ScamLens暗号資産詐欺フィールドガイド
危険度 5 / 5 · 偽プラットフォーム

偽アプリ:なぜ「偽アプリ」は偽サイトよりも厄介なのか

ScamLens 編集部 ✓ 最終確認 2026年5月 読了の目安 約10分
スマホ画面にそっくりな取引所アプリのアイコンが2つ並び、片方の縁から赤いひびがにじみ出ている。公式を装う偽アプリを象徴する図
偽アプリのアイコンや画面は公式そっくりに作れます。本当の違いは、どこから来たか、そしてスマホに入った後に何を要求したか、です。

「アプリ」でつまずいた人を、私たちは一人ならず見てきました。サイトならドメインを確認する分別が働く人でも、いざスマホに入ってしまうと、たいていは警戒を完全に解いてしまいます。アイコンは合っている、開けばログインできる、価格も動いている——どこも正しく見える。問題は、ウェブページはせいぜい開いた瞬間しかだませないのに対し、アプリは常駐し、あなたが画面を見ていないときにコピーしたアドレスを読み、認証コードを盗み撮り、裏でこっそり「操作」さえできることです。同じなりすましでも、偽アプリが偽サイトより危険なのはこのためです。この記事で見抜けるようになりましょう。

始める前に、この3点を頭に刻んでください。
  • 偽アプリが偽サイトより危険なのは、スマホに入ると権限を得て長く常駐できるため、触れられる範囲がウェブページよりはるかに広いからです。
  • アプリの入手元は2つだけ。App Store、または自分で公式ドメインを入力して開いた公式サイトのダウンロードページ。誰か(DM・グループ・第三者サイト)から送られたインストーラーは一切入れません。
  • インストール時に出る「通知・ユーザー補助・クリップボード」の権限要求は小さなことではありません。ユーザー補助(アクセシビリティ)権限は、スマホを相手に渡すのとほぼ同じです。要求されたら、まず立ち止まってください。

なぜ偽アプリは偽サイトより危険なのか

まずこの違いを腑に落とすことが、以降のすべての警戒の土台になります。

フィッシングのウェブサイトは、その能力がブラウザのそのタブの中にほぼ閉じ込められています。あなたが入力したものを受け取り、ページを閉じればもう手が届きません。ほかのアプリの中身も、裏でコピーした内容も読めず、あなたが寝ている間に代わりに確認を押すこともできません。

アプリはまったく別物です。一度スマホに入れば、システムの中の長期居住者になります。インストールの過程で権限を要求してきます——通知、クリップボード、写真、ユーザー補助(アクセシビリティ)、他のアプリの上への重ね表示など。一つ与えるごとに、その「手」が一段伸びます。ユーザー補助権限を得た悪意あるアプリは、理論上、画面に表示された内容を読み、あなたのタップを模倣し、知らないうちに一連の操作を完了できます。これはもう「入力させてだます」段階ではなく、アプリ自身が能動的に動ける状態です。

一言で要点をつかむと

偽サイトが盗むのは「あなたが進んで教えたもの」。偽アプリが盗むのは「スマホの中でアプリの手が届くもの全部」。前者はページを閉じれば終わり、後者は削除しない限りずっと居続けます。

それらはどこから現れるのか

正規アプリはアプリストアという狭い一本道だけを通ります。一方、偽アプリはあえてこの正門を避け、さまざまな「裏口」からあなたの手に渡ろうとします。これらの経路を見分ければ、いつ警報を鳴らすべきかがわかります。

第三者ダウンロードサイト・まとめダウンロードページ

非公式のアプリ配布サイトには、改ざんされ、コードを仕込まれた偽版が常時置かれています。あるアプリが、そういう場所でしか見つからず、公式ストアにはむしろ無いほど、怪しいと考えてください。

