セキュリティ企業ESETは2025年12月にGoogleへ報告を行い、Androidのストーキングツールを装った一連の詐欺アプリ群「CallPhantom」の実態が明らかになった。Tom’s Guideのスコット・ヤウンカー記者が2026年5月8日に報じた内容によると、28本のアプリが合計730万回以上ダウンロードされており、Google Playストアからはすでに全件削除が確認されている。
なぜこの事件が注目されるのか
CallPhantomが特異なのは、「善良な被害者」対「一方的な詐欺師」という単純な構図に収まらない点だ。これらのアプリが謳っていたのは、任意の電話番号の通話履歴・SMS記録・WhatsApp通話ログを閲覧できるという機能——要するに他人のプライバシーを侵害するストーキングツールとしての役割である。
Tom’s Guideはこの点について「怪しい機能を求めてアプリを探しに行けば、詐欺師のカモになりやすい」と率直に指摘している。被害者は確かに金銭的損害を受けたが、その動機自体がグレーゾーンにあるという「全員がどこか間違っている」構造が、この事案の本質だ。
ESETレポートが明かした手口の詳細
ESETの調査によると、CallPhantomアプリ群は以下のような巧妙な仕組みで機能していた。
偽データの生成: アプリはランダムな電話番号を生成し、固定された名前・通話時間・通話時間と紐づけることで、いかにも本物らしい通話履歴を表示していた。
課金システムの使い分け: 一部アプリはGoogle Playの正規課金システムを利用。別の一部はサードパーティ決済やカード入力フォームを採用し、Googleのポリシーを巧みに迂回していた。
危険な権限を要求しない: 注目すべき点として、ターゲットの端末に対する不正アクセス権限を一切要求していなかった。「権限の多さを確認する」という一般的な防御策では見抜けない設計だ。
メールアドレスの収集: 一部アプリは「偽の通話履歴データを送付する」という名目で、ユーザーのメールアドレスを収集。しかし決済完了前には何も送られてこない仕組みだった。
日本市場での注目点
レポートによればインドおよびアジア太平洋地域のユーザーが主要なターゲットとされており、日本も対象地域として決して無縁ではない。
返金の可否: Google Playの公式課金で支払っていた場合、Googleのサブスクリプション管理ページから払い戻し申請が可能。ただしサードパーティ決済を経由していた場合は回収が困難になる。
今すぐできる対策:
- Google Play Protectを有効にする(設定アプリ → Google → Play Protect から確認)
- レビューの「☆5が多い」だけを信じず、評価分布や低評価の内容を確認する
- アクセシビリティ権限を要求するアプリは原則として拒否する
- 不要なアプリをこまめに削除してインストール数を最小限に保つ
筆者の見解
今回の事案で注目すべきは、マルウェアや情報漏洩という従来型の脅威ではなく、「詐欺の構造的な巧妙さ」にある。通常、悪意あるアプリは過剰な権限要求や不審な動作で検出されやすい。しかしCallPhantomは危険な権限を一切求めず、正規の課金システムを活用し、「偽データを返す」ことで技術的・法的にグレーな領域に留まっていた。
Playストアのセキュリティ審査は継続的に改善されているが、「動作自体は正常に見える詐欺」は審査をすり抜けやすい。ESETのような独立したサードパーティのセキュリティリサーチャーの報告が削除のきっかけになったという事実は、プラットフォーム側の自律的な検出だけには頼れないことを示している。
ユーザー側が実践できる最善の防御は、きわめてシンプルだ。「技術的に不可能なことを提供すると主張するアプリには近づかない」——他人のスマートフォンの通話履歴が見知らぬアプリで取得できるわけがない、という当たり前の判断そのものが防衛線になる。怪しい機能を求めて動いた結果として詐欺に遭う構造は、今後も形を変えながら登場し続けるだろう。
関連製品リンク
ESET インターネット セキュリティ(最新)|5台3年版|カード版|ウイルス対策|Win/Mac/Android対応
上記はAmazon.co.jpへのリンクです。記事執筆時点の情報であり、価格・在庫は変動する場合があります。
出典: この記事は Android alert: 7 million users downloaded ‘stalking’ apps that were actually scams の内容をもとに、筆者の見解を加えて独自に執筆したものです。