偽WhatsAppアプリでスパイウェア配布——イタリア企業SIOが200人を標的に

WhatsAppが約200人のユーザーに緊急通知を送った。理由は、彼らがインストールした「WhatsApp」が実はイタリアの監視企業が作った偽アプリだったからだ。偽アプリの正体は政府向けスパイウェア「Spyrtacus」。メッセージの窃取、マイクの遠隔起動、カメラによる盗撮、GPS位置追跡まで可能な高機能スパイウェアが、WhatsAppそっくりのインターフェースに隠されていた。

この事件を主導したのは、イタリアのSIO S.p.A.傘下の子会社ASIGINTだ。30年以上にわたり政府機関向けの盗聴・監視ツールを開発してきた企業が、民間のメッセージングアプリを偽装して一般ユーザーを標的にしていたことが明らかになった。

事件の全容——何が起きたのか

2026年4月、Meta傘下のWhatsAppセキュリティチームが不審なアクティビティを検出した。調査の結果、約200人のユーザー（主にイタリア在住）が、正規のWhatsAppではなく精巧に模倣された偽アプリをインストールしていたことが判明した。

WhatsAppは即座に以下の対応を取った。

1. 影響を受けた約200人のユーザーを強制ログアウト
2. 個別通知で偽アプリのインストールを警告
3. SIOに対する法的差止め要求を準備

偽アプリはAppleの公式App Storeではなく、サイドローディング（公式ストア外からのインストール）で配布されていた。攻撃者はイタリアの大手通信キャリア（TIM、Vodafone、WINDTRE）を装ったSMSメッセージを被害者に送信し、偽のサポートページやアップデートページに誘導。そこから偽アプリをダウンロードさせる手口だった。

SIOとASIGINT——30年の監視ビジネス

今回の事件の首謀者であるSIO S.p.A.は、イタリアに本拠を置くサーベイランス（監視）技術企業だ。公式には「法執行機関、政府組織、情報機関」向けの合法的傍受（Lawful Interception）ソリューションを提供するとしている。

子会社のASIGINTは、SIOの技術部門として30年以上にわたり盗聴・監視ツールを開発してきた。イタリア政府の調達記録にはASIGINTの名前が複数回登場しており、同社が国内の法執行機関に監視ツールを納品してきた実績がある。

しかし、今回の事件で明らかになったのは、「合法的傍受」の名目で開発された技術が、一般市民のプライバシーを侵害する形で使われているという現実だ。政府向け監視ツールが民間人に向けられるケースは、NSO GroupのPegasusで世界的に問題視されたが、ヨーロッパの企業でも同様の事態が起きている。

Spyrtacusの技術的仕組み

偽WhatsAppアプリに搭載されていたスパイウェア「Spyrtacus」は、2025年にTechCrunchが最初に報じたAndroid版の存在が知られていた。今回初めてiOS版の存在が確認されたことで、Spyrtacusがマルチプラットフォーム対応の本格的な監視ツールであることが明らかになった。

以下の図は、偽WhatsAppアプリによるスパイウェア感染の流れとSpyrtacusの機能を示しています。

Spyrtacusの主要機能

Spyrtacusが確認されている機能は以下の通りだ。

• メッセージ・通信メタデータの収集: チャット内容、SMS、連絡先リストを丸ごと抜き取る
• マイク遠隔起動: ユーザーの知らないうちにマイクを起動し、周囲の音声を録音・送信
• カメラ監視: 前面・背面カメラを遠隔操作し、写真や動画を撮影
• GPS位置追跡: 定期的にデバイスの位置情報をビーコンとして送信
• 通話履歴の収集: 発着信ログをすべて取得

iOSへの感染手法

iOSは通常、App Store以外からのアプリインストールを制限している。しかし、Spyrtacusは以下の手法でこの制限を回避していた。

• エンタープライズ証明書の悪用: Appleが企業向けに発行する配布証明書を使い、App Storeを経由せずにアプリをインストールさせる。企業が社内アプリを配布するための正規の仕組みを悪用した手口だ
• 構成プロファイルの利用: MDM（モバイルデバイス管理）用のプロファイルをインストールさせ、デバイスの制限を解除する
• 偽のアップデートページ: 正規のWhatsAppアップデートページを精巧に模倣し、ユーザーに「最新版」と信じ込ませてインストールさせる

