ホーム > JSSEC利用部会 スマートフォン利用シーンに潜む脅威 Top10 2026

JSSEC利用部会 スマートフォン利用シーンに潜む脅威 Top10 2026

スマートフォン利用シーンに潜む脅威 TOP10 2026(以下、スマホ利用10大脅威2026)で選出した各項目は、利用者が分かりやすいよう「利用シーン」を挙げています。
スマホ利用10大脅威2026を一覧にすると、近年は、本人の声や顔に似せた動画・音声を短時間で作れるようになったことで、だましの説得力が大きい「生成AIによるフェイク動画・音声」が注目される結果となっています。また、「フィッシングメール・偽メール」、「ロマンス詐欺・投資詐欺・リクルーティング詐欺(SNSを使った詐欺)」、「悪意ある広告・偽商品販売」など、生成AIの利用により巧妙化している脅威がより危険視されることとなっています。さらに、QRコードは、QR決済の普及に加え、店舗での注文、ログイン、各種手続き、キャンペーン応募など、日常のさまざまな場面で使われるようになった結果、「QRコードを用いた詐欺(クイッシング)」が新たな脅威として認識されるようになりました。

【第1位】生成AIによるフェイク動画・音声  ~さまざまな脅威への悪用~

生成AIの普及により、専門知識がなくても、人物の画像を合成したり、本人が話しているように見える動画や音声を作ったりできるようになりました。実際には起きていない出来事を、「起きたかのように見せる」ことも可能になっており、こうした偽の画像・動画・音声は、一般に「ディープフェイク」と呼ばれています。 

さらに、生成AIが作る文章や音声は日本語として不自然さが少なく、以前よりも“それらしく”見える点が問題です。そのため、フェイクであることを見抜くのが難しくなっており、ネット上のさまざまな犯罪や詐欺で生成AIが使われる場面が増えています。スマホ利用10大脅威2023で「今後増える恐れがある」として注目していた状況が、現実の課題としてよりはっきり表れてきたと言えます。

図 1  フェイク動画の作成から被害への流れ例

また生成AIは、この脅威(フェイク動画・音声)そのものが問題になるだけでなく、スマホ利用10大脅威 2026で挙げた他の脅威の手口を、より巧妙にする目的でも悪用されています。たとえば、フィッシングやSNS上の詐欺、悪意ある広告・偽商品の販売、電話を用いた詐欺(ビッシング)、顔や声などの生体情報の悪用といった分野でも、文章・画像・音声を“もっともらしく作る”ために生成AIが使われるケースが増えています。こうした背景から、生成AIは単独の脅威にとどまらず、複数の詐欺や不正行為の「だましやすさ」を押し上げる要因になっている点が重要です。

 一方で、偽のコンテンツを見分けるための技術的な取り組みも進んでいます。たとえば、C2PACoalition for Content Provenance and Authenticity[1] では、画像・動画・音声・文書などのデジタルコンテンツに対して、「誰が・いつ・どのように作成/編集し、どの経路で配布されたか」といった来歴(プロヴェナンス)情報を付与し、状態や方式によって改ざんを検知できる仕組みの標準化を進めています。ただし、こうした仕組みが社会全体で当たり前に使えるようになるまでには、まだ時間がかかる可能性があります。

 そのため現時点では、ネット上の情報が本当に正しいかどうかを、利用者が立ち止まって確認することが、被害を防ぐ第一歩になります。具体的には、画像や動画、音声だけで判断せずに発信元(公式アカウントや公式サイト)を確認し、重要な内容ほど複数の情報源で照らし合わせることが大切です。また、「急いで」「今すぐ」「内緒で」などと判断を迫る情報は、特に警戒する必要があります。

 加えて、サービス提供者側(SNS、動画配信、広告、金融・決済など)には、なりすましや偽情報の拡散を抑えるための対策強化が求められます。たとえば、本人確認や不正検知の強化、通報への迅速な対応、偽広告の審査強化、注意喚起の分かりやすい表示など、運用面も含めた継続的な取り組みが重要です。

[1] C2PA(Coalition for Content Provenance and Authenticity)とは、デジタルコンテンツ(画像・動画・文書など)が「いつ、誰に、どのように」作成・編集されたかという来歴(プロヴェナンス)を技術的に証明する国際標準規格です。

【第2位】フィッシング・偽メール詐欺

フィッシングや偽メールなど、メールを使った詐欺は個人・法人を問わず、現在も攻撃の中心となっています。米国の政府系機関であるCISACybersecurity and Infrastructure Security Agency)のレポートでは、詐欺の起点の約90%がメールであると報告されています。また、フィッシング対策協議会が公開している月次報告書でも、フィッシングメールの報告件数は2025年に、前年比で約1.4倍とされており、依然として増加傾向にあります。

近年特に目立つのは、メールで偽サイトへ誘導し、利用者が入力した情報をその場で盗み取る「リアルタイムフィッシング(中間者攻撃)」です。この手口では、ID・パスワードだけでなく、ワンタイムパスワードなどの認証情報も“今まさに入力した瞬間”に悪用されることがあり、サービス側の認証が弱い場合は、被害に直結しやすくなります。詐欺の多くは最終的にID・パスワードをだまし取ることを目的としているため、サービス提供者側では、パスキー(パスワードに代わるログイン方式)の導入、異常ログイン検知、リスクに応じた追加認証など、認証の強化を前提とした設計・運用がより重要になっています。

