「言われた通りやっただけ」で詰む時代 iPhone騒動から見るスマホを狙う新たな攻撃線：半径300メートルのIT

新年早々「X」を騒がせたiPhoneの“裏ワザ”投稿をきっかけに見えてきたのは、スマートフォンを巡る新たな危うさでした。2026年もスマートフォンを安全に利用するために見落としてはいけない2つの変化を解説しましょう。

[宮田健，ITmedia エンタープライズ編集部]

　新年早々、気になる投稿がSNSを巡っていました。「iPhone」の日付設定を未来日付にすることで、たまったキャッシュを削除でき、容量が空くという趣旨の投稿です。ただしこれをした結果、再起動を繰り返し端末が利用不可能になったという内容の投稿が相次いで報告されています。症状が出ない端末もあるようですが、日付に関しては多くの場合、時間を戻すタイミングで予測不可能な（テストが及んでいないであろう）トラブルを引き起こすことが想定されます。

　持論としては、特にPCやスマートフォンデバイスに対して、「影響が想像できない設定変更作業は手順書があったとしてもやるべきではない」と思っています。本件の投稿者に悪意はないはずですが、実質的に“「iOS」版の「ClickFix」”と似たような事象となってしまい、ひょっとしたら日本のSNSユーザーはそういう攻撃に脆弱（ぜいじゃく）なのではないか、と思わざるを得ない状況でした。

新たな法律が穴になる？　スマホを利用する上で注意しておきたい2つの変化

　マルウェア攻撃が盛んなPC端末と比較すると、スマートフォンは安全なように思えますが、それでもやはり脅威は存在します。こうした脅威に対処する上で重要なのは「知る」ことです。そこで筆者が気になっている2つの変化を紹介しましょう。

　まずは2025年12月からの変化です。皆さんもスマートフォンを使っていたら突然、Webブラウザや検索エンジン、ストアを「選択せよ」という画面が表示されたことはないでしょうか。これは日本における「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」の施行に伴うもので、公正取引委員会はこれによって利用者の“スマートフォンで利用しているWebブラウザや検索エンジンの選択の機会が増えます”と説明しています。

2025年公正取引委員会チョイススクリーン特設サイト（出典：公正取引委員会のWebサイト）

　この法律により、スマートフォンのOS自体に日本でのみ選択を促す画面（チョイススクリーン）が表示されるようアップデートが適用されています。メリット／デメリットどちらもある内容で、特にAppleはこの法律に対応しつつも、大きな懸念を表明しています。

　それはなぜでしょうか。スマートフォン市場においてアプリストアはほぼAppleとGoogleによる“独占”状態にあり、他のストアが入り込む余地はありません。WebブラウザもOS標準のものが使われ、そこに競争が起きにくい状況となっています。

　しかし他のアプリストアやWebブラウザを利用者が正しく選択する方法もないまま、選択の場だけが与えられた状態では、利用者の安全が脅かされてしまうリスクが全てのメリットをつぶしてしまうと筆者は考えています。

　特にこれまで独占と引き換えに、安全にアプリストアを利用できるというのがPC版との違いであり、スマートフォンにとっての大きなメリットでした。恐らく今後はPCにおけるClickFixと同様、言葉巧みに設定を変更させ、攻撃者の息が掛かったアプリストアや検索エンジンへの誘導が実行される可能性があります。

　残念ながらチョイススクリーンではストアやWebブラウザ、検索エンジンが安全かどうかは判断できません。何が起きているのか分からないものを選ぶことほど危険なことはないので、多くの方はこれまでの設定を維持することが最善手になるでしょう。

　そしてもう一つ、大変気になる攻撃手法が登場しました。情報処理推進機構（IPA）は「X」（旧「Twitter」）のアカウントで、「『LINEグループ』を作成し、そのグループの二次元バーコードを共有せよ」という内容の詐欺メールに関する相談が複数寄せられたと注意喚起しました。

　この指示通りにグループを作成すると、そのグループの中で関係者になりすまし、詐欺被害につながるというものです。「LINE」やスマートフォンの脆弱性を突くのではなく、これもClickFixのように、意図に気付かせないよう人間に指示を与え、攻撃を仕掛けるというずる賢い手法です。

　これに関しては2つのことを知ってほしいと思います。1つ目は上記でも教訓として知ってほしい「影響が想像できない設定変更作業はやるべきではない」ということ。恐らくこれまでとは別のグループが存在していたにもかかわらず、なぜか別のものを作れという変更が来たとき、最大限に警戒しなくてはなりません。もし相手が組織の上長だったとしても、別ルートで確認する、もしくはセキュリティ担当者に確認することが必要です。

　2つ目は根本的な問題です。そもそも個人利用で使っているLINEは仕事で使ってはいけないはずです。あまりになじみのあるツールだからこそ、この詐欺メッセージを受け入れてしまう隙になってしまったようです。これについては「見抜く」のではなく、そもそもLINEを使わないことこそが最適な対策となるはずです。ガバナンスの観点でも、正しくログが残る機能を有する、会社組織が利用しているメッセージングサービスのみを使うようにしてください。

　サイバー攻撃のポイントは常に変化しています。従来は脆弱性を狙っていたところが、最近の報告書を見ると正規のID／パスワードを使って侵入したという記述が目立つようになりました。では、どこからID／パスワードを手に入れるのかというと、さまざまな詐欺やフィッシング手法が使われているはずです。

　つまりセキュリティの防衛最前線が「従業員」や「個人」へと変化しているのです。詐欺対策には「知る」ことが重要です。特に「設定変更はさまざまなリスクを生むことを知る」のが、2026年は特に重要になるのかもしれません。ぜひ積極的に知り、それを周りの人と共有することを皆さんには心掛けていただければと思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。