Keenadu(キーナドゥ)の感染が疑われる場合、やってはいけない順番がある。たとえば「とりあえず工場出荷時リセットしてしまう」は、証拠保全の観点で失敗手順だ。本記事では、個人端末と法人端末それぞれについて、初動15分・短期24時間・中期1週間の時間軸で対応すべき手順を整理した。
Keenadu 系は工場出荷時リセットで消えないケースがある点が、一般的なマルウェアと異なる。この前提で、「駆除」「事後の認証情報洗い替え」「法人向けエスカレーション」を設計する必要がある。
感染確認のチェック手順は、先に機種別チェックガイドを参照してほしい。
目次
- 原則:焦って工場出荷時リセットをしない
- 初動15分(感染を疑った瞬間)
- 短期24時間(被害拡大を止める)
- 中期1週間(認証情報と資産の洗い替え)
- 法人向けエスカレーションフロー
- 工場出荷時リセットで消えないケースの見極め
- FAQ
原則:焦って工場出荷時リセットをしない
Keenadu 系の攻撃でありがちな失敗が、証拠保全を考えずに即リセットだ。法人端末の場合、リセット前の状態がインシデント調査・保険請求・捜査協力で必要になるケースがある。個人端末でも、どのアカウントが侵害されたかを後から追跡できなくなる。
以下の手順では、「証拠を残すフェーズ」と「駆除するフェーズ」を分けている。
セクションまとめ: 証拠保全を先に。工場出荷時リセットは最後の手段。順番を間違えるとインシデント調査の手がかりを自ら消すことになる。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
初動15分(感染を疑った瞬間)
ステップ1(0〜3分):通信遮断
- 機内モードをON にし、外部通信を止める
- Wi-Fi / モバイルデータ / Bluetooth すべてOFF
- 充電ケーブルは別端末とのデータ共有が発生しないPCには接続しない
目的: 攻撃者への継続的なデータ送信、C2サーバーとの通信を即時遮断する。
ステップ2(3〜10分):状態の記録
- 端末の画面スクリーンショットで現状を記録
設定→アプリ一覧設定→電池使用量設定→データ使用量設定→端末情報(ビルド番号・ベースバンド)
- スクリーンショットは端末内ではなく、信頼できる別デバイスに転送(USB経由推奨)
目的: 後のインシデント調査・保険請求に使える状態記録を残す。
ステップ3(10〜15分):意思決定
以下のどちらで進めるかを決める。
- 個人端末:自力対応か、セキュリティベンダーに相談か
- 法人端末:社内SOC/情シス/MDR にエスカレーション
迷ったら相談に進む。Keenadu 系は自己判断のリスクが大きい。
セクションまとめ: 初動は「通信遮断 → 状態記録 → 意思決定」。すべて15分以内で完了できる。
短期24時間(被害拡大を止める)
感染端末で利用していたサービスの二次被害を止める段階。
24時間以内にやること
-
主要アカウントのパスワード変更(他端末・他ブラウザから)
- メール(Gmail / iCloud / Outlook)
- SNS(LINE / X / Instagram / Facebook)
- ネットバンキング
- 決済サービス(PayPay / 楽天 / メルカリ等)
- クラウドストレージ(Google Drive / iCloud / OneDrive)
-
2段階認証の再設定
- 感染端末に入っていた認証アプリ(Google Authenticator / Microsoft Authenticator 等)は信頼できない前提で再生成
- バックアップコードを新規発行
-
クレジットカード・銀行口座の利用履歴確認
- 過去3ヶ月分を確認
- 不審な取引があれば発行会社に即連絡
-
連絡先への注意喚起
- 感染端末からスパムメッセージや勧誘が送られている可能性がある
- 連絡先の人に「最近おかしな連絡がなかったか」を確認してもらう
やってはいけないこと
- 感染端末で新しいパスワードを入力する(Keenadu が入力監視している可能性)
- 感染端末を別端末と同じアカウントでログインさせる(クラウド経由で感染が広がる可能性)
セクションまとめ: 24時間以内の優先は「主要アカウントのパスワード変更」と「2段階認証の再設定」。新しい認証情報は絶対に感染端末で入力しない。
「社内端末で感染疑いが発生したがエスカレーション先がない」ときはGXOにご相談ください
