Androidスマホを「見てるだけ」で情報流出？ 二段階認証も効かない新手の攻撃とは：855th Lap

スマホ画面を「見ているだけ」で情報を盗み取り、二段階認証コードをも無力化する。Android端末を標的とした、悪質なハッキングの手口とは？

[キーマンズネット]

　ビジネスでもスマートフォンを使う機会が増えた今、業務情報や顧客情報、社内システムの情報など、多くの重要な情報がスマホの画面に表示されている。もし、その画面の内容が知らないうちにそっくり盗み見られ、遠く離れた誰かの手に渡っているとしたら……。

　そんな「Android」スマートフォンの「画面そのもの」を狙う極めて悪質なサイバー攻撃が確認されたと、セキュリティ専門家たちが警告する。攻撃者はどのようにして画面上の情報を盗み取るのか。そして、私たちはどのように身を守るべきなのか。

　Android端末を標的とした新たなサイバー攻撃、その名は「Pixnapping」（ピクスナッピング）だ。非常に悪質なこの手口は、スマートフォンでアプリを操作したりWebサイトを閲覧したりしている最中に、画面上に表示される情報をそのまま読み取り、外部へと漏えいさせるという。場合によっては、二要素認証コードですら盗まれる可能性があるという。

　Tech系情報サイト「Ars Technica」は、2025年10月14日付の記事でこのPixnappingについて詳しく報じた。攻撃の存在を明らかにしたのは、カリフォルニア大学、ワシントン大学、そしてカーネギーメロン大学による研究チームだ。彼らの報告によると、Pixnappingはほぼ全ての最新Androidスマートフォンやタブレットに影響を及ぼす可能性があり、実際に「Google Pixel」シリーズ（Pixel 6〜9）や「Samsung Galaxy S25」で実証実験が行われたという。

　攻撃はまず、見た目は普通のアプリを端末にインストールさせるところから始まる。そのアプリは認証アプリなどを呼び出して画面にコードやメッセージを表示させ、さらに目に見えないレイヤーを重ねてGPUの動作時間の差を読み取る。こうして得た情報を解析し、画面に映った文字をまるでスクリーンショットのように再構成して盗み取ってしまう。二要素認証のコードも同様に奪われるのだ。

　研究チームは「ユーザーが見ているあらゆる情報が盗まれる恐れがある」と警告する。対象はWebサイトの閲覧内容や電子メール、SMSに加え、「Signal」などのメッセージアプリまで広がり得るという。チームはこの手口を「スクリーンショットを撮るのと同等の結果を得られる攻撃」と表現し、画面表示自体がそのまま盗用され得る点を強調している。

　中でも深刻なのが、「Google Authenticator」のような二要素認証アプリへの影響だ。Authenticatorでは30秒ごとに新しいコードが生成されるが、Pixnappingはその短い間に情報を盗み取り、攻撃者へ送信することが可能だ。そのため、認証タイミングを狙われれば、二要素認証を用いた安全なログインですら乗っ取られる恐れがある。

　通常、Androidではアプリ間でデータが厳格に分離されており、他のアプリが認証コードを取得することは想定されていない。しかしPixnappingは、このデータ隔離の限界を突きつける事例となった。研究チームは「サイドチャネル攻撃は今後もAndroidにおける主要な脅威であり続ける」と警告する。

　この脆弱（ぜいじゃく）性には既に「CVE-2025-48561」が割り当てられており、その危険性は公に周知されている。報告を受けたGoogleは、2025年9月のセキュリティパッチで部分的に修正し、さらに12月には追加のパッチを配信する予定だ。なお、現時点で実際の攻撃被害は確認されていない。

　画面表示そのものが第三者に漏えいするという、極めて深刻な攻撃だ。Androidユーザーは、提供されているセキュリティパッチをできるだけ早く適用することが強く推奨される。

上司X：　Androidスマホを狙ったPixnappingという攻撃手法が見つかった、という話だよ。

ブラックピット：　画面に表示されているものをほぼ全て盗み出してしまうとは。なかなかじゃないですか。

上司X：　Androidユーザーとしては不安しかないな。

ブラックピット：　パッチが出てるってことですから、それはすぐさま当てておきましょうよ。

上司X：　それはそうだな。

ブラックピット：　でも、二要素認証コードが盗まれる可能性があるとはいえ、もちろんタイミングもあるでしょうから、必ずしも成功するとは限らないとは思いますけどね。

上司X：　よっぽど狙い澄まさないと二要素認証コードの窃取は難しいだろう。でも、メールやSMSメッセージは意外と難しくなさそうだ。

ブラックピット：　まあ、結局のところPixnapping攻撃のトリガーは不正なアプリじゃないですか。怪しいアプリさえインストールしなければ、被害に遭うこともないんじゃないですかね。

上司X：　そうだな。ただ、Androidの場合、アプリを公式ストア以外からもインストールできちゃうからな。いわゆるサイドローディング攻撃とPixnapping攻撃の組み合わせも否定できないだろう。何にしてもこういう攻撃があるということを知って、自衛は欠かせないだろうな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。