図 2 リアルタイムフィッシングによる攻撃例

また2025年には、証券会社を狙った新たな手口も注目されました。フィッシングによって会員情報を盗み取り、不正に株式を購入して株価をつり上げ、別の口座で値上がりした株を売却して利益を得るといった、資産を直接狙う詐欺が確認されています。当時、証券会社側の認証が十分でないケースもあったことから、認証強化に踏み切る企業も増えました。しかし攻撃者はその動きに合わせて、今度は「認証強化が必要です」といった案内を装ったフィッシングメールを送るなど、状況に応じて手口を変える巧妙さも目立っています。

図 3  証券会社を狙ったフィッシングメールの例

フィッシング対策としては、正しい送信元のメールであることを示す取り組みも進んでいます。たとえば、受信メールに企業のブランドロゴを表示する BIMIBrand Indicators for Message Identification) は、「安全なメールを見分ける」ための技術として普及が進みつつあります。ただし、BIMIに対応している受信サービスやメールアプリがまだ限られており、対応する送信側の企業側の取り組みも十分とは言えません。加えて、利用者側の認知度が低い点も課題です。

 そのため現時点では、利用者側では次のような行動が被害防止に有効です。


一方、サービス提供者側には、利用者の注意だけに頼らない仕組みづくりが求められます。具体的には、パスキー等の導入支援、ログイン・送金時のリスク判定と追加認証、異常検知と被害抑止(取引保留やアラート)、フィッシングサイトの迅速なテイクダウン、そしてBIMIを含むメール認証(SPF/DKIM/DMARC等)の整備など、複数の対策を組み合わせて被害を減らす取り組みが重要です。

<参考情報>

【第3位】QRコードを用いた詐欺(クイッシング)

クイッシングは、スマホ利用10大脅威 2026で新たに登場した脅威の一つです。QRコードは、QR決済の普及に加えて、店舗での注文、ログイン、各種手続き、キャンペーン応募など、日常のさまざまな場面で使われています。その利便性の高さを悪用し、QRコードから不正サイトへ誘導する詐欺が増えつつあります。

 QRコードの課題は、見た目だけではリンク先(アクセス先)を判断しにくい点です。URLを目で見て確認できないまま読み取ってしまうため、偽サイトへ誘導されても気づきにくく、結果としてID・パスワードや個人情報、決済情報などを入力してしまう危険があります。特に、チラシや店頭掲示、宅配物の案内、駐車場の精算機など、「その場で読み取るのが自然」な導線がある場面では、利用者が警戒しにくく、被害が広がりやすくなります。今後も生活の中でQRコードの利用が増えるほど、悪用される機会も増えると考えられます。

実際の事例として、電車内の宣伝ポスターに掲載されたQRコードの上から、偽のQRコードを貼り付けて不正サイトへ誘導したケースも報告されています。一見すると、公共の場所でQRコードを差し替えるのは難しそうに思えますが、始発や終電間際など人が少ない時間帯であれば、短時間で作業できる可能性があります。さらに、作業着のような服装で作業すると、周囲も「張り替え作業なのだろう」と受け止め、違和感を持たれにくくなることも考えられます。このように、QRコードの差し替えは現実に起こり得る脅威です。

図 5 偽QRコードを貼り付けによる攻撃例

多くの利用者は、QRコードを読み取ってWebサイトへアクセスする行為を日常的に行っており、「QRコードを使った詐欺がある」こと自体を十分に意識していない可能性があります。そのため、まずはクイッシングという手口が存在することを知り、提供元が不明なQRコードや、差し替えの可能性があるQRコードを読み取る際は注意することが、被害を防ぐ第一歩になります。具体的には、読み取り後に表示されるURLやサイト名に違和感がないかを確認し、ログインや支払いを求められた場合は、いったん操作を止めて公式アプリや公式サイトから同じ手続きができないか確認することが有効です。

また、サービス提供者側にも対策が求められます。たとえば、掲示物にQRコードを載せる場合は、差し替えがされにくい工夫(貼り替え防止、点検、掲示管理)を行うことが重要です。加えて、QRコード利用時には「読み取り後に表示されるサイトのドメインを確認してください」などの注意喚起をあわせて提示し、利用者が立ち止まれる設計にすることが推奨されます。QRコードが生活に浸透している今こそ、利用者と提供者の双方で、だまされにくい利用環境を整えていく必要があります。

<参考情報>

【第4位】ロマンス詐欺・投資詐欺・リクルーティング詐欺(SNSを使った詐欺)

本項目は、スマホ利用10大脅威 2026で新たに登場した脅威の一つです。SNSの普及により、連絡・情報収集・広告・決済・コミュニティ参加などが日常化し、SNSは生活インフラに近い存在になりました。その結果、攻撃者はメールアドレスや電話番号を知らなくても、広告配信やおすすめ表示の仕組みを悪用して、年齢層や関心ごとに合わせたアプローチでターゲットへ接触しやすくなっています。