DM・グループで送られてくるインストーラー

「サポート」や「先生」が、.apk ファイルやダウンロード用QRコードを直接渡してきたり、「ストアのは旧版だから、私のこの新版を使って」と言ったりします。ストアの審査を経ていないインストーラーに何が仕込まれているかは、知りようがありません。

iPhoneのサイドロード:TestFlightと構成プロファイル

iPhoneは出所不明のアプリを簡単には入れられないため、詐欺師は迂回します。本来は開発者向けのベータ配布である TestFlight で「テスト版の取引所」を配ったり、構成プロファイル(MDM)を「信頼」させて入れさせたりします。案内に従って「設定」で企業証明書を信頼してしまうと、それはシステム内で動く通行証を渡すのと同じです。

検索結果と広告

「OKX ダウンロード」「Binance アプリ」と検索すると、上位の結果が偽のダウンロードページで、見た目は公式そっくりなのにダウンロードボタンが偽アプリを指していることがあります。偽サイトと同じで、上位表示=公式ではありません。

3つの手口:張りぼて・なりすまし・マルウェア

偽アプリのだまし方は一つではありません。おおまかに3種類あり、それぞれ害の与え方が異なります。

手口どうだますか典型的な兆候
純粋な張りぼて:入金詐欺「取引所」全体が偽物。登録でき、入金でき、残高や「利益」が増えて見えるのに、決して出金できない。本質は集金画面です。入金は順調・出金はあれこれ止まる/非公開やグループ内でしか入手できない/サポートはアプリ外だけ
なりすましフィッシング:口座盗難外側に本物そっくりの画面をかぶせ、あなたが入力した本物の口座・パスワード・認証コードがリアルタイムで詐欺師へ転送され、本物の口座にログインして出金されます。ログイン後に「もう一度認証」「旧口座を連携」を求める
リカバリーフレーズや秘密鍵を要求する
マルウェア混入:裏で情報を盗むアプリにトロイの木馬が潜み、クリップボード(特にコピーしたウォレットアドレスやリカバリーフレーズ)を読み、画面上のSMS認証コードを盗み、コピーした送金先アドレスを書き換えることさえあります。ユーザー補助・通知・SMS権限を要求/スマホが重い・発熱・通信量の異常

注:これらの手口はしばしば混ざって現れ、一つの偽アプリが張りぼてでありマルウェア混入でもあることがあります。ここで分けて説明するのは見抜く助けにするためで、互いに排他的な分類ではありません。

クリップボードの差し替え:最も陰湿な一手

一部の偽アプリは、あなたのクリップボードを監視します。送金しようとウォレットアドレスをコピーすると、貼り付ける瞬間にそのアドレスを詐欺師のアドレスに差し替えるのです。アドレスはあれほど長く、一文字ずつ照合する人は多くありません。こうしてお金は別人へ送られてしまいます。習慣にしてください——送金前に、アドレスの先頭数文字と末尾数文字を照合すること。

「許可」を押した瞬間、何を差し出しているのか

インストールや初回起動の際、アプリは権限要求を次々と出します。多くの人は習慣的に「許可、許可、許可」と押し進めます。しかし取引所系アプリにとって、与えると代償が想像以上に大きい権限がいくつかあります。

  • ユーザー補助(アクセシビリティ):最もリスクの高い項目です。画面に表示された全内容を読み、タップを模倣できます。まともな取引所アプリが、これを無理に要求する理由はほぼありません。ユーザー補助権限を強く求めてきたら、即レッドカードと判断してください。
  • 通知 / 通知の読み取り:SMS認証コードやログイン通知は通知として表示されることが多く、通知を読めればコードを盗めます。
  • クリップボードへのアクセス:コピーしたウォレットアドレスやリカバリーフレーズを盗む、または差し替えるために使われます。
  • SMS権限(Android):受信したSMS認証コードを直接読み取り、「あなた」という関門を飛び越えます。
  • 他のアプリの上に重ねて表示:本物のアプリの上に偽の入力欄をかぶせ、本物に入力しているつもりが、実は偽の欄に入力させられます。

