インド、「Sanchar Saathi」削除不可の全端末プリインストール要求—不正通信抑止の即効策か、国家主導アプリのサプライチェーンリスクか

今日の深掘りポイント

• 政策の核心は「90日以内」「削除・無効化不可」の政府系アプリ強制搭載という強い介入です。端末OEMやプラットフォームの実装・審査プロセスに即時の影響が出ます。
• 効果面ではCEIR/CHAKSHU等の既存枠組みをモバイル側に常駐させることで、盗難端末ブロックや詐欺報告のカバレッジを押し上げる狙いです。一方で、高権限プレインストールはモバイル・サプライチェーン攻撃の新たな攻撃面を拡げます。
• 企業側はBYOD/COPE含むモバイル運用で、同アプリの権限・トラフィック制御、脆弱性監視、データ保護影響評価を急ぎ設計する必要があります。特に日本企業のインド拠点・現地ベンダー端末調達に波及します。
• 報道の信頼度や実行確度は高そうですが、ポジティブな影響は限定的で、短期は準拠コストとリスクが勝ちやすい局面です。中期は政策の追加ガイドライン（データ取扱・監査・更新経路の安全策）が鍵になります。

はじめに

インド通信省が主要端末メーカーに対し、政府支援のサイバーセキュリティアプリ「Sanchar Saathi」を新規出荷端末に90日以内でプリインストールし、ユーザーが削除・無効化できない形で搭載するよう求めたと報じられています。アプリは詐欺・スパム報告、盗難端末ブロック（CEIR連携）等の機能を提供し、特に国際発信を装う不正通話対策を重視しています。導入以降の利用規模として、累計1,140万超のインストール、420万台超の盗難端末ブロックが伝えられています（いずれも報道ベース）［参考：The Hacker News］です。

Sanchar Saathi自体は2023年の開始以来、CEIR（中央機器識別レジスタによるIMEIブロック）、TAFCOP（名義回線の自己点検）、CHAKSHU（疑わしい通信の通報）といったモジュールを束ねる公式ポータルとして展開されており、機能の一次情報は政府ポータルにまとまっています［参考：Sanchar Saathi公式ポータル］です。

本稿では、事実関係を整理したうえで、政策・サプライチェーン・エンタープライズ運用の三層で含意を深掘りし、モバイル脅威とMITRE ATT&CKの観点から具体的なシナリオと対策を提示します。

深掘り詳細

事実関係（一次情報と報道の区別）

• 政府要請の概要
  • 主要端末メーカーに対する「Sanchar Saathi」プリインストール要求、90日以内の履行、削除・無効化不可という条件がメディアで報じられています。公式文書の一般公開は現時点の報道からは確認できず、一次根拠の公開が待たれる状況です［参考：The Hacker News］です。
• アプリ/ポータルの公式機能
  • Sanchar SaathiはDoTの公式ポータルで、CEIR（盗難紛失端末のIMEIブロック/解除）、TAFCOP（名義回線の確認・不要回線の整理）、CHAKSHU（疑わしい通話/SMS/OTT連絡の通報）などを提供します［参考：Sanchar Saathi公式ポータル］です。
  • CHAKSHUは国際発信を装った詐欺や、政府・警察等を騙る不審な連絡の通報導線として設計され、通報に基づくSIM停止や販売店対策といった行政執行に接続します（機能説明は公式ポータル参照）です。
• 成果指標（報道）
  • インストール数やブロック端末数などの累計実績は報道に基づく数字で、最新の公式統計の開示有無は別途確認が必要です［参考：The Hacker News］です。

一次情報で確認できるのは、Sanchar Saathiの機能コンセプトと各モジュールの役割です。今回の「削除不可プリインストール」という強い要件は、現時点では報道ベースでの把握であり、最終的な技術・運用仕様（権限セット、更新チャネル、ログ保持、監査可能性）を定義する政府ガイダンスの公開が、企業側準拠の前提になります。

