モバイルニュース

Google、アクセシビリティ機能を悪用するAndroid への取り締まりを強化

ダニー・ブラッドベリー| 2026年3月17日
車輪付きのトロイの木馬がスマートフォンの画面に侵入する

Googleは、Android の最新版を通じて、アプリ開発者たちに衝撃的な発表を行った。同社は今後、アプリがシステムのアクセシビリティ機能を使用しようとした場合、そのインストールを阻止できるようになった。

同社によると、Android 17.2で実装されたこの新機能は、セキュリティを主眼としたものだ。Advanced モード(APM)が有効になっている場合、特定の種類のアプリがアクセシビリティサービスを利用できないようにする。

アクセシビリティAPIを利用することで、アプリ開発者は、スマートフォンの操作に特別な支援を必要とする障がいのあるユーザーをサポートすることができます。例えば、アプリはこのAPIを使用して、独自の方法で画面にアクセスしたり、ユーザーに代わって入力を制御したり、音声サービスを利用したりすることが可能です。

残念ながら、多くの便利なツールと同様に、誰かが必ずそれを悪用し、他のすべての人の利用を台無しにしてしまうものです。マルウェア開発者たちは、長年にわたりこのAPIを利用して、ユーザーの銀行口座に不正アクセスしてきました。アクセシビリティサービスには非常に強力な機能があり、その使用権限を持つアプリであれば、画面に表示されている内容を読み取ることができます。

Android の木馬は、悪意を持って作られたアクセシビリティAPIのラッパーに過ぎない。これらは2段階認証コードを盗み出し、被害者を装い、被害者が眠っている間に口座から資金を引き出す。

主に2つの手口が横行しています。1つ目は「フェイク・オーバーレイ」です。アクセシビリティAPIを利用すれば、他のアプリの画面の上にオーバーレイを表示させることができます。銀行や仮想通貨関連のトロイの木馬を開発する者は、これを利用してユーザーのキー入力を盗み取ることができます(ユーザーは単に銀行アプリにログインしているつもりでも、マルウェアは入力した内容をすべて収集しているのです)。

2つ目は権限の悪用です。トロイの木馬がパスワードを入手すると、自身で取引を実行できるようになります。

アクセシビリティAPIを悪用するマルウェアフレームワークの数が増加しています。DroidLockはこれを利用して個人データを盗み出し、その後身代金を要求します。Albirioxはこれを利用して自身をインストールし、地球の反対側にいる攻撃者に端末の遠隔操作権限を与えます。

12月には両方の事例が確認されましたが、つい先月、Malwarebytes 、偽のGoogleセキュリティページを装い、アクセシビリティサービスを悪用するマルウェアプログラムを発見しました

Googleの最終手段

Googleは以前にも、APIの悪用を抑制しようとしたことがある。2017年には、アクセシビリティ機能の利用目的を正当化しない場合、Playストアから削除される可能性があるとして開発者に警告した。開発者から反発が巻き起こり、Googleは方針を撤回した。しかしその後、2021年11月、Android アプリに対して、アクセシビリティAPIの利用に関する許可書の提出を求め始めた

同社はさらに規制を強化し、アクセシビリティAPIに関するルールを厳格化しています。アプリは、単純なソフトウェアフラグを設定するだけで自由にアクセシビリティサービスを有効にすることはできなくなりました。代わりに、アクセシビリティを主な目的とするアプリのみが、その利用を許可されることになります。

Googleが挙げている例には、スクリーンリーダー、スイッチ入力、音声操作、点字ディスプレイなどがあります。これらの新しいルールにより、パスワード管理アプリや自動化アプリは、アクセシビリティAPIにアクセスできなくなりました。

少なくとも、ユーザーがAPMを有効にしている場合はそうではありません。

昨年5月にリリースされたAPMは、Appleの「ロックダウンモード」に相当するGoogleの機能です。この機能を有効にすると、セキュリティ制御が大幅に強化され、マルウェアによる攻撃を受けにくくなります。

その追加のセキュリティ機能と引き換えに、機能は制限されます。例えば、信頼できるソースからのアプリしかインストールできず、USB経由のデータ転送も制限されます。また、アクセシビリティAPIへのアクセスも制限されるようになりました。

つまり、これからは「パスワード管理ツール」か「アクセシビリティツール」のどちらか一方になることはできますが、両方を兼ねることはできません。利便性向上のためにアクセシビリティ機能に依存している開発者は、別の方法を見つける必要があります。

これは、たとえ正当なアプリに不都合が生じても、一部のAPIは公開しておくには危険すぎるというGoogleの認識を示すものです。同社は、ほとんどのユーザーが、利便性のためにパスワードマネージャーがアクセシビリティAPIを使用することよりも、盗難に遭わないことの方を重視していると見込んでいるのです。

マルウェアの作成者は、いつものように対応策を講じてくるでしょう。しかし現時点では、GoogleによってAPMが有効になっているスマートフォンへの不正アクセスが、はるかに困難になりました。

私たちは電話セキュリティについて報告するだけでなく、それを提供します。

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐ Malwarebytes foriOS Malwarebytes forAndroidダウンロードして、モバイルデバイスに脅威を持ち込まないようにしましょう。

著者について

ダニー・ブラッドベリ

ダニー・ブラッドベリ

ダニー・ブラッドベリは1989年からテクノロジー専門ジャーナリスト、1994年からフリーライター。消費者からソフトウェア開発者、CIOまで幅広い読者を対象に、テクノロジーに関するさまざまな問題を扱っている。また、テクノロジー・セクターのC-suiteビジネス・エグゼクティブのために記事のゴーストライターも務めている。英国出身で、現在はカナダ西部在住。

最新記事

Privacy
悪用されたウェブサイト

ハッキングされたサイトが、Windows に情報窃取型マルウェア「Vidar」を配布している

3月16, 2026

ハッキングされたWordPressサイト上で、Windows 騙してVidar情報窃取型マルウェアをインストールさせる偽の「人間であることを確認する」ページを発見しました。

バグ
Chrome ロゴ

[更新] Google、現在攻撃Chrome 適用

3月13, 2026

Googleは、すでに悪用されている2つのゼロデイ脆弱性を修正するため、通常の手順とは異なるChrome 公開しました。

詐欺
偽テムコイン

ClickFixの$Temuエアドロップ詐欺で、攻撃者がTemuを装っている

3月13, 2026

偽の$TEMU暗号通貨エアドロップは、ClickFix手口を用いて被害者に自らマルウェアを実行させ、遠隔アクセスバックドアを密かにインストールする。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