Keenadu系を含むAndroidマルウェアの初動対応、インシデント調査の支援、MDM/BYODポリシーの緊急見直しを支援します。初動の15分で正しい手順を踏むかどうかで、被害規模が大きく変わります。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中期1週間(認証情報と資産の洗い替え)
被害拡大が収まった後、**アカウントと端末の"再構築"**を行う段階。
端末側
- 工場出荷時リセットを実施(証拠保全済みの前提で)
- リセット後、初回起動時のGoogleアカウント復元を慎重に行う
- 「アプリの自動復元」はOFFが安全
- 必要なアプリを手動で公式ストアから再インストール
- 再感染の兆候を 1 週間かけて観察
- バックグラウンド通信量、電池消費、不審通知の有無
アカウント側
- 使っていないサービスのアカウント棚卸し
- パスワードマネージャーの導入(Bitwarden / 1Password 等)
- 2段階認証はSMSではなく認証アプリかハードウェアキーに寄せる
- Gmail / iCloud のログイン履歴・許可端末を棚卸し
財務側
- クレジットカード利用明細の過去3ヶ月の再確認
- ネットバンキング / キャッシュレス決済の全取引履歴の棚卸し
- 必要に応じてカードの番号変更・再発行
セクションまとめ: 1週間は端末・アカウント・財務の3軸で棚卸し。パスワードマネージャーと認証アプリの導入は再発防止に直結。
法人向けエスカレーションフロー
法人端末で Keenadu 感染疑いが発生した場合、個人対応と全く異なる手順を踏む必要がある。
Lv1:発見者(従業員本人)
- 機内モード → 状態記録 → 上長と情シスに報告
- 自己判断でリセットしないことが最重要
Lv2:情シス / 社内SOC
- 対象端末の業務影響範囲を特定(アクセスしていた業務システム・顧客データ)
- MDM から対象端末を一時隔離
- 感染端末が触れていた業務アカウントのパスワード強制変更
- インシデント対応ベンダー / MDR への連絡判断
Lv3:経営層 / 法務
- 個人情報の漏えいが疑われる場合:個人情報保護委員会への報告義務(30日以内)
- 顧客データ漏えいの可能性がある場合:契約上の通知義務を確認
- 取引先へのステートメント・対外発表の判断
Lv4:インシデント対応ベンダー
- 端末のフォレンジック解析
- C2 サーバーとの通信ログ確認
- 影響範囲の特定と恒久対策の提案
セクションまとめ: 法人のインシデント対応は「Lv1従業員 → Lv2情シス → Lv3経営 → Lv4外部ベンダー」の4段階。各段階で「誰が何を判断するか」を平時に決めておくことが重要。
工場出荷時リセットで消えないケースの見極め
Keenadu 系はシステム領域(/system パーティション)に組み込まれている場合、通常のリセットでは消えない。
「消えない」と判断する兆候
- リセット直後にも同じ不審システムアプリが復活する
- セキュリティパッチを最新化してもバックグラウンド通信量の異常が続く
- 別端末のGoogleアカウントからログインしたが、アプリの挙動が変わらない
消えない場合の対応
- ファームウェアの完全再書き込み(メーカー公式ツール経由)
- 買い替え(システム領域を書き換えられない端末の場合)
- 法人端末の場合:同一ファームウェアの他端末も疑う(ロット単位で汚染)
買い替えを判断する3条件
- ファームウェア再書き込みのメーカー公式ツールが非公開
- 端末メーカーのサポート期間が終了している
- 法人のコンプライアンス要件で「再感染リスクのある端末」の業務利用が禁止されている
セクションまとめ: 工場出荷時リセット後も異常が続くなら、ファームウェア再書き込みか買い替え。同じロットの端末は横並びで疑う。
インシデント対応チェックリスト
- 機内モードで通信を遮断した
- 状態スクリーンショットを別デバイスに転送した
- 主要アカウントのパスワードを他端末から変更した
- 2段階認証を再設定した(認証アプリも新規生成)
- クレジットカード・銀行の利用履歴を過去3ヶ月確認した
- 感染端末で新しい認証情報を入力していない
- 法人端末の場合、上長・情シスに報告した
- MDM から対象端末を隔離した(法人)
- リセット後の再感染兆候を1週間観察する予定がある
- パスワードマネージャー / 認証アプリを新規導入した
FAQ
Q1. Keenadu の駆除をうたうアプリはありますか?
