世界を動かす技術を、日本語で。

ベトナム政府がルート化されたスマートフォンでの銀行アプリの使用を禁止しました

2026年1月10日原文(xdaforums.com)

概要

  • Android端末の PI(Play Integrity)偽装Magiskモジュール の利用方法について議論
  • Play Store の整合性チェックやデバイス情報の偽装設定の確認手順
  • Pending Update Loop などのトラブル解決法とADBコマンドの活用
  • 銀行アプリの規制強化 によるroot端末やADB利用端末の利用制限
  • セキュリティ規制の内容と今後の懸念点

Android端末のPI偽装とPlay Store整合性チェック

  • PI偽装には PI ForkPI Fix Inject など複数の方法
  • PI Fork 利用時、偽装機能を無効化することで実端末情報を表示
  • Play Storeの開発者オプションから Check Integrity 実行推奨
    • Brand, Device, Model が実際の値か確認
  • custom.pif.prop ファイルの設定例
    • spoofBuild=1
    • spoofProps=1
    • spoofProvider=0
    • spoofVendingSdk=0
    • spoofVendingFinger=0
  • target.txt にはcom.android.vendingやcom.google.android.gmsなど対象アプリを記載
    • 必要なアプリのみ選択・記載推奨

Magiskモジュール・ADBによるトラブル解決

  • Magiskモジュール全無効化や Magisk自体の削除 で正常化を試みる方法
  • Pending Update Loop 発生時の対処手順
    • adb shell pm clear com.android.vending
    • adb shell pm clear com.google.android.gms
    • adb shell rm -rf /data/local/tmp/*
  • /data/adb/modules/で PIやspoofing関連フォルダ の存在確認
  • adb shell getprop | grep -E "model|product|fingerprint"で偽装値の確認
  • Aboutタブが更新されない場合、bin破損の可能性
    • 新規インストールや再起動推奨
  • nohelloモジュール など他のMagiskモジュールが影響する場合もあり

銀行アプリの規制強化とセキュリティ対策

  • 2025年3月1日施行 のCircular 77/2025/TT-NHNN規制
    • ADBやブートローダーアンロック端末での銀行アプリ利用禁止
  • 規制内容(第8条4項改正抜粋)
    • デバッガ付与、エミュレータ動作、ADB接続時にアプリ自動終了
    • 外部コード注入、関数監視、APIログ取得、アプリ改ざん検知時に自動終了
    • root化・Jailbreak・ブートローダーアンロック端末で自動終了
  • 端末破壊や警察通報義務 までは規定されていないが、今後の懸念点あり
  • 規制強化の背景に セキュリティ省庁の影響力 の強さ

まとめ

  • PI偽装やMagiskモジュール の運用には注意と最新情報の確認が必須
  • Play Storeや銀行アプリのセキュリティ要件 は今後も厳格化の傾向
  • システム改変端末利用者は 各種リスクとトラブル対策の知識 が必要

Hackerたちの意見

ベトナム政府は、すべての銀行アプリが、電話がルート化されているか、ブートローダーがアンロックされているか、ADBが有効になっているかを検出し、そうであれば強制終了するように義務付けました。

その銀行って、ルートアクセスのあるコンピュータからアクセスできるウェブサイトもあるのかな?たぶん、あると思うよ。

でも、最終的には銀行へのウェブアクセスも制限されると思う。イギリスのHMRCみたいに、企業がウェブサイトを通じて税金を提出できなくなったように。未来では、すべてが「アプリ」が必要になるんじゃないかな。

銀行のアプリには、ウェブサイトにはない機能があると思う。例えば、タップして支払いができるとかね。ルート化された電話だと詐欺がしやすくなるかもしれないし。そうじゃないなら、ほんとに意味がわからない。

ハンガリーでは、中央銀行が「非公式」なデバイスでの銀行アプリを許可しないというルールを作ったけど、実際にはアプリかSMSでの2FAが必要なんだって。どうやらSMSは安全だと考えてるみたい…

そうだね。ウェブサイトでは(ルート化されてない?)電話で取引を確認する必要がある。一方で、電話ではPCで確認する必要がないから、電話の中にアクセスできない安全な場所がない限り、セカンドファクターがないんだよね。面白いことに、その2FA用に使ってる電話で直接そのウェブサイトを使えるかもしれないから、2FAのアイデアを回避できるかも(少なくともアプリがルートをチェックする代わりにSMS 2FAを使う限りは)。

オンラインバンクがアプリの使用を強制する傾向があるね。去年から、ある銀行のウェブサイトにはQRコードをアプリから使わないとログインできないんだ。もちろん、アプリにはトラッキングや「セキュリティ」、分析SDKが盛り込まれてるから、ルート化されたデバイスは拒否される。あの変更があった後、ログインする方法がなくなっちゃって、ほんとに素晴らしいよ。とりあえず、まだサーバーサイドでチェックすることを学んでないみたい。今のところは、ルート画面をスキップするための一行のパッチで済むけど、Play Integrity APIは正しく設計されてるから、もし彼らがそれを使うことを学べば、どこかにハードウェアの脆弱性を見つけない限り、回避策はなくなるだろうね。

ちょっとした違いかもしれないけど、スマホは一日中動かされるし、周りにいろんな人がいて触られたりすることも多いよね。ノートパソコンはちょっと大きいし、デスクトップは…まあ、ドアの後ろにあるし。だけど、結局銀行は電話のOSにセキュリティを頼るべきじゃないよね。

TDカナダはアプリを使わせようとしてる。オンライン取引をするとき、彼らが「大きすぎる」とか「怪しい」と思うと、必ずスマホのアプリにログインして取引を承認しないといけない。それが唯一の方法なんだ。

タイの銀行は、1回の取引で5万バーツ以上、または1日に累計でその金額を超える場合、顔認識を導入することが規制で求められてるんだ。ほとんどの銀行は、ユーザーが少ないからウェブベースの安全な顔認識を実装する価値がないってことで、インターネットバンキングを停止してると思う。私が使ってる銀行の一つは、取引を確認するためにモバイルアプリにプッシュ通知を送ってくれるんだよね。以前のインターネットバンキング、モバイルバンキングが始まる前でも、1日に追加できる送金先の数に制限があったと思う。QR決済が普及してきたから、ウェブベースのバンキングを使うとその制限にすぐ達しちゃうかも。タイ銀行は、技術的には多くのことをブロックしてないって言ってるけど(モバイルバンキングの技術要件ではルートをブロックする必要があるみたいだけど、インターネットバンキングは禁止されてない)、既存の銀行を disrupt する新しい銀行が出てきてほしいな。でも最新の「支店なし」バンキングライセンスは既存の銀行グループが取得しただけだから、APIファーストの個人バンキングはまだ無理そうだね。

この10年間でこの傾向は減ってきてるよ。一部の銀行は、いくつかのやり取りや全てのやり取りにモバイルアプリを必要とするようになってきた。ウェブサイトで全部できる銀行は、レガシーでアメリカ中心の傾向があるね。

いくつかの国では、銀行のアプリなしではオンライン決済が不可能になってる。すべての銀行取引がスマホに制限されるのも時間の問題だね。

Hacker Newsで議論の続きを見る