警察庁の公表データ によれば、ロマンス詐欺・投資詐欺は被害が急増しており、2025年は、前年比で被害件数が約1.5倍、被害額が約1.4倍となっており、また1件当たりの被害額が大きいのも特徴になっています。近年は生成AIの普及により、偽のプロフィール画像、自然な日本語のメッセージ、著名人になりすました動画などが作りやすくなり、「信じさせる力」がさらに強まっている点も特徴です。

ロマンス詐欺は、SNSやマッチングアプリなどで親密な関係を築いた上で、金銭をだまし取る手口です。オンラインで出会える機会が増えたことに加え、生成AIにより本人らしい写真・プロフィールの作成や、会話文の作成が容易になり、詐欺側が“それらしく振る舞う”ハードルが下がっています。

また、最初はSNSやアプリ上で接触し、その後はLINEなどの別の連絡手段へ誘導して、周囲の目やサービス側の監視を避けようとするケースも多く見られます。

ロマンス詐欺で特に注意すべき点は、相手とのコミュニケーションが成立し、付き合いたい、信じたいといった気持ちが強くなるほど、視野が狭くなりやすいことです。その結果、冷静に考えれば不自然だと気づける内容でも気づきにくくなります。この状態になってから金銭の相談を受けると、だまされる可能性が一段と高まるという特徴があります。

<被害を防ぐための利用者側の留意点>


図 6 ロマンス詐欺の被害に合うまでの流れ例

投資詐欺は、「必ず儲かる」「限定情報」「著名人が勧めている」などの言葉で関心を引き、偽の投資先へ入金させる手口です。近年はディープフェイクや偽動画により、著名人・専門家・報道風の演出を短時間で作れるようになり、SNS広告として大量に配信されることで、信頼できそうに見えてしまうケースが増えています。

さらに、特定の投資グループ(SNSグループやメッセージグループ)に招き入れ、グループ内で「利益が出た」「今がチャンス」といった投稿を多数見せて安心させる手口もあります。従来は“サクラ”が担っていた役割を、AIの自動応答(AIエージェント等)でそれらしく補うことで、より自然に、相手に合わせた会話が行われる可能性も指摘されています。

物価高や将来不安の中で「少しでもお金を増やしたい」という心理に、攻撃者は巧妙に付け込んできます。だからこそ、投資は慎重な確認が欠かせません。

<被害を防ぐための利用者側の留意点>

図 7 投資グループに誘い込まれてからの投資詐欺の流れ例

リクルーティング詐欺は、「高収入」「誰でも簡単」「在宅で稼げる」といった副業勧誘や、ヘッドハンターを装った転職勧誘などを入口に、個人情報を回収したり、金銭を支払わせたりする手口です。

 副業勧誘では「保証金」「登録料」「教材費」などを先に請求するケースがあるほか、いわゆる闇バイトへ誘導されるケースもあります。闇バイトに関わってしまうと、提供してしまった個人情報を材料に脅迫され、さらに金銭を要求されるなど被害が深刻化するおそれがあります。転職勧誘では、採用プロセスを装って情報を集めたり、「採用前に収入源を増やす方法を案内します」などとして投資詐欺に誘導したりするケースもあります。いずれも、途中でLINE等の個別ツールへ誘導されやすい点が共通しています。

<被害を防ぐための利用者側の留意点>


SNSを使った詐欺は、利用者の注意だけでは防ぎきれません。特に「広告」「おすすめ」「DM」「グループ機能」など、プラットフォームの仕組みそのものが悪用されるため、サービス提供者側の取り組みが被害の多寡に直結します。

<被害を防ぐためのキーポイント>

【第5位】悪意ある広告・偽商品販売

本項目は、前回から大きく順位を上げた脅威の一つです。背景には、スマートフォンから手軽に買い物ができるネット通販の利用者が年々増えていることがあります。総務省の調査でも、二人以上世帯におけるネット通販の利用率は2025年に56.9%となり、2024年から1.6ポイント増加しています 。利用者が増えるほど攻撃者にとっても「だましやすい市場」が広がるため、ネット通販を悪用した詐欺が目立つようになりました。

図 8 ネットショッピング利用世帯の割合

近年特に増えているのは、SNSやネットニュースに表示される広告を入り口にした手口です。広告では、「今だけ割引」「在庫処分」「医師・専門家が推奨」「有名人が愛用」といった言葉で注目を集め、タップした先の通販サイトで購入させようとします。しかし実際には、商品が届かない、届いたとしても粗悪品や偽物だった、返品や返金に応じない、個人情報やカード情報だけが抜き取られた、といった被害につながるケースがあります。スマートフォンは広告を見てから購入までの導線が短く、その場の勢いで決済してしまいやすい点も、被害を増やす要因になっています。

