格安中華スマホ・タブレット、マルウェア感染公表までの長い沈黙
2026年2月頃より、一部の格安中華スマホやタブレット(Android端末)において、工場出荷時から「Keenadu(キーナドゥ)」と呼ばれるバックドア型マルウェアがプリインストールされていた問題が大きな波紋を呼びました。
Amazon.co.jp、楽天市場、AliExpress などの EC サイトを通じて日本国内に広く流通していて、「1万円台のタブレット」「格安 SIM フリースマホ」として販売、購入されるケースが多く、個人利用だけでなく 業務用タブレットや受付端末、サイネージ用端末 として企業が導入している事例もあります。
問題点の「公表までの長い沈黙」は、この問題の根深さと、低価格デバイスが抱えるサプライチェーン(供給網)の闇を浮き彫りにしています。事の顛末と背景は以下の通りです。
長い沈黙の理由:発覚を遅らせた巧妙な手口
このマルウェアは2026年2月にSNSやガジェット系メディアで検証されて急速に認知されましたが、実際には数年前からシステム内部に潜んでいたことがセキュリティ調査で明らかになっています。沈黙が長く続いたのには、以下の理由があります。
OSの根幹に寄生(サプライチェーン攻撃)
通常のアプリとしてインストールされたものではなく、OSのシステム領域(ファームウェアの基幹部分)に最初から組み込まれていました。そのため、一般的なウイルス対策ソフトでは長らく検知できず、ユーザーが「何かおかしい」と感じても原因の特定が困難でした。
メーカー側の把握遅れと隠蔽体質
格安タブレットの多くは、メーカー自身がOSを一から開発しているわけではなく、外部のファームウェア開発業者に委託したり、汎用のものを流用したりしています。そのため、自社の製品が汚染されていることにメーカー自体が気付いていなかった(あるいは、コスト優先でセキュリティ監査を怠っていた)可能性が高いです。また、問題発覚後もリコールや信用失墜を恐れ、メディアやユーザーの声が大きくなるまで公式な声明を出し渋る傾向がありました。
Keenadu(キーナドゥ)の悪質な挙動
「勝手に身に覚えのないアプリアイコンが増える」といった目に見える不具合だけでなく、裏側で以下のような極めて悪質な活動を行っていました。
- プロキシの悪用(踏み台化): 感染したタブレットを中継地点として悪用し、第三者のサイバー攻撃に加担させる。
- 広告詐欺: バックグラウンドで非表示の広告を大量に読み込み、攻撃者に不正な広告収益をもたらす。
- データ窃取とバックドア: 端末の識別情報や連絡先を外部サーバーへ送信し、遠隔操作でさらなるマルウェアを勝手にダウンロードする。
沈黙を破ったメーカーと、逃亡した無名ブランド
| メーカー | 確認された機種例 | 備考 |
|---|---|---|
| ALLDOCUBE | iPlay 50 Mini Pro など | 日本の Amazon でも販売されている格安タブレット |
| DOOGEE | S59 Pro、T20 など | 耐衝撃性をうたう低価格スマートフォンシリーズ |
| Blackview | BV6600、Tab 8 など | アウトドア向けを謳う中華ブランド |
| UMIDIGI | A13 Pro、G3 Tab など | コスパ重視の SIM フリー端末 |
| Oukitel | WP28、OT5 など | 大容量バッテリー搭載の格安端末 |
| OSCAL | Pad 13、Tiger 12 など | Blackview のサブブランド |
| Lava | 一部モデル | インド市場向け端末 |
| その他 OEM | ノーブランド TV Box 各種 | T95、MXQ Pro 4K、X96 など Android TV Box |
注意点: 上記は公開された調査報告に基づく一覧であり、すべての感染端末を網羅しているわけではない。同一メーカーでも製造ロットやファームウェアバージョンによって感染状況が異なるケースがある。
事態が公となり、日本のユーザーからも批判や不安の声が殺到した後、スマホ・タブレットメーカーの対応は大きく二極化しました。
対応に動いたメーカー