重要なのは、WhatsApp自体の暗号化に脆弱性があったわけではないという点だ。攻撃者はWhatsAppのセキュリティを突破したのではなく、ユーザーを騙して偽アプリをインストールさせるソーシャルエンジニアリングの手法を用いた。

対象プラットフォーム

Spyrtacusは以下の3つのプラットフォームに対応していることが確認されている。

プラットフォーム	感染手法	主な特徴
Android	偽アプリ配布（2022年以降はPlay Store外）	アクセシビリティサービス悪用、オーバーレイ権限
iOS	エンタープライズ証明書 / 構成プロファイル	今回新たに確認。App Store外配布
Windows	不明（分析で存在を確認）	デスクトップ監視にも対応

サイドローディングの危険性

今回の事件で改めて浮き彫りになったのが、サイドローディング（公式ストア外からのアプリインストール）の危険性だ。

AppleのApp Storeには厳格な審査プロセスがあり、マルウェアが紛れ込むリスクは低い。しかし、サイドローディングではこの審査を完全にバイパスできる。EU のデジタル市場法（DMA）により、2024年からiOSでもサードパーティストアからのアプリインストールが可能になったが、今回の事件はその危険性を如実に示している。

サイドローディングが危険な理由は主に3つある。

1. 審査なし: Appleの審査プロセスを経ないため、マルウェアが検出されない
2. 署名の信頼性: エンタープライズ証明書や構成プロファイルはAppleの正規の仕組みだが、悪用されると強力な攻撃ベクトルになる
3. アップデート制御: 公式ストア経由のアプリはAppleがアップデートを管理するが、サイドロードアプリは攻撃者が自由にアップデートを配信できる

政府系スパイウェア企業の比較

SIO/ASIGINTは、いわゆる「商用スパイウェア」業界の一角を占める企業だ。この業界には、国際的に問題視されている複数の企業が存在する。

以下の図は、主要な政府系スパイウェア企業の比較を示しています。

各企業の特徴を詳しく見ていこう。

企業	本拠地	主力製品	攻撃手法	被害規模	現在の状況
SIO / ASIGINT	イタリア	Spyrtacus	偽アプリ配布	約200人	WhatsAppが法的措置を準備中
NSO Group	イスラエル	Pegasus	ゼロクリック	50,000人以上（推定）	米国制裁リスト入り、Apple訴訟中
Intellexa	ギリシャ	Predator	ワンクリックリンク	数百〜数千人	米国制裁、EU議会が調査
Candiru	イスラエル	DevilsTongue	ブラウザ脆弱性	100人以上	米国制裁リスト入り
Cytrox	北マケドニア	Predator（OEM）	リンク型	不明	Intellexaと合併、制裁対象

注目すべきは、SIO/ASIGINTの攻撃手法が他の企業と比べて**「ローテク」**である点だ。NSO GroupのPegasusがゼロクリック（ユーザーの操作不要）で感染するのに対し、Spyrtacusはユーザーを騙して偽アプリをインストールさせる必要がある。技術的な高度さでは劣るが、ソーシャルエンジニアリングの巧みさでカバーしている。

逆に言えば、ユーザーが「公式ストア以外からアプリをインストールしない」という基本を守れば、Spyrtacusの感染は防げる。Pegasusのようなゼロクリック攻撃とは根本的に防御のアプローチが異なる。

WhatsAppの対応と法的措置

WhatsAppは今回の事件に対して、複数の対応を同時に進めている。

技術的対応

• 影響を受けた約200人のユーザーを特定し、強制ログアウトを実施
• 個別通知で偽アプリのインストールを警告し、正規アプリへの移行を案内
• 偽アプリの通信先サーバーをブロックリストに追加

法的措置

WhatsAppはSIOに対して**正式な法的通知（差止め要求）**を送付する予定だと発表している。これは2019年にNSO Groupを提訴した際と同様のアプローチだ。WhatsApp（Meta）は商用スパイウェア企業に対して積極的に法的手段を取る姿勢を明確にしており、今回も例外ではない。

2019年のNSO Group訴訟では、WhatsAppの脆弱性を悪用してPegasusを配布した行為が問題となり、最終的に2024年に裁判所がNSO Groupの責任を認める判決を下した。この判例は、商用スパイウェア企業に対する法的抑止力として機能し始めている。