図 9 詐欺広告から偽商品販売の流れ例

広告は本来、配信するプラットフォーム側が審査し、信頼できる事業者のものだけが掲載されるべきです。しかし現実には、不正な広告が混ざり込んでしまうことがあります。しかも最近は、もっともらしさを演出するために、著名人の画像や動画、大学の先生の「推薦コメント」、大企業との「協賛」などをうたう例が増えています。さらに悪質なケースでは、生成AIを使って著名人が商品を薦めているように見える偽の動画や音声、いわゆるディープフェイクが用いられることもあります。海外では、著名人を装った投資広告や健康食品広告がSNS上で拡散し、本人が「自分は関与していない」と注意喚起する事例が繰り返し報じられています。日本でも、本人の写真や発言を切り貼りした広告、あるいは本人そっくりのナレーションを使った広告が出回り、誤認を誘う例が問題になっています。

また、被害者が「評判を調べたつもり」でもだまされる点が、この脅威をより厄介にしています。詐欺側はステルスマーケティングのように見せかけの口コミを大量に作ったり、比較サイト風のページを用意して「おすすめランキング1位」などと誘導したりして、評価が高いように見せることがあります。そのため、商品名だけを検索して高評価が並んでいるのを見ても安心できず、販売元の会社情報まで含めて確認しないと判断を誤りやすくなっています。

被害を防ぐ第一歩は、SNSやニュース広告から遷移したページで、勢いのまま購入しないことです。広告で見た商品が気になってもいったん立ち止まり、商品名に加えて「販売会社名」「返品」「返金」「届かない」「詐欺」といった言葉も一緒に検索し、複数の情報源で評判を確認することが重要です。加えて、販売サイトに会社名、住所、電話番号、返品条件、特定商取引法に基づく表記がきちんと載っているかを確認し、連絡先がメールだけだったり、住所が実在しなかったり、日本語が不自然だったりする場合は警戒が必要です。価格が相場から極端に安い、期間限定を過度に煽る、支払いが銀行振込や暗号資産に偏っているといった場合も、危険な兆候の典型例です。

購入先としては、可能な限り信頼できる大手ECサイトや、メーカー公式の通販サイトを選ぶことが安全性を高めます。大手ECサイトには不正な出店者が混在するため、絶対に安全とは言い切れませんが、取引の記録が残りやすく、トラブル時にプラットフォーム側へ相談できることがあります。クレジットカード決済であれば、不正利用や未着トラブルで支払い停止や調査の対象になる場合もあるため、救済手段が比較的残りやすく現実的なメリットがあります。反対に、個人間送金や銀行振込のみを強く求められる場合は、返金が難しくなることが多いため慎重な判断が必要です。

ただし、だまされて購入した際に入力したクレジットカード情報が悪用され、金銭的価値のある商品やサービスを不正に購入される場合もあります。被害を最小限に抑えるためにも、ネットショッピングを利用している方は、クレジットカードの利用明細を定期的に確認することが推奨されます。さらに、クレジットカードの利用通知機能を利用すると、カードを使ったタイミングでリアルタイムに通知を受け取れます。身に覚えのない利用があった場合でも早く気づける可能性が高まるため、この機能に対応しているクレジットカードを利用している場合は、通知設定を有効にしておくことも有効です。

最後に、この種の詐欺は個人の注意だけで完全に防ぐのが難しく、広告を配信するプラットフォーム側の責任も大きい脅威です。広告主の本人確認や審査の厳格化、不正広告の迅速な取り下げ、被害報告への対応強化が進めば、被害は確実に減らせます。利用者としても、不審な広告を見つけた場合にはプラットフォームの通報機能を使って報告することが、二次被害の防止につながります。

なお、広告からの入口だけでなく、Webサイトで商品を検索した時の結果一覧には、ECサイトになりすました詐欺サイトも含めて表示される可能性も認識しておく必要があります。詐欺サイトに誘導されないよう、販売元の実態確認を怠らないようにし、少しでも気になる点がある場合は一旦立ち止まることが重要です。

【第6位】スミッシング(SMSを利用したフィッシング)

スミッシングは、SMS(ショートメッセージ)を使って偽サイトへ誘導し、ID・パスワードや個人情報、認証コードなどをだまし取る手口です。携帯会社各社が迷惑SMSのフィルタを標準で強化してきたことや、他の脅威が増加していることを背景に、スマホ利用10大脅威2023の上位から順位を下げました。しかし、SMSは日常的に使われており、利用者がだまされやすい特徴もあるため、依然として大きな脅威だと考えられます。

 SMSには、メールやSNSのメッセージと比べて次のような難しさがあります。まず、SMSは短文で届くことが多く、内容が簡潔な分だけ「何が危ないのか」を判断しにくい傾向があります。また、多要素認証(MFA)でSMSのワンタイムパスワードが使われるケースも多いため、利用者側には「SMSは大事な連絡が届くもの」という印象があり、詐欺のSMSが紛れ込むと見極めが難しくなります。

さらに、文字数制限の影響で、SMS内のURLは短縮URLが使われることが多くなります。短縮URLはリンク先のドメインが分かりにくいため、URLだけを見て正規のサービスかどうか判断しにくいことも、スミッシングの被害を増やす要因になります。

 


