Keenadu(キーナドゥ)の感染が疑われる場合、やってはいけない順番がある。たとえば「とりあえず工場出荷時リセットしてしまう」は、証拠保全の観点で失敗手順だ。本記事では、個人端末と法人端末それぞれについて、初動15分・短期24時間・中期1週間の時間軸で対応すべき手順を整理した。

Keenadu 系は工場出荷時リセットで消えないケースがある点が、一般的なマルウェアと異なる。この前提で、「駆除」「事後の認証情報洗い替え」「法人向けエスカレーション」を設計する必要がある。

感染確認のチェック手順は、先に機種別チェックガイドを参照してほしい。

目次

  1. 原則:焦って工場出荷時リセットをしない
  2. 初動15分(感染を疑った瞬間)
  3. 短期24時間(被害拡大を止める)
  4. 中期1週間(認証情報と資産の洗い替え)
  5. 法人向けエスカレーションフロー
  6. 工場出荷時リセットで消えないケースの見極め
  7. FAQ

原則:焦って工場出荷時リセットをしない

Keenadu 系の攻撃でありがちな失敗が、証拠保全を考えずに即リセットだ。法人端末の場合、リセット前の状態がインシデント調査・保険請求・捜査協力で必要になるケースがある。個人端末でも、どのアカウントが侵害されたかを後から追跡できなくなる。

以下の手順では、「証拠を残すフェーズ」と「駆除するフェーズ」を分けている。

セクションまとめ: 証拠保全を先に。工場出荷時リセットは最後の手段。順番を間違えるとインシデント調査の手がかりを自ら消すことになる。

初動15分(感染を疑った瞬間)

ステップ1(0〜3分):通信遮断

  • 機内モードをON にし、外部通信を止める
  • Wi-Fi / モバイルデータ / Bluetooth すべてOFF
  • 充電ケーブルは別端末とのデータ共有が発生しないPCには接続しない

目的: 攻撃者への継続的なデータ送信、C2サーバーとの通信を即時遮断する。

ステップ2(3〜10分):状態の記録

  • 端末の画面スクリーンショットで現状を記録
- `設定` → `アプリ` 一覧

- `設定` → `電池使用量` - `設定` → `データ使用量` - `設定` → `端末情報`(ビルド番号・ベースバンド)

  • スクリーンショットは端末内ではなく、信頼できる別デバイスに転送(USB経由推奨)

目的: 後のインシデント調査・保険請求に使える状態記録を残す。

ステップ3(10〜15分):意思決定

以下のどちらで進めるかを決める。

  • 個人端末:自力対応か、セキュリティベンダーに相談か
  • 法人端末:社内SOC/情シス/MDR にエスカレーション

迷ったら相談に進む。Keenadu 系は自己判断のリスクが大きい。

セクションまとめ: 初動は「通信遮断 → 状態記録 → 意思決定」。すべて15分以内で完了できる。

短期24時間(被害拡大を止める)

感染端末で利用していたサービスの二次被害を止める段階。

24時間以内にやること

  1. 主要アカウントのパスワード変更(他端末・他ブラウザから)
- メール(Gmail / iCloud / Outlook)

- SNS(LINE / X / Instagram / Facebook) - ネットバンキング - 決済サービス(PayPay / 楽天 / メルカリ等) - クラウドストレージ(Google Drive / iCloud / OneDrive)

  1. 2段階認証の再設定
- 感染端末に入っていた認証アプリ(Google Authenticator / Microsoft Authenticator 等)は信頼できない前提で再生成

- バックアップコードを新規発行

  1. クレジットカード・銀行口座の利用履歴確認
- 過去3ヶ月分を確認

- 不審な取引があれば発行会社に即連絡

  1. 連絡先への注意喚起
- 感染端末からスパムメッセージや勧誘が送られている可能性がある

- 連絡先の人に「最近おかしな連絡がなかったか」を確認してもらう

やってはいけないこと

  • 感染端末で新しいパスワードを入力する(Keenadu が入力監視している可能性)
  • 感染端末を別端末と同じアカウントでログインさせる(クラウド経由で感染が広がる可能性)

セクションまとめ: 24時間以内の優先は「主要アカウントのパスワード変更」と「2段階認証の再設定」。新しい認証情報は絶対に感染端末で入力しない。

「社内端末で感染疑いが発生したがエスカレーション先がない」ときはGXOにご相談ください

Keenadu系を含むAndroidマルウェアの初動対応、インシデント調査の支援、MDM/BYODポリシーの緊急見直しを支援します。初動の15分で正しい手順を踏むかどうかで、被害規模が大きく変わります。

インシデント対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

中期1週間(認証情報と資産の洗い替え)

被害拡大が収まった後、アカウントと端末の"再構築"を行う段階。

端末側

  • 工場出荷時リセットを実施(証拠保全済みの前提で)
  • リセット後、初回起動時のGoogleアカウント復元を慎重に行う
- 「アプリの自動復元」はOFFが安全

- 必要なアプリを手動で公式ストアから再インストール

  • 再感染の兆候を 1 週間かけて観察
- バックグラウンド通信量、電池消費、不審通知の有無

アカウント側

  • 使っていないサービスのアカウント棚卸し
  • パスワードマネージャーの導入(Bitwarden / 1Password 等)
  • 2段階認証はSMSではなく認証アプリかハードウェアキーに寄せる
  • Gmail / iCloud のログイン履歴・許可端末を棚卸し