検出を謳うものはあっても、システム領域に潜むKeenadu 系を完全に駆除できる消費者向けアプリはほぼありません。公式ファームウェアの再書き込みか端末買い替えが現実的です。
Q2. 法人端末で個人情報の漏えいが疑われる場合、本当に委員会に報告が必要ですか?
「漏えい等が発生した場合」と「発生したおそれがある場合」のいずれも報告対象です。迷ったら30日の期限内に報告する判断が安全側です。
Q3. インシデント対応ベンダーに頼むと、いくらかかりますか?
規模によりますが、端末数台のフォレンジック解析で数十万〜100万円、組織全体の影響範囲調査で数百万〜数千万円が一般的なレンジです。サイバー保険でカバーできる場合があります。
Q4. 感染疑いから24時間以上経過してしまった場合、もう間に合いませんか?
手遅れではありません。今からでもパスワード変更・2段階認証再設定・利用履歴確認を行ってください。ただし経過時間が長いほど二次被害の可能性が上がります。
Q5. 同じWi-Fiを使っていた他の端末も感染しますか?
Keenadu が Wi-Fi 経由で横展開するケースはまれですが、家庭/社内ネットワーク上の資産(NAS・IoT機器)への不正アクセスのリスクは上がります。ルーター管理画面のログも確認してください。
参考情報
- 個人情報保護委員会「漏えい等の報告義務」
- IPA「情報セキュリティ安心相談窓口」
- JPCERT/CC インシデント対応ガイドライン
- 各端末メーカー公式サポート窓口
関連記事
Keenadu を含むAndroidマルウェアのインシデント対応はGXOへ
「感染疑いの端末をどう扱えばいいか分からない」「社内でエスカレーションフローを設計したい」——初動15分・短期24時間・中期1週間の時間軸で一貫支援します。オンラインを中心に全国対応可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
付録
パンチライン
- 「焦って工場出荷時リセット」がKeenadu対応で最も多い失敗。証拠保全を先にやる。
- 初動15分の手順は「機内モード → 状態記録 → 意思決定」。これだけでも被害が大きく変わる。
- 感染端末で新しい認証情報は絶対に入力しない。Keenaduが入力監視している前提で動く。
- 24時間以内の優先は「主要アカウントのパスワード変更 + 2段階認証再設定」。
- 工場出荷時リセットで消えないケースがある。ファームウェア再書き込みか買い替えが最終手段。
- 法人は「Lv1従業員 → Lv2情シス → Lv3経営 → Lv4外部ベンダー」の4段階フローを平時に決める。
- 個人情報漏えい疑いは30日以内の報告義務。迷ったら報告する判断が安全。
X投稿素材
AWARENESS
Keenadu感染疑いの対応手順、初動15分・短期24時間・中期1週間の時間軸で整理しました。「焦って工場出荷時リセット」が最も多い失敗パターンです。
TRUST
GXO のインシデント対応支援:Android端末の感染疑い初動、MDM/BYODポリシー見直し、恒久対策までワンストップ。社内エスカレーションフロー設計のご相談も。
ENGAGEMENT
社内でAndroid端末の感染疑いが出たとき、Lv1〜Lv4 のエスカレーション先が平時に決まっていますか? 対応が遅れると個人情報保護委員会への報告義務の期限に間に合わなくなるケースも。
LinkedIn投稿文案
Androidバックドア「Keenadu」の感染疑いが発生した際の対応手順を、初動15分・短期24時間・中期1週間の時間軸で整理しました。GXO では、個人端末の自己対応と、法人端末の Lv1 従業員 → Lv2 情シス → Lv3 経営 → Lv4 外部ベンダーの4段階エスカレーションフローを併記しています。特に「工場出荷時リセットで消えないケース」の見極めと、感染端末で新しい認証情報を入力しないという原則は、対応の成否を分けるポイントです。
アイキャッチ画像プロンプト
時計のアイコンと3つのタイムライン(15分・24時間・1週間)を横並びに配置。各タイムラインに対応フェーズのアイコン(通信遮断・パスワード変更・リセット)。上部に「Keenadu IR Playbook」のタイポ。色調はダークネイビーに赤の警告アクセント。