権限と機能が噛み合わなければ、それが警報

判断の論理は単純です。その権限は「価格を見る・注文する・送金する」ことと合理的に関係があるか? 取引所アプリがユーザー補助を求める、SMSを読む、常駐の重ね表示を求める——機能上まったく説明がつきません。説明のつかない要求は、別の何かを企んでいるということです。

公式アプリかどうかを確認する方法

技術の知識はいりません。次の確認の流れを一通りやれば、ほとんどの偽アプリを防げます。

入手元は2つだけに限定する

iPhoneユーザー:App Store で検索します。Androidユーザー:公式ドメインを手入力して公式サイトのダウンロードページに入り、そこから誘導・QR読み取りをします。それ以外のどんな経路から送られたインストーラーも入れません。

開発者・配信元の名前を照合する

ストアページの「開発者(販売元)」欄を確認し、その取引所の公式法人であって、見知らぬ個人名や無名の会社名でないことを確かめます。偽アプリは皮を変えても、開発者名でしっぽが出ることがよくあります。

公式サイトのダウンロード入り口と照合する

手入力で開いた公式サイトに戻り、公式が示すダウンロード方法と手元のものが一致するかを見ます。検索結果ではなく公式サイトを基準にしてください。

レビュー数と履歴を見る

公式の主要アプリには通常、大量のレビューと長い更新履歴があります。公開から数日、レビューがわずか、あるいは似たような絶賛レビューばかりの「取引所」には、大きな疑問符を付けてください。

iPhoneは「証明書を信頼」の案内に警戒する

App Storeから普通にアプリを入れる場合、「設定 → 一般 → VPNとデバイス管理」で企業証明書を手動で信頼させられることは決してありません。この誘導が出たら、サイドロードの偽アプリとほぼ判断してよいでしょう。

一行で言うと

本物か偽物のアプリかは、アイコンや画面の見た目ではなく、どの道からスマホに入ったか、入れるときに機能と噛み合わない権限を要求したかで見ます。入手元が正しく、権限が妥当なら、まず間違いません。

危険信号チェックリスト

これらが現れたら、ほぼ偽アプリ

  • 他人(サポート・先生・グループの人)がインストーラーやダウンロード用QRコードを送ってきたうえ、「ストアのは旧版」と言う。
  • 「企業証明書を信頼」させる、または構成プロファイル(MDM)を入れさせないと使えない。
  • インストール・起動時にユーザー補助・SMS・重ね表示など、取引機能と無関係の権限を強く要求する。
  • 入金は順調なのに出金がいつも止まる、または出金前に「税金・証拠金・手数料」を求める。
  • ログイン後に「もう一度認証」「旧口座を連携」、さらにはウォレットのリカバリーフレーズや秘密鍵の入力を求める(正規アプリは決して求めません)。
  • サポートが Telegram・LINE・DM だけ、アプリ内に正規の問い合わせ入り口がない。

すでに入れて入金した、今すぐこれを

怪しいアプリを入れてしまった、あるいは入金してしまったとしても、慌てず、ただし素早く、順番どおりに動いてください。

アプリを削除し、証明書とプロファイルを取り除く

そのアプリを削除します。iPhoneはさらに「設定 → 一般 → VPNとデバイス管理」で、入れた企業証明書・構成プロファイルを削除します。Androidはユーザー補助などの権限を解除してから削除します。

別のきれいな端末で後続の対応を

このスマホには何かが仕込まれている可能性があるため、以降のパスワード変更や口座確認は、できればきれいだと確信できる別の端末で行ってください。

パスワード変更・端末解除・APIとホワイトリスト確認

公式の経路から本物の取引所とメールに入り、ログイン・資金パスワードを変更し、見覚えのないログイン端末とセッションをすべて切断し、不審なAPIキーを無効化し、出金ホワイトリストに見知らぬアドレスが追加されていないか確認します。

