YouTube始めました!チャンネル登録お願いしますmOm
英語サイトには以下のような技術者からの指摘が多いけど、日本語サイトにはほぼ皆無。HTTPSは絶対に傍受できないから安心というセキュリティエンジニアからの書き込みばかり
情報セキュリティがわかる日本人セキュリティエンジニアがほとんどいないということ!?
HTTPS通信にバグがあるというわけではありません。
たとえ話。
玄関の鍵を100%破れない強固にしても、警戒心がない人が多く、声が似ているからとホイホイ合鍵を渡してしまう現状では・・・
1. はじめに:鍵マークの「絶対」と「現実」
ブラウザのアドレスバーにある「鍵マーク(HTTPS)」。これは「通信が暗号化されているから、誰にも中身を見られない」という安心の印です。
しかし、「特殊なツールを使えば中身を見ることができる」という噂も耳にします。結論から言うと、これは「本当(True)」です。
ただし、安心してください。「暗号が簡単に破られる」という意味ではありません。実は、これは「パソコンやスマホを騙して、ツールを信頼させる」という特別な手順を踏んだ時だけ起こる現象なのです。
このレポートでは、その仕組みと、「便利なアプリのフリをして通信を盗み見る悪質なアプリ」の実態について、わかりやすく解説します。
2. どうやって「暗号」を解読しているの?
HTTPS通信を「傍受(盗み見)」する仕組みは、「間に割り込んで、伝言ゲームをする」ことに似ています。
2.1 通常のHTTPS通信(安全な状態)
あなたが「銀行のサイト」にアクセスするとき、あなたのブラウザと銀行のサーバーは、二人だけの秘密の言葉(暗号)で会話します。通りすがりの人がその会話を聞いても、暗号化されているので意味がわかりません。
2.2 特殊なツールを使った場合(傍受される状態)
ここで「特殊なツール」が、あなたと銀行の間にこっそり割り込みます。
-
あなた ⇔ ツール: ツールは銀行のフリをして、あなたに「私が銀行ですよ」と嘘の身分証明書を見せます。
-
ツール ⇔ 本物の銀行: ツールはあなたのフリをして、本物の銀行と会話します。
-
伝言ゲーム: ツールは銀行からの返事を受け取り、中身をこっそり読んでから、また暗号化してあなたに渡します。
こうすることで、ツールは暗号化された通信の中身をすべて「普通の文章」として見ることができるようになります。
2.3 成功させるための「条件」
でも、これには大きな壁があります。スマホやPCは賢いので、ツールが出してきた「嘘の身分証明書」をすぐに見破り、「このサイトは安全ではありません!」と警告を出してブロックします。
傍受を成功させるには、あなたの端末の設定をいじって、「このツールの証明書を信頼しなさい」と強制的に覚え込ませる必要があります。つまり、勝手にツールを使っただけではダメで、あなたの端末を操作する強い権限が必要になるのです。
3. 「特殊なツール」ってどんなもの?
通常、この技術はエンジニアやセキュリティの専門家が、アプリの不具合を見つけるために使う「検査用ツール」として使われます。
-
Burp Suite(バープ・スイート): セキュリティ診断のプロが使う、世界で一番有名なツールです。
-
Fiddler(フィドラー): アプリ開発者が通信の中身を確認するためによく使います。
これらは、正しく使えば安全を守るための頼もしい味方ですが、悪用すれば通信を覗き見る道具にもなり得る、というわけです。
4. 【重要】便利なアプリに潜む罠:悪意あるアプリの手口
「攻撃者が普通のアプリのフリをして権限を奪い、通信を盗み見ることは可能か?」という問いへの答えは「イエス」です。
世の中には、こうした手口を使う悪質なアプリが大量に存在します。日本の半数以上の人のパソコン、スマホにはこうしたアプリが入っている思います。(「無料」とか「激安」などと言う言葉につられ油断してタダだからと何でもかんでもアプリを入れるから・・・)
解決策はこれらアプリ(グレーゾーンの疑いも含む)を全て日本から排除することです。営業妨害と言われそうだから、アプリ名はここには書きませんが 同時に日本人は平和ぼけしすぎてセキュリティ意識が著しく低くほとんどの人は疑わない と諦めに近い気持ちもあります。
ここではその手口と、実際にあった怖い事例を紹介します。
4.1 なぜ「普通のアプリ」が危険なのか?