日本への示唆——他人事ではないスマートフォンセキュリティ

今回の事件はイタリアで発生したが、日本のユーザーにとっても決して他人事ではない。

日本でも増加するサイドローディングのリスク

日本では公正取引委員会がAppleに対してサードパーティストアの開放を求める議論が進んでいる。EU同様に、iOSのサイドローディングが日本でも解禁される可能性がある。今回の事件は、サイドローディング解禁がもたらすセキュリティリスクの具体例として、日本の政策議論にも影響を与えるだろう。

LINEへの応用可能性

日本で圧倒的なシェアを持つメッセージングアプリ「LINE」も、同様の偽アプリ攻撃の標的になり得る。特にLINEは日本の日常生活に深く組み込まれているため、偽LINEアプリの被害が発生した場合の影響は甚大だ。

日本における政府監視の透明性

日本では「通信傍受法」に基づく合法的な傍受が行われているが、商用スパイウェアの利用実態は不透明だ。今回のようにイタリアの企業が政府向けに監視ツールを提供していたように、日本政府が海外のスパイウェア企業から技術を調達している可能性も完全には否定できない。市民のプライバシー保護の観点から、監視技術の利用に関する透明性の確保が求められる。

個人情報保護の重要性

日本の個人情報保護法は2022年の改正で罰則が強化されたが、スパイウェアによる大規模な個人情報窃取に対する具体的な対策は十分とは言えない。特に、国家レベルの攻撃者に対しては個人の努力だけでは限界がある。1Passwordのようなパスワードマネージャーでアカウントセキュリティを強化し、NordVPNのようなVPNで通信の秘匿性を高めることは、基本的な防御策として有効だ。

自分を守るための具体的アクションステップ

今回の事件を踏まえ、すべてのスマートフォンユーザーが今すぐ実践すべき対策をまとめる。

1. アプリは必ず公式ストアからインストールする

最も重要な対策だ。App Store（iOS）やGoogle Play Store（Android）以外からアプリをインストールしない。SMSやメールのリンクからアプリをダウンロードするよう求められた場合は、100%詐欺だと考えて間違いない。

2. 構成プロファイルを確認・削除する

iOSユーザーは「設定 > 一般 > VPNとデバイス管理」を確認し、見覚えのない構成プロファイルが入っていないかチェックしよう。不審なプロファイルがあれば即座に削除する。

3. パスワードマネージャーを導入する

偽アプリに認証情報を入力してしまった場合に備え、1Passwordなどのパスワードマネージャーを使って、サービスごとに固有の強力なパスワードを設定しておく。万が一1つのパスワードが漏洩しても、他のサービスへの被害を防げる。

4. 二要素認証（2FA）を有効にする

WhatsAppを含むすべての重要なアカウントで二要素認証を有効にする。WhatsAppの場合は「設定 > アカウント > 2段階認証」から設定可能だ。

5. VPNを常用する

NordVPNなどのVPNサービスを利用し、通信を暗号化する。特に公共Wi-Fi利用時は必須だ。スパイウェアの通信先サーバーへのデータ送信を検知・ブロックする効果も期待できる。

6. OSとアプリを常に最新に保つ

iOSやAndroidのセキュリティアップデートは、既知の脆弱性を修正するものだ。アップデートを後回しにせず、通知が来たら速やかに適用する。

7. 不審なSMS・メールのリンクをクリックしない

今回の攻撃は通信キャリアを装ったSMSが起点だった。「アカウントが停止されます」「緊急のアップデートが必要です」といった不安を煽るメッセージは、ほぼ間違いなくフィッシングだ。

まとめ

イタリアのSIO/ASIGINTによる偽WhatsAppアプリ事件は、商用スパイウェア業界の闇を改めて浮き彫りにした。「合法的傍受」の名目で開発された監視技術が、一般市民のプライバシーを脅かす武器になっている現実は深刻だ。

WhatsAppが約200人の被害者を特定し、迅速にログアウト・通知を行ったこと、そしてSIOに対する法的措置を準備していることは評価できる。しかし、SpyrtacusのようなスパイウェアがiOS、Android、Windowsのマルチプラットフォームで動作している事実は、私たちのデジタルライフ全体が監視のリスクにさらされていることを意味する。

自分の身を守るために、公式ストア以外からアプリをインストールしないという基本ルールを徹底し、パスワードマネージャーや二要素認証で防御層を厚くしておこう。サイバーセキュリティは「自分には関係ない」では済まされない時代に入っている。