まだ管理できる資産を移す

まだ自分の手にある資産は、できるだけ早く安全なアドレスへ移します。ウォレットのリカバリーフレーズがこのアプリに触れられた可能性があるなら、漏洩したものとみなし、新しいウォレットへ移してください。

証拠を残し、相談・通報を検討

アプリ名、ダウンロードページ、チャット履歴、送金記録のスクリーンショットを保存します。具体的な証拠保全と相談の流れは詐欺に遭ってしまったらを参照してください。困ったときは消費者ホットライン188(国民生活センター)に相談できます。

「取り戻してあげる」という第二波に用心

偽アプリに入金したお金はたいてい取り戻せず、被害後すぐに「損失を取り戻せる」と現れる人物がいます。これはほぼ確実に、被害者を狙った二次被害です。USDTの「回収・凍結解除」詐欺を参照してください。

よくある質問

偽アプリと偽サイト、どちらが危険ですか?

偽アプリのほうが通常は危険です。サイトは開いているタブの中でしかだませず、閉じれば終わりです。アプリは一度入れると常駐し、通知・ユーザー補助・クリップボードなどの権限を求め、画面を見ていないときでも情報を読み、コピーしたウォレットアドレスを読み、画面上の認証コードまで読み取れます。触れられる範囲がウェブページよりはるかに広いのです。

取引所アプリが公式かどうかを確認するには?

入手元を2つだけに限定します。App Store、または公式ドメインを手入力で開いた公式サイトのダウンロードページからの誘導です。入れる前に開発者名がその取引所の公式法人かを確認し、レビュー数と履歴が自然かを見て、公式の入り口が示すリンクと照合します。DM・グループ・第三者サイトから送られたインストーラーや、TestFlight・構成プロファイルの招待は決して入れないでください。

iPhoneは怪しいアプリを入れられないのでは? なぜ被害に遭うのですか?

iPhoneは確かに厳格ですが、詐欺師は迂回します。本来開発者向けのベータ配布であるTestFlightで「テスト版」を配ったり、「設定」で企業証明書・構成プロファイルを手動で信頼させてサイドロードさせたりします。案内に従って「信頼」を押した時点で、この防御線を自分で開けてしまうのです。企業証明書を信頼させる誘導が出たら、まず怪しいと判断してよいでしょう。

すでに偽アプリを入れて入金もしました。今どうすればよいですか?

まずそのアプリを削除し、関連する構成プロファイル・企業証明書を取り除きます。次に別のきれいな端末で、公式の経路から本物の取引所とメールにアクセスし、パスワードを変更し、見覚えのない端末とAPIキーを解除し、出金ホワイトリストを確認します。まだ管理できる資産は安全なアドレスへ移します。最後に証拠を保存し、消費者ホットライン188や警察庁のサイバー窓口への相談を検討してください。偽アプリに入金したお金はたいてい取り戻せず、後から現れる「取り戻してあげる」という二次被害にも警戒してください。

最初から正しい扉を通る

ダウンロード後にびくびくするより、公式の経路からアプリを正しく入れる

偽アプリが成功するのは、たいてい最初の一歩でDM・第三者サイト・サイドロードから入れてしまうからです。取引を行うなら、大手で規制を受けた取引所へ公式の経路から直接たどり着き、App Storeか公式サイトのダウンロードページからアプリを入れましょう。OKXはそうした主要な取引所の一つで、下記の公式の入り口から確認できます。公式ドメインは okx.com です。

OKX公式の入り口を確認する 取引所が正規かどうかの見分け方
当サイトの招待コード OK1717 でOKXに登録すると、取引手数料が20%割引になります(取引手数料の割引であり、投資収益ではありません。OKXが提供し、割引率はOKXの公式方針により変わる場合があります。公式条件が優先されます)。ScamLensはOKXのアフィリエイトパートナーであり、あなたから費用はいただかず、投資助言も行いません。公式ドメイン okx.com を必ずご確認ください。

続けて読む