攻撃者は、あなたのスマホをハッキングして無理やりこじ開けるのではなく、あなた自身に「鍵」を開けさせようとします。
「広告を消したいですか?」「海外の動画を見たいですか?」
そんな甘い言葉で誘ってくるアプリ(VPNアプリや広告ブロックアプリなど)をインストールすると、次のような画面が出ることがあります。
「この機能を使うために、プロファイルをインストールしてください」
「セキュリティのために、証明書を信頼してください」
「画面の読み上げ機能(ユーザー補助)を許可してください」
これらはすべて、「スマホの合鍵を渡す」のと同じくらい危険な行為です。これらを許可してしまうと、アプリはあなたの通信を「合法的に」傍受できるようになってしまいます。
4.2 実際にあった「通信傍受アプリ」の事例
実際に世界中で問題になった事例をご紹介します。
事例①:有名企業がデータを収集していた「Sensor Tower事件」
アプリの分析で有名なSensor Tower社という企業が、過去に複数のアプリ(「Luna VPN」「Adblock Focus」など)を通じて、ユーザーのデータを収集していたことが発覚しました。
-
手口: 「YouTubeの広告を消せる」「ネットが速くなる」と宣伝してアプリを配り、ユーザーに「ルート証明書」という強力な鍵をインストールさせていました。
-
結果: これにより、ユーザーの暗号化された通信(HTTPS)の中身まで覗き見ることができる状態になっていました。現在はGoogleやAppleによってストアから削除されています。
事例②:銀行口座を狙う「偽クリーナーアプリ」
「スマホのゴミファイルを掃除して軽くします」という便利なアプリを装い、裏でこっそり動くタイプです。
-
手口: インストールすると「ユーザー補助(アクセシビリティ)」という権限を求めてきます。これは本来、目の不自由な方を助ける機能ですが、悪用すると「画面に表示されている文字(パスワードなど)を勝手に読み取る」ことができてしまいます。
-
被害: 銀行アプリを開いた瞬間にIDやパスワードを盗み出し、勝手に送金してしまう「バンキング・トロジャン(銀行強盗ウイルス)」がこれに当たります。→昨今問題になった大規模な証券会社の詐欺も大部分はこの手のアプリのせいだと思っています。
事例③:パートナーを監視する「ストーカーウェア」
「子供の見守り」や「盗難防止」という名目で販売されていますが、実際にはパートナーの浮気調査などに使われるアプリです(mSpyなど)。
-
手口: 相手のスマホにこっそりインストールし、メッセージングアプリやメール、位置情報などをすべて外部に送信します。これも「権限」を悪用した通信傍受の一種です。
4.3 「世の中はその手のアプリが多い」という警告
Googleは2024年だけで、なんと230万個以上もの悪質なアプリをPlayストアへの公開前にブロックしました。しかし、攻撃者も次々と新しい手口を考え出すため、審査をすり抜けてしまうアプリも後を絶ちません。
「ストアにあるから安全」とは限りません。「無料」「便利」「高速」という言葉の裏には、あなたの通信データを狙う罠が仕掛けられている可能性が常にあります。
5. どうやって身を守ればいいの?
悪意あるアプリから身を守るために、以下の3つを絶対に守ってください。
-
「証明書」や「プロファイル」は絶対に入れない
アプリを使っていて、「設定画面を開いて、このファイルをインストールしてください」と言われたら、それは99%詐欺かウイルスです。すぐにアプリを削除してください。
-
「ユーザー補助」を安易に許可しない
「バッテリーを長持ちさせるため」などの理由で、ユーザー補助(Accessibility)権限を求めてくるアプリは非常に危険です。
-
「無料」の裏を疑う
高機能なVPNや広告ブロックが「完全無料」の場合、対価としてあなたの「通信データ」が売られている可能性があります。信頼できる有料サービスを使うのが安全です。
結論:
HTTPS通信は強力ですが、あなたが騙されて「合鍵(権限)」を渡してしまえば無力化されます。「権限を求められたら一度立ち止まる」ことが、最強の防御策です。
