新たに「Albiriox」と呼ばれるAndroidマルウェアが確認され、金融サービスや暗号資産アプリを中心に400以上のアプリを狙った攻撃が行われていると報告されています。本マルウェアはMaaS（Malware-as-a-Service）形式で販売されており、端末の乗っ取りや詐欺行為を自動化する高度な機能が特徴です。記事ではその仕組みと悪用シナリオを整理し、日本の利用者にとって考慮すべきリスクを解説します。

The Hacker News：New Albiriox MaaS Malware Targets 400+ Apps for On-Device Fraud and Screen Control

この記事のポイント

影響のあるシステム

• Android端末（Google Play Services 搭載デバイスを含む）
• 銀行、フィンテック、決済、暗号資産、デジタルウォレット、投資アプリなど400以上
• ユーザーが外部サイトからインストールした不正APKを実行した場合に感染

推奨される対策

• 不審なサイトやSMSリンクからアプリをインストールしないこと
• Google Play Protect を有効にし、警告が出たアプリは使用しない
• アプリのインストール権限やアクセシビリティ権限を安易に許可しない
• 端末に不審な動作（黒画面表示、勝手な操作など）がある場合は初期化を検討

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

Albirioxが狙う不正行為の特徴と攻撃シナリオ

Albirioxは、端末内部で実行される不正行為（On-Device Fraud：ODF）に特化したマルウェアとして紹介されています。攻撃者はまず、ユーザーを偽のアプリインストールページへ誘導し、正規のソフト更新を装って不正なドロッパーAPKを実行させます。この段階で端末にアプリインストール権限を付与するよう促すため、ユーザーは本物の更新作業だと誤認しやすいと指摘されています。

本体マルウェアが展開されると、あらかじめ組み込まれた400以上の標的アプリリストを基に、銀行や暗号資産アプリに対する詐欺行為を行う準備を開始します。認証情報の入力を誘導するオーバーレイ表示や、偽の黒画面で背後の操作を隠す手法など、ユーザーが気づきにくい設計が特徴とされています。これらの挙動は、攻撃者が端末を掌握し、正規アプリ上で直接行動できる点で非常に悪質です。

画面取得と遠隔操作を実現する技術的背景

Albirioxが特に危険とされる理由は、画面取得や遠隔操作のために複数の仕組みを組み合わせている点です。まず、暗号化されていないTCPソケットを使ってC2通信を行い、攻撃者からの指示を受け取って端末の操作（音量変更、画面ブラックアウト、情報収集など）を実行します。また、VNCベースのモジュールにより端末画面をリアルタイムで確認しながら操作できるため、正規ユーザーの操作と見分けがつきにくいと報告されています。

さらに特徴的なのは、アクセシビリティサービスを悪用し、FLAG_SECURE によって画面録画やスクリーンショットを禁止しているアプリでも、UI情報をノードレベルで取得できる点です。金融や暗号資産アプリの多くは画面キャプチャ遮断機能を備えていますが、Albirioxはその制限を回避して情報取得を行えるため、防御策が効きにくく、攻撃者が正規アプリ内で直接作業する余地が生まれます。

日本の組織と利用者が今すぐ確認すべきポイント

日本国内の金融サービス利用者にも影響が及ぶ可能性があるため、端末の利用形態やアプリの導入方法をあらためて見直すことが重要です。Albirioxの分布地域として記事ではオーストリアを狙う事例が取り上げられていますが、攻撃手法は国に依存しないため、同様の偽アプリ配布サイトが日本語化されて登場する可能性は十分考えられます。特に、「アプリ更新」「割引クーポン」「限定版アプリ」などの文言と短縮URLを用いる誘導は国内でも多く確認されており、同様の手口に利用される懸念があります。

また、アクセシビリティ権限を求めるアプリに対しては慎重な確認が必要です。本来この権限は利便性向上のための機能ですが、悪用されると端末操作を全面的に奪われるリスクがあります。企業内でBYOD運用を行っている場合、従業員端末からの情報漏えいにつながる可能性もあるため、利用端末の管理ポリシーやセキュリティ設定の見直しが求められます。

参考文献・記事一覧

• The Hacker News

投稿者プロフィール

CyberCrew

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

最新の投稿

• 2025.12.11React／Next.jsに最大深刻度の脆弱性、幅広いクラウド環境が影響下に
• 2025.12.10産業用OpenPLC ScadaBRに2つの既知悪用脆弱性、CVE-2021-26829とCVE-2021-26828がCISA KEV入り
• 2025.12.09430万インストールの拡張機能が監視ツール化　ShadyPanda攻撃とユーザーが取るべき対策
• 2025.12.08Albirioxマルウェア、400以上の金融アプリを狙う高度な不正操作型MaaS