図 10 国税庁を騙ったスミッシング例

加えて、スミッシングは「情報を盗まれる」だけでなく、別の被害につながる可能性があります。たとえば、SMSから誘導されたページでアプリをインストールしてしまい、マルウェアに感染するケースです。この場合、端末が不正操作され、本人の意図に反してSMSを自動送信させられるなど、被害者が加害の踏み台にされるおそれがあります。

ここで注意すべき点として、日本の携帯キャリア各社では一般に、SMSは受信が無料でも送信は従量課金であることが多く、通話のかけ放題に含まれないケースもあります。そのため、端末がマルウェアに感染し、気づかないうちにSMSを大量送信すると、送信通数に応じて料金が積み上がる恐れがあります。特に送信回数が多い場合や国際SMSが混ざる場合は、被害額が増えやすくなります。

 このような背景から、SMSで届くURLには特に注意が必要です。携帯キャリア各社以外がSMSを使う場面は、二要素認証のワンタイムパスワードや、サービス申し込み時の確認連絡など、比較的限定される傾向があります。したがって、SMSで「リンクを開いてログインしてください」「手続きが必要です」といった案内が届いた場合は、まず疑い、落ち着いて確認することが重要です。

<被害を防ぐための利用者側の留意点>

<サービス提供者側に求められる課題と対策>


 スミッシングは、利用者が日常的に受け取るSMSを入口にするため、慣れや思い込みを突かれやすい脅威です。利用者とサービス提供者の双方が、「SMSURLが含まれることはリスクになり得る」という前提で対策を進めることが重要です。

<参考情報>

【第7位】アプリの提供元不明・非正規マーケットからのマルウェア感染

スマートフォンのマルウェア感染は、「怪しい人から直接送られてくる」だけではなく、日常の操作の延長で起こる点が特徴です。特にAndroidでは、OSの仕組み上、Google Play以外からもアプリをインストールできるため、提供元が不明なアプリ(非正規ルートのアプリ)をきっかけに感染するリスクがあります。

提供元不明のアプリへの誘導は、さまざまな入口から発生します。たとえば、フィッシングやスミッシングのメッセージから誘導されるケース、Web閲覧中に出てくるポップアップ詐欺・サポート詐欺、SNSやニュースサイトの広告など、利用者が「いつもの操作」のつもりで進んでしまう導線が多く存在します。その結果、利用者が危険に気づかないままアプリを入れてしまうことがあります。

特にポップアップ詐欺やサポート詐欺では、Webアクセス中に突然「ウイルスに感染しました」「今すぐ対処が必要です」など、不安をあおる表示を出し、利用者に冷静に考える時間を与えないまま、アプリのインストールへ誘導することがあります。このような手口は、心理的に追い込んで判断力を落とす点が大きな問題です。

図 11 ポップアップ詐欺・偽警告詐欺例

Androidでは、Google Playや携帯事業者の公式マーケット以外からアプリを入れようとすると、「不明なアプリのインストール」に関する警告が表示され、初期設定では許可されていません。しかし攻撃者は、インストール手順を丁寧に説明するページを用意するなどして、利用者に設定変更をさせ、提供元不明のアプリを入れさせようとします。したがって、「不明なアプリのインストールを許可してください」と促してくる導線は、マルウェアの可能性が高いと考えて注意する必要があります。

図 12 提供元不明アプリによるマルウェア感染までの流れ

さらに今後の環境変化として、国内ではスマートフォンソフトウェア競争促進法(スマホ新法)が2025年12月に施行され、アプリストアの多様化が進む可能性があります。これにより、従来よりも第三者マーケット(正規ストア以外)を利用する場面が増えることも想定されます。特にAndroidでは、第三者マーケットからアプリを入れる際にも「不明なアプリのインストール」を許可する操作が必要になる場合があります。ここで不用意に許可してしまうと、その後も意図せず提供元不明アプリを入れやすい状態になるおそれがあります

<被害を防ぐための利用者側の留意点>


提供元不明アプリの問題は、利用者の不注意だけで片づけられない側面があります。アプリ配布経路が多様化する時代に向けて、利用者が迷いにくい案内と、悪用されにくい仕組みづくりを進めることが重要です。

<参考情報>

【第8位】ビッシング(電話を用いた詐欺)

ビッシングは、音声(ボイス)を使ったフィッシングであり、Voice Phishing(ボイスフィッシング)を由来とする呼び方です。電話で直接会話することで相手を信用させ、個人情報や金銭をだまし取る手口を指します。

ビッシングでは、金融機関や公的機関を装い、「口座が犯罪に利用されている」「身分確認が必要です」「緊急の手続きが必要です」などと不安をあおり、個人情報を聞き出したり、送金や支払いをさせたりするケースが多く見られます。電話は日常的な連絡手段であり、相手が名乗る組織名ももっともらしいため、警戒心が下がりやすい点が特徴です。

近年は、よりだまされやすくするための技術も悪用されています。たとえば、スプーフィングと呼ばれる技術で発信者番号を偽装し、警察署や金融機関の代表番号からの着信のように見せかけるケースがあります。さらに、生成AIを悪用して、特定人物に似せた声で話すなど、本人確認をすり抜けるような手口も想定され、利用者が不正な電話だと判断することが難しくなる場面があります。