財務側

  • クレジットカード利用明細の過去3ヶ月の再確認
  • ネットバンキング / キャッシュレス決済の全取引履歴の棚卸し
  • 必要に応じてカードの番号変更・再発行

セクションまとめ: 1週間は端末・アカウント・財務の3軸で棚卸し。パスワードマネージャーと認証アプリの導入は再発防止に直結。

法人向けエスカレーションフロー

法人端末で Keenadu 感染疑いが発生した場合、個人対応と全く異なる手順を踏む必要がある。

Lv1:発見者(従業員本人)

  • 機内モード → 状態記録 → 上長と情シスに報告
  • 自己判断でリセットしないことが最重要

Lv2:情シス / 社内SOC

  • 対象端末の業務影響範囲を特定(アクセスしていた業務システム・顧客データ)
  • MDM から対象端末を一時隔離
  • 感染端末が触れていた業務アカウントのパスワード強制変更
  • インシデント対応ベンダー / MDR への連絡判断

Lv3:経営層 / 法務

  • 個人情報の漏えいが疑われる場合:個人情報保護委員会への報告義務(30日以内)
  • 顧客データ漏えいの可能性がある場合:契約上の通知義務を確認
  • 取引先へのステートメント・対外発表の判断

Lv4:インシデント対応ベンダー

  • 端末のフォレンジック解析
  • C2 サーバーとの通信ログ確認
  • 影響範囲の特定と恒久対策の提案

セクションまとめ: 法人のインシデント対応は「Lv1従業員 → Lv2情シス → Lv3経営 → Lv4外部ベンダー」の4段階。各段階で「誰が何を判断するか」を平時に決めておくことが重要。

工場出荷時リセットで消えないケースの見極め

Keenadu 系はシステム領域(/system パーティション)に組み込まれている場合、通常のリセットでは消えない。

「消えない」と判断する兆候

  • リセット直後にも同じ不審システムアプリが復活する
  • セキュリティパッチを最新化してもバックグラウンド通信量の異常が続く
  • 別端末のGoogleアカウントからログインしたが、アプリの挙動が変わらない

消えない場合の対応

  • ファームウェアの完全再書き込み(メーカー公式ツール経由)
  • 買い替え(システム領域を書き換えられない端末の場合)
  • 法人端末の場合:同一ファームウェアの他端末も疑う(ロット単位で汚染)

買い替えを判断する3条件

  1. ファームウェア再書き込みのメーカー公式ツールが非公開
  2. 端末メーカーのサポート期間が終了している
  3. 法人のコンプライアンス要件で「再感染リスクのある端末」の業務利用が禁止されている

セクションまとめ: 工場出荷時リセット後も異常が続くなら、ファームウェア再書き込みか買い替え。同じロットの端末は横並びで疑う。

インシデント対応チェックリスト

  • [ ] 機内モードで通信を遮断した
  • [ ] 状態スクリーンショットを別デバイスに転送した
  • [ ] 主要アカウントのパスワードを他端末から変更した
  • [ ] 2段階認証を再設定した(認証アプリも新規生成)
  • [ ] クレジットカード・銀行の利用履歴を過去3ヶ月確認した
  • [ ] 感染端末で新しい認証情報を入力していない
  • [ ] 法人端末の場合、上長・情シスに報告した
  • [ ] MDM から対象端末を隔離した(法人)
  • [ ] リセット後の再感染兆候を1週間観察する予定がある
  • [ ] パスワードマネージャー / 認証アプリを新規導入した

FAQ

Q1. Keenadu の駆除をうたうアプリはありますか?

検出を謳うものはあっても、システム領域に潜むKeenadu 系を完全に駆除できる消費者向けアプリはほぼありません。公式ファームウェアの再書き込みか端末買い替えが現実的です。

Q2. 法人端末で個人情報の漏えいが疑われる場合、本当に委員会に報告が必要ですか?

「漏えい等が発生した場合」と「発生したおそれがある場合」のいずれも報告対象です。迷ったら30日の期限内に報告する判断が安全側です。

Q3. インシデント対応ベンダーに頼むと、いくらかかりますか?

規模によりますが、端末数台のフォレンジック解析で数十万〜100万円、組織全体の影響範囲調査で数百万〜数千万円が一般的なレンジです。サイバー保険でカバーできる場合があります。

Q4. 感染疑いから24時間以上経過してしまった場合、もう間に合いませんか?

手遅れではありません。今からでもパスワード変更・2段階認証再設定・利用履歴確認を行ってください。ただし経過時間が長いほど二次被害の可能性が上がります。

Q5. 同じWi-Fiを使っていた他の端末も感染しますか?

Keenadu が Wi-Fi 経由で横展開するケースはまれですが、家庭/社内ネットワーク上の資産(NAS・IoT機器)への不正アクセスのリスクは上がります。ルーター管理画面のログも確認してください。

参考情報

  • 個人情報保護委員会「漏えい等の報告義務」
  • IPA「情報セキュリティ安心相談窓口」
  • JPCERT/CC インシデント対応ガイドライン
  • 各端末メーカー公式サポート窓口

関連記事

Keenadu を含むAndroidマルウェアのインシデント対応はGXOへ

「感染疑いの端末をどう扱えばいいか分からない」「社内でエスカレーションフローを設計したい」——初動15分・短期24時間・中期1週間の時間軸で一貫支援します。オンラインを中心に全国対応可能です。

インシデント対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK