🔥 この記事の詳細
2026-04-21 更新
C
月内に

攻撃者が事前に感染させたスマートフォンを被害者に直接配送し、銀行口座を標的にする「LunaSpy」というAndroidトロイの木馬を用いた攻撃

事案🌐 英語ソース
📅 2026-04-21📰 zataz
📌 一言でいうと
攻撃者が事前に感染させたスマートフォンを被害者に直接配送し、銀行口座を標的にする「LunaSpy」というAndroidトロイの木馬を用いた攻撃が確認されました。従来のフィッシングリンクではなく、物理的なデバイスを配布することで、より確実にスパイウェアを導入させる手法が取られています。2026年2月から3月にかけて、複数の銀行顧客を対象に約300件の標的型攻撃が行われました。
🏢影響範囲
銀行顧客、金融セクター
該当時の対応
信頼できない送信元から送られてきた物理的なデバイスを絶対に使用しないこと。また、デバイスの初期化後であっても、不審なプリインストールアプリがないか確認し、公式のセキュリティソフトでスキャンすることを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なデバイス(スマートフォン等)の受け取りと利用について

お疲れさまです。情報システム担当です。
最近、あらかじめウイルスが仕込まれたスマートフォンを直接配送し、銀行口座などの情報を盗み出す「LunaSpy」という巧妙な攻撃が確認されています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたスマートフォンやUSBメモリなどの物理デバイスを絶対に受け取らないでください。
2. 万が一、不審なデバイスを受け取った場合は、電源を入れずに至急システム管理者に報告してください。
3. 信頼できないルートで入手したデバイスを社内ネットワークに接続しないでください。

不審な点があれば、お早めにご相談ください。
Subject: [Security Notice] Warning Against Using Unsolicited Physical Devices

Hi everyone,

We would like to alert you to a new threat called "LunaSpy," where attackers send pre-infected smartphones directly to victims to steal banking and personal information.

How you can help:
1. Never accept or use smartphones, USB drives, or other physical devices from unknown or untrusted senders.
2. If you receive a suspicious package containing a device, do not power it on and report it to the IT department immediately.
3. Do not connect any unauthorized devices to the corporate network.

Please stay vigilant and report any suspicious activity promptly.
件名: 【共有】物理デバイス経由のAndroidトロイの木馬「LunaSpy」について

お疲れさまです。標的型攻撃に関する情報共有です。

■ 概要
攻撃者が事前にAndroidトロイの木馬「LunaSpy」をインストールしたスマートフォンを物理的に配送し、被害者に利用させるという極めて特異な攻撃手法が確認されました。従来のフィッシングリンク等とは異なり、デバイスレベルで操作・監視が可能な状態で提供されるため、検知や削除が困難な設計となっています。

■ 影響範囲
- Android OS搭載デバイス(特に銀行顧客や金融セクターを標的とした攻撃が確認されています)

■ 対応手順
1. 従業員に対し、不審な物理デバイスの利用禁止および受領時の報告を徹底させる周知を行う。
2. MDM(モバイルデバイス管理)を導入している場合、未承認デバイスのネットワーク接続制限を再確認する。
3. 物理的なサプライチェーン攻撃の可能性を考慮し、デバイス調達ルートの安全性を再点検する。

■ 参考情報
- zataz (LunaSpy report)

対応優先度: 中(物理的な配送を伴うため、社内周知による予防策を優先的にご検討ください)
Subject: [FYI] Android Trojan "LunaSpy" Delivered via Physical Devices

Hi,

This is a security advisory regarding a targeted attack involving the "LunaSpy" Android Trojan.

■ Overview
Attackers are bypassing traditional phishing vectors by shipping pre-infected smartphones directly to victims. These devices are pre-configured for spying and manipulation, making them highly resilient to standard removal attempts. Approximately 300 targeted attacks against banking customers were observed between February and March 2026.

■ Scope
- Android-based devices (specifically targeting the financial sector).

■ Recommended Actions
1. Issue a security awareness alert to employees regarding the dangers of using unsolicited physical hardware.
2. Review MDM (Mobile Device Management) policies to ensure unauthorized devices cannot access corporate resources.
3. Audit hardware procurement processes to mitigate supply chain risks.

■ Reference
- zataz (LunaSpy report)

Priority: Medium (Preventative awareness is recommended as this is a physical delivery vector).
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-21 のまとめ🔍 記事を検索