 

図 13 自動音声からのビッシング詐欺の流れ例

また、会話の前段として自動音声を使う手口もあります。たとえば「代金が未納です」などと一方的に案内し、「心当たりがある場合は1を押してください」と操作を促して、詐欺の窓口へ転送するケースです。利用者が不安になって操作してしまうと、その時点で「正規の案内に対応している」という思い込みが生まれやすく、その後の会話でだまされる可能性が高まります。

音声による詐欺は、メールやWebのように画面上でURLや表記を確認できる場面が少なく、会話の流れの中で判断を迫られる点が厄介です。攻撃者は言葉巧みにコミュニケーションを取り、信頼関係ができたように感じさせた上で、最終的に送金や情報提供へ誘導することがあります。そのため、「話の筋が通っている」「相手が詳しい」と感じたとしても、詐欺でないとは言い切れません。

<被害を防ぐための利用者側の留意点>

<サービス提供者側に求められる課題と対策>


ビッシングは「電話だから本物だろう」という思い込みを突いてきます。利用者側は、発信元を自分で確認できる行動を取りやすくし、サービス提供者側は、電話を悪用される前提で周知・検知・抑止を強化することが重要です。

<参考情報>

【第9位】オレオレ詐欺・なりすまし

オレオレ詐欺・なりすましは、いわゆる特殊詐欺の代表的な手口であり、被害額が特に大きい詐欺として知られています。電話を用いる点ではビッシング(電話を用いた詐欺)の一種とも言えますが、本項目では「親族や身近な関係者になりすます」という特徴に着目し、別の脅威として整理しています。

 この詐欺の大きな特徴は、攻撃者が被害者の親族(子ども、孫、兄弟姉妹など)を装って連絡してくることです。そのため、被害者は電話に出た時点で相手を信用してしまう傾向があります。加えて、会話は唐突にお金の話から始まるのではなく、近況の話やそれらしい事情説明から入り、徐々に「困っている」「助けてほしい」という流れを作ります。結果として、被害者の同情心や「家族を助けたい」という気持ちを引き出し、冷静な判断が難しくなるよう誘導していきます。こうした心理的な誘導が巧妙であることが、被害がなくならない理由の一つです。

 また、統計的[2]にも高齢者層、とりわけ70代・80代の被害が多く、女性の被害が多い傾向となっています。これは「家族からの連絡に応じたい」「困っているなら助けたい」といった自然な感情につけ込まれやすいことが背景にあります。近年は、家族構成や生活状況に関する情報がSNS等から推測される可能性もあり、より“本物らしい”会話を組み立てられるおそれがあります。

 オレオレ詐欺では、被害者が一度会話に入ってしまうと、相手のペースで話が進み、「今すぐ」「誰にも言わないで」「代理の人が取りに行く」など、判断を急がせたり、周囲に相談させないようにしたりする方向へ誘導されやすくなります。そのため、対策の基本は「会話を始めない」「その場で判断しない」ことです。

<被害を防ぐための利用者側の留意点(本人・家族を含む)>

オレオレ詐欺は、技術というよりも人の心理を突く詐欺です。だからこそ、本人の注意喚起に加え、家族や地域、通信事業者・金融機関など複数の関係者が連携し、「会話を始めない」「相談できる」環境を作ることが被害を減らす鍵になります。

[2] https://www.npa.go.jp/publications/statistics/sousa/sagi.html

【第10位】生体情報の窃取・悪用

近年、スマートフォンのロック解除や決済時の本人確認、パスキーなどで、生体認証が広く使われるようになっています。生体認証は便利である一方、指紋、顔写真、声といった生体情報を不正に取得され、なりすましや詐欺に悪用されるリスクがあります。さらに生成AIの普及により、取得した情報から「本人そっくりの顔や声」を作り、偽の音声・動画に利用するなど、悪用の幅が広がっています。

 生体情報は、本人の身体的特徴に基づく情報です。そのため、パスワードのように「漏れたら変更する」という対応が簡単ではありません。一度流出・窃取されると長期間にわたり悪用される可能性がある点が、生体情報の大きなリスクです。

 生体情報の悪用は、必ずしも「端末から直接盗まれる」だけではありません。たとえば次のように、日常の行動や公開情報が手がかりになる可能性があります。

スマホカメラ等の性能向上により、写真に写った指先(例:Vサイン)から指紋を推測しようとする手法や、触った物に残った指紋の痕跡を悪用しようとする研究・技術が知られています。現実の攻撃でどこまで広がるかはケースによりますが、「指紋は外に出ない情報」とは言い切れない点に注意が必要です。またSNSや各種メディアに公開された写真・動画が材料になり、生成AIによってフェイク動画や音声が作られる可能性もあります。さらに音声は、電話での短い返事や、動画・音声投稿などを材料に、生成AIで「声」を合成し、本人になりすまして電話をかけるなどの悪用が想定されます。