編集部のインサイト（政策・実装・運用の交差点）

• 政策の狙いとデジタル主権
  • スマホ側に常駐のレポーティング/ブロック導線を標準化することで、SIM偽装、国際中継のなりすまし通話、盗難端末の二次流通などを面から抑えにいく「エンドポイント主権」の発想です。通信事業者側のフィルタリングやKYC強化だけでは捕捉しきれない末端を、端末常駐の官製アプリで塞ぐアプローチです。
• 競争・プラットフォーム・規制の緊張
  • 「削除不可」の要件は、プラットフォームガイドライン、反トラスト/消費者保護の潮流（プリインストールの自由度）と緊張関係にあります。過去に各市場で議論されてきた「ユーザーによるプレインストールアプリの削除自由」と正面からぶつかる可能性があり、OEMはインドSKUの差分設計や審査プロセスの再交渉が要り得ます。
• セキュリティとサプライチェーンのトレードオフ
  • 高権限のシステムアプリを全国規模で統一配布することは、脆弱性が見つかった際の影響半径が極めて大きいことを意味します。更新経路（署名・配信の信頼の連鎖）、権限最小化、透過的な監査（ログ、SBoM、脆弱性情報の公開）など、民間アプリ以上のガバナンスが不可欠です。
• エンタープライズ運用への波及
  • BYOD/COPEで運用する企業にとって、削除不可アプリが新たな「必須常駐プロセス」になります。アプリ権限やネットワーク到達点を把握し、コーポレートネットワークへのアクセスルール、MTD/MDMによる制御、データ保護影響評価（DPIAに準じた評価）をあらためて組み込む必要があります。

総合的には、実行可能性と信頼性は高く見える一方、短期の実務負荷とリスクが目立ちます。導入の即効性はあるものの、長期の安全性はガバナンス設計（技術・法令・運用）の質で決まります。

脅威シナリオと影響

以下は仮説に基づくシナリオで、MITRE ATT&CK for Mobileの観点を添えて整理します。実態は公式仕様の公開内容次第で変わる点に留意します。

• シナリオ1：プリインストール高権限アプリの脆弱性悪用（サプライチェーン/端末側）

  • 仮説
    • アプリがシステム権限や特権APIにアクセスし、IMEIや通話/SMSメタデータに到達できる場合、脆弱性を突かれて不正取得・権限昇格に利用されるリスクがあります。アップデート機構の署名鍵・配信サーバ侵害も含むサプライチェーン攻撃が懸念されます。
  • ATT&CK対応
    • 初期アクセス：サプライチェーンの妥協／正規アップデートの悪用
    • 権限昇格：脆弱性の悪用（Exploitation for Privilege Escalation）
    • 永続化：プリインストール/システムアプリによる永続化（Persistence on System Partition）
    • 情報収集・流出：デバイス識別子・通話/SMSメタデータ収集（Collection）、暗号化C2経由の送信（Exfiltration Over C2 Channel）
  • 影響
    • 全国規模で同一アプリが搭載されるため、1個のゼロデイで広域影響が発生します。規制当局・OEM・開発元の協調パッチ体制がないと、平均修復時間が長期化しやすいです。

• シナリオ2：ブランドなりすましのフィッシング拡散（ユーザー側）

  • 仮説
    • 正規アプリ・官製通知の存在が、偽SMS/偽コール/偽アプリ配布（APK）の説得力を上げます。攻撃者は「Sanchar Saathiによるアラート」「CHAKSHUの確認」を装い、リンク踏ませや認証情報入力・端末管理権限の付与を狙います。
  • ATT&CK対応
    • 初期アクセス：スピアフィッシングリンク（Spearphishing via SMS/OTT）
    • 認証情報窃取：入力捕捉・偽画面（Credential Access via Input Capture/Overlay）
    • 横展開/影響：二要素突破、アカウント乗っ取り、金銭詐取
  • 影響
    • 正規施策の周知が進むほど、なりすましの成功率が一時的に高まる可能性があります。啓発と公式ドメイン/連絡手段の一意性確保が重要です。

• シナリオ3：バックエンド/管理者アカウント侵害による大量ブロック（インフラ側）

  • 仮説
    • CEIRや通報処理系のオペレーション権限が侵害されると、端末ブロック/解除の乱用や、個人識別子への大量アクセスが発生し得ます。承認フローや職務分掌が弱いと、内部不正の温床にもなります。
  • ATT&CK対応
    • 有効アカウントの悪用（Valid Accounts）
    • クラウド/管理コンソールの設定変更（Modify Cloud/Administrative Infrastructure）
    • 影響：サービス妨害・データ漏えい（Service Stop/Data from Information Repositories）
  • 影響
    • 誤ブロックや攻撃的ブロックが広範囲で発生した場合、社会的混乱と訴訟リスクが高まります。可監査なトレーサビリティと二人承認などの強固な統制が不可欠です。

