班では「入口が増え、見抜きにくくなる時代」に合わせた対策の必要性が確認されました。最近、「詐欺が増えている」という声が多く聞かれ、実際に身近で被害にあった例も紹介されました。スミッシングやビッシングといった手口の増加に加え、警察や行政機関を名乗る電話詐欺もより巧妙になっており、利用者が直面する深刻な脅威として語られました。
また、SNSやマッチングアプリの普及にともない、投資詐欺や誹謗・中傷、生成AIを使ったフェイク情報の拡散も広がっています。特に、AIによるディープフェイク動画の精度が上がったことで、「嘘を見抜くこと」がこれまで以上に難しくなっていると指摘されました。
まとめ:脅威の「中心」は変わらないが、「届き方」と「騙し方」が変わった
A〜E班の議論を通じて浮かび上がったのは、スマートフォンを巡る脅威の中心は依然としてフィッシング(偽メール)/スミッシング(SMS)にある一方で、攻撃が“スマホらしい導線”に溶け込み、見抜きにくくなっている現実でした。メール、SMS、SNS、広告、QRコード、アプリ——入口は分散しつつも、行き着く先は認証情報の奪取、アカウント乗っ取り、不正送金といった大きな被害に集約されやすい。特に攻撃者は「低コスト×高成功率」の手段を選ぶという指摘があり、生成AIによって文面や会話が自然になったことで、フィッシングがさらに“割に合う攻撃”として強化されている点が共通認識となりました。
また、詐欺は個人被害にとどまらず、ビジネス領域に波及しています。社長や上司を名乗るメール、LINE等へ誘導して統制の届かない場で指示を出す手口、さらにはAI音声を使ったビッシングなど、「なりすまし」が組織的な被害に直結する懸念が語られました。一方で中高生の事例からは、フィッシング以上にSNS乗っ取りやDM誘導が身近な被害として見え、世代や利用シーンによって“刺さる入口”が異なることも示唆されました。
対策面では、注意喚起だけでは限界があるという問題意識が共有されています。パスワード使い回し、多要素認証の未利用といった「いつもの弱点」が残る中、パスキー等の仕組みで守る認証、会社端末ではMDMを軸にした統制、個人端末ではアップデートやフィルタリング・通信監視、検知・ブロックの活用といった多層防御が重要です。同時に、通話内容を解析して詐欺を見抜くような次世代対策には「通信の秘密」という壁もあり、技術だけでなく社会制度・ルール作りも不可欠だという議論につながりました。
「詐欺が増えている」という実感が各所で共有され、身近な被害例も出るなかで、スマホの脅威は単体ではなくアナログ×デジタル、複数チャネルの組み合わせで増幅していく傾向が強まっています。今回の議論は、利用者の行動導線に潜む“入口”を捉え直し、認証・運用・啓発・社会的枠組みを含めて備えを更新する必要性を、改めて確認する機会となりました。
JSSEC利用部会では、「スマートフォン利用シーンに潜む脅威Top10 2026」の作成と合わせ、本議論を踏まえた対策について今後整理していく予定です。