 このように、生体情報は本人が意図していない方法で集められ、人工的に生成される可能性があり、生成AIによって「悪用しやすいデータ」に加工されるリスクがあります。

<被害を防ぐための利用者側の留意点>

  • 顔写真や動画、音声などを公開する際は、公開範囲や内容を意識し、必要以上に個人情報を外に出さない。
  • ロック解除は生体認証だけに依存せず、端末の設定でPINやパスコードなどの併用を適切に行う。
  • 電話やビデオ通話では、「声や顔が本人に見える」だけで信用せず、重要な依頼(送金、個人情報提供など)があった場合は別経路から確認する。


サービス提供者側も、生体情報が狙われる前提に立つと、「生体情報さえ通ればOK」という設計を避ける姿勢が求められます。そのためには、搾取された生体情報でも突破されにくい認証設計が必要です。たとえば、端末側の安全領域(Secure Enclave等)の活用、デバイス紐付け、リスクに応じた追加認証、異常検知などを組み合わせることが重要です。また、生体認証には、写真や録音などでのなりすましを防ぐための生体検知(ライブネス検知)など、追加の仕組みが求められます。指紋・顔・声といった情報の取り扱いについては、収集の最小化、保存しない設計、暗号化や分離管理など、プライバシーと安全性の両面での配慮が必要であり、将来的には、攻撃者が入手しにくい生体情報(例:静脈認証など)の活用も有効になり得ます。ただし、スマートフォン単体では実現が難しい場合もあり、生体認証技術そのものの進化と、サービス側の多層防御の両方が重要になります。

 生体認証は便利ですが、「漏れたら変えられない情報」を扱っている点を忘れてはいけません。利用者側は、公開情報の扱いに注意し、サービス提供者側は、生体情報が悪用される前提で、突破されにくい認証と運用を整備することが重要です。

【ランク外】正規マーケットからのマルウェア感染

多くの利用者は、Google PlayやApp Store(以下、正規マーケット)で配布されているアプリは安全だと考えて利用していると思われます。正規マーケットでは、アプリ公開時に審査が行われており、基本的には不正なアプリが出回らないよう対策されています。しかし現実には、攻撃者が審査をすり抜ける工夫を行い、正規マーケット上でも不正なアプリが配布されてしまうケースがあります。

また、攻撃者は「正規マーケットに載っている=安全」という思い込みを利用することがあります。たとえば、Web閲覧中のポップアップ表示で「ウイルスに感染しました」「対処が必要です」などと不安をあおり、対策アプリを装って正規マーケットへ誘導し、利用者に安心させたうえで不正アプリをインストールさせる事例もあります。正規マーケットへの誘導があると、利用者は疑いにくくなるため注意が必要です。

図 14 ポップアップ詐欺から正規マーケットでの不正アプリインストールの流れ例

このため、正規マーケットであっても「絶対に安全」とは言い切れないことを前提に、アプリのインストール時には一定の確認を行うことが重要です。特に、知名度の低いアプリや、突然広告で見かけたアプリを入れる場合は慎重になる必要があります。

<被害を防ぐための利用者側の留意点>

  • 正規マーケットであっても不正アプリが紛れ込む可能性があることを理解し、インストール前に一度立ち止まる。
  • アプリの提供元(開発者名・会社名)を確認し、公式サイトや連絡先が不自然ではないか確認する。
  • 口コミや評価を参考にする。しかし、攻撃者が高評価レビューを混ぜることもあるため、評価が高い=安全と決めつけないことが重要。
  • 権限(連絡先、SMS、アクセシビリティ、端末管理者権限など)を過剰に求めるアプリは特に警戒する。
  • 「警告が出たのでこのアプリを入れてください」と急かす広告やポップアップは疑い、端末の公式サポート情報や信頼できる窓口で確認する。

正規マーケットでの不正アプリ対策は、マーケット運営者だけでなく、アプリ提供者や広告・Web事業者を含めた対策が重要です。マーケット運営者には、審査の継続的な高度化に加え、公開後の挙動監視、悪用が疑われるアプリの迅速な停止・削除、開発者アカウントの追跡と再登録対策など、運用面の強化が求められます。広告プラットフォームやメディア運営者は、ポップアップ詐欺やサポート詐欺につながる広告の排除、出稿者審査、通報対応の迅速化を進める必要があります。

正規マーケットは安全性を高める仕組みを備えていますが、それでも攻撃者は「信頼」を悪用しようとします。利用者側の確認行動と、提供者側の継続的な監視・排除の両輪で、被害を減らしていくことが重要です。

<参考情報>

【ランク外】盗撮・プライバシー侵害

盗撮・プライバシー侵害は前回に続いてスマホ利用10大脅威 2026でもランク外となりましたが、被害の深刻さや社会的影響の大きさを踏まえると、今後も注目すべき脅威だと考えています。

 スマートフォンは、顔の前で操作することが多い端末です。そのため、周囲の人がスマホを手にしている状況自体は珍しくなく、撮影者が不審な行動をしていない限り、盗撮が行われていても気づきにくいという問題があります。

日本国内では、スマホのカメラ撮影時にシャッター音が鳴る仕様が一般的で、「音で気づきやすい」と言われてきました。しかし、アプリを使うことでシャッター音を消すことも可能であり、状況によっては周囲が撮影に気づけない可能性があります。これにより、盗撮の発見がさらに難しくなるおそれがあります。