「ALLDOCUBE」は比較的迅速に動き、マルウェアを無効化するためのOTA(ネットワーク経由)アップデートの配信を開始しました。「Headwolf」なども「一部機種にシステム上の脆弱性が判明した」として公式に謝罪し、調査と対応を進めました。
現在も沈黙を貫くメーカー
Amazonのタイムセール等で見かけるような、公式サイトも存在しない無名のジェネリックメーカーの多くは、現在に至るまで一切の沈黙を貫いています。 サポート窓口自体が機能していないことも多く、これらの端末に修正アップデートが提供される見込みはほぼありません。
根本的な解決の難しさ
このマルウェアの最も恐ろしい点は、「端末を初期化(ファクトリーリセット)しても消えない」という点です。畑の土壌そのものが汚染されている状態であるため、メーカーからクリーンなシステムのアップデートが提供されない限り、ユーザー側での根本的な対処は不可能です。
「安物買いの銭失い」にとどまらず、自身の自宅ネットワークや個人情報がサイバー犯罪のツールとして利用されるリスクがあるという点で、格安デバイス選びにおけるセキュリティの重要性を改めて突きつける事件となりました。
確認方法
中華タブレットに潜むシステムレベルのマルウェア(バックドア)は、巧妙に隠蔽されているため目視で気づきにくいですが、以下の手順で感染や不審な挙動の兆候を確認できます。
信頼できるセキュリティアプリによるディープスキャン
問題が公表され広く認知されたことで、現在では主要なセキュリティベンダーのウイルス定義ファイルが更新され、検知できる確率が高まっています。
推奨アプリ
Malwarebytes、Bitdefender、ESET など、実績のあるモバイル向けセキュリティアプリ。
ポイント
無料の「スマホ最適化アプリ」や無名のクリーナーアプリ自体がマルウェアであるケースも多いため、必ず世界的に評価されているベンダーのものを使用してください。
バックグラウンドの「異常なデータ通信量」の確認
踏み台(プロキシ)として悪用されたり、裏で広告データを大量に読み込んだりするため、通信量に明確な異常が現れます。
手順: 「設定」 > 「ネットワークとインターネット」 > 「インターネット」 > (Wi-Fi名)の横の歯車アイコン > 「データ使用量」を開きます。
チェックポイント: 自分が起動していないアプリや、「システムUI」「設定」「Wireless Update」といったシステム関連のプロセスが、数GB単位の異常なバックグラウンド通信を行っていないか確認します。
勝手に追加されたアプリと権限の確認
遠隔操作によって、ユーザーの許可なくアプリを勝手にインストールするのがこのマルウェアの特徴です。
見覚えのないアプリ
ホーム画面やアプリ一覧に、インストールした覚えのないゲームやユーティリティアプリが突然増えていないか。
不審なシステム権限
「設定」 > 「アプリ」 > 「すべてのアプリ」を開き、右上のメニューから「システムアプリを表示」を選択します。不自然な名前のアプリが「他のアプリの上に重ねて表示」や「デバイス管理アプリ」といった強力な権限をオンにしていないか確認します。
パケットキャプチャによる通信監視(確実な方法)
表面上は何も起きていなくても、裏で外部の司令サーバー(C&Cサーバー)と通信しているかを直接監視します。
手順
Android上で動く「PCAPdroid」などのネットワーク監視アプリを使用するか、PCと同じネットワークに繋いでWiresharkなどでパケットをキャプチャします。
チェックポイント
タブレットを操作していないスリープ状態にもかかわらず、海外の不審なIPアドレスへ継続的に通信(ビーコン送信など)を行っていないか監視します。
感染が疑われる・発覚した場合の注意点 ファームウェア(OSの根幹部分)に組み込まれているため、「端末の初期化(ファクトリーリセット)」を実行してもマルウェアは消えません。 メーカーの公式サイトやサポートページを確認し、マルウェアを除去(または無効化)するための「システムアップデート(OTA)」が提供されていれば、直ちに適用してください。アップデートが提供されない場合は、自宅のWi-Fiから切断し、使用を中止するのが最も安全です。
ADBコマンドで強制無効化する方法を見るはい
コメント