• シナリオ4：企業環境への間接影響（BYOD/COPE）

  • 仮説
    • 企業ネットワークに接続する端末で、当該アプリが高権限で常駐する場合、ログ/メタデータの外部送信が企業のデータガバナンス方針と齟齬を生みます。特に高秘匿業務（政財・法務・R&D）ではリスク評価が必要です。
  • ATT&CK対応
    • 情報収集：端末上の機微メタデータ把握（Device Information Discovery/Network Information Discovery）
    • 流出：許可済み正規エンドポイント経由の送信（Exfiltration Over Allowed Protocol）
  • 影響
    • リスクは直ちに「不正」とは限らず、合法的・政策目的のデータフローでも企業としては「最小化・可視化・許容範囲の明確化」が必要になります。

セキュリティ担当者のアクション

• 端末OEM／プラットフォーム連携チーム

  • 技術要求の一次文書（権限一覧、更新経路、証明書運用、ログ方針）を政府窓口から公式に入手し、セキュリティレビュー委員会で承認プロセスを新設します。
  • アプリをpriv-app/system扱いにする場合の権限最小化、SELinuxポリシー、動的権限制御（AppOps）を実装し、SBoMと脆弱性情報の公開・共有チャネルを確立します。
  • アップデートの署名鍵保護、ロールバック保護、差分配信の検証フロー（サプライチェーン防御）を強化します。
  • インドSKUの差分テスト計画を用意し、Google Play/OS審査との整合を早期に詰めます。

• 企業CISO/SOC（インド拠点・現地子会社・駐在員を抱える組織）

  • BYOD/COPEポリシーを更新し、当該アプリの権限・到達ドメインを資産台帳に登録、MTDで挙動モニタリングを有効化します。DNS/DoH/MTLSの到達先を明示化し、プロキシ経由の可視化も検討します。
  • 高秘匿ユースケース（経営・法務・M&A・R&D）の端末プロファイルを分離し、アプリのネットワークアクセス制御（ゼロトラストMDMルール、Per-App VPN、内向きアクセスの制限）を適用します。
  • フィッシング対策として、「Sanchar Saathi/CHAKSHU」を騙るSMS/通話テンプレートの最新IOC/テキスト例をインシデント対応Playbookに組み込み、教育・模擬演習を実施します。
  • 仕入・配布の段階でハードニング検査を行い、端末初期状態のアプリハッシュと証明書チェーンを記録、改ざん検出のベースラインを整備します。

• テルコ/金融・ハイリスク業界のリスク管理

  • CHAKSHU通報との連動を踏まえ、社内のフロード・インテリジェンスと照合し、通報からブロックまでの自動化/準自動化ワークフローを構築します。
  • 大量誤ブロック発生時のBCP（再有効化、本人確認フロー、カスタマーサポートのスケールアウト）を定義します。

• 脅威インテリジェンス

  • 正規アプリ更新のハッシュ監視、サーバ証明書のピンニング/更新イベント、偽アプリのマルウェア系譜（家族）追跡を継続します。
  • なりすましSMS/OTTメッセージの文面パターンを多言語で収集し、ルール（YARA/L7）へ反映します。

最後に、今回の政策は不正通信対策として即効性が期待できる一方、国家主導アプリの常駐という設計はサプライチェーンとガバナンスの成熟を強く要請します。実効安全性は、透明性（権限・データフローの開示）、監査可能性（ログ・署名・SBoM）、迅速なパッチ運用（PSIRT連携）にかかっています。企業側は準拠と安全性の両立に向け、技術・法務・現地渉外の三位一体で早期に動くべき局面です。

参考情報

• The Hacker News: India Orders Phone Makers to Pre-Install Government-Backed Sanchar Saathi App on New Phones（2025/12/2報道）https://thehackernews.com/2025/12/india-orders-phone-makers-to-pre.html
• Sanchar Saathi（DoT公式ポータル：CEIR/TAFCOP/CHAKSHUの機能説明）https://sancharsaathi.gov.in