 また、盗撮はスマホ単体に限りません。たとえば、ネットワークカメラ等をスマホと接続して更衣室などに設置する、カバン等に小型カメラを隠して撮影するなど、手口は多様化しています。さらに今後、スマートグラスのようなウェアラブル機器が普及すると、「見ている風景を自然に撮影できる」環境が広がり、盗撮・無断撮影のハードルが下がる可能性があります。

 盗撮・プライバシー侵害の深刻さは、撮影そのものに加えて、その後の悪用にあります。性的な写真や動画を撮影され、外部公開をほのめかして金銭や要求に応じさせようとするケースがあります(いわゆる脅しや恐喝につながるおそれ)。さらには、撮影された画像が販売・交換・転載され、本人が気づかないうちに拡散してしまうおそれがあります。一度ネット上に出回った画像は、いわゆる「デジタルタトゥー」として残り続け、完全な削除が難しい場合があります。

 また、性的な画像に限らず、SNS等に無断で掲載された写真から、映り込み(背景、看板、建物、持ち物など)を手がかりに場所や行動範囲が推測される可能性もあります。近年は生成AIの活用も進んでおり、画像から情報を読み取ったり、人物や場所等を特定するハードルが下がることが懸念されます。結果として、肖像権の侵害にとどまらず、生活上の安全や人間関係に影響が及ぶ可能性があります。

<被害を防ぐための利用者側の留意点>


盗撮・プライバシー侵害は、技術的対策だけでは完全に防ぐことが難しく、サービス運用や制度面を含めた対策が重要になります。SNS・動画配信事業者には、無断撮影・リベンジポルノ・盗撮画像等の通報対応の迅速化、再投稿(再アップロード)の抑止、検索・推薦での拡散防止、被害者保護の手続き整備を進めることが求められます。広告・販売プラットフォーム側は、盗撮物の流通につながる出品や誘導の監視を強化し、違反者への対応を徹底する必要があります。

さらに、被害の抑止には法的な取り締まりや捜査体制、啓発活動の強化も欠かせません。技術・運用だけでは限界があるため、社会全体での対策が必要です。

 盗撮・プライバシー侵害は、被害者の人生や安全に長期的な影響を与える問題です。スマートフォン利用者への注意喚起に加え、サービス提供者側の対応強化と、制度面を含めた取り組みの継続が重要だと考えています。

【ランク外】セクストーション・リベンジポルノ

セクストーションとリベンジポルノは、どちらも「公開されると困る性的な写真や動画」を入手し、それを材料に脅迫する犯罪です。被害者にとって精神的な負担が非常に大きく、相談しづらいことも多いため、被害が表面化しにくい点も課題です。

 セクストーション(Sextortion)は、「sex(性的)」と「extortion(脅迫・ゆすり)」を組み合わせた造語で、性的な情報や画像を使って、金銭の支払いなどを要求したり、性的行為を強要したりする行為を指します。SNSで知り合った相手とやり取りを重ねて親密になった後に、「写真を交換しよう」などと持ちかけ、被害者から画像を送付させる点が特徴です。

 一般的に多いのは、脅迫する側が女性、または女性になりすまし、先に画像を送って被害者を安心させた上で、被害者から性的な写真や動画を入手します。そして、その画像を「家族や友人に送る」「SNSに公開する」などと言って脅し、金銭等を要求します。ロマンス詐欺の一種として捉えられる側面もあり、特に若い男性が被害に遭いやすいとされます。被害が深刻化すると精神的な苦痛が大きくなり、最悪の場合、自殺に至ってしまった事例も報告されています。

 リベンジポルノは、現実の交際関係などを背景に親密になった後に、交際中に撮影・共有された性的な写真や動画を、別れやトラブルをきっかけに無断で公開したり、「公開する」と脅したりする行為です。従来は嫌がらせ目的の色合いが強いとされてきましたが、近年は画像を外部に売る、拡散して利益を得るなど、金銭目的が絡むケースも懸念されています。

 これらの犯罪で最も重要な点は、写真や動画のデータが一度でも相手の手に渡ってしまうと、完全に回収することが極めて難しくなることです。ネット上に出回った画像は、いわゆるデジタルタトゥーとして残り続け、削除や拡散防止が困難になる場合があります。そのため、被害を防ぐ上では「撮らない・送らない」が最も効果的です。

<被害を防ぐための利用者側の留意点>


セクストーション・リベンジポルノは、被害者の心身と生活に長期的な影響を与える深刻な犯罪です。予防の基本は「撮らない・送らない」ですが、社会全体として、被害者が相談しやすい環境と、拡散を止める仕組みを強化していくことが重要です。

 

<スマートフォン利用シーンに潜む脅威 TOP10 2026 選定委員>

委員長 松下綾子(アルプス システム インテグレーション株式会社)
    本間輝彰(KDDI株式会社)
    北村裕司(サイバートラスト株式会社)
    中村丈洋(株式会社SHIFT SECURITY
    小林幸司(株式会社SHIFT SECURITY
    三池聖史(NPO日本ネットワークセキュリティ協会)
    ※順不同