「アプリを入れていないから大丈夫🙂」
そう思っていたのに、実は**“Webサイトをアプリっぽく見せる仕組み”を悪用した詐欺に引っかかる人が増えています。最近は、Googleのセキュリティ確認画面のように見せかけて、PWA(Progressive Web App)を入れさせる手口が報告されています。PWA自体は正規の便利な技術ですが、“ブラウザ上の安全そうな見た目”を逆手に取られる**と、一気に見分けが難しくなります。
この記事では、
「アドレスバーが出ない偽の安全確認画面」にどう気づくか
“インストール不要”の思い込みがなぜ危険なのか
Chrome・Edgeで今すぐ見直したい設定と削除手順
を、初心者でも分かるように整理します🛡️
読み終わるころには、
“なんとなく許可してしまう不安”が減り、危ない画面を自分で見抜ける状態を目指せます✨
PWAは、簡単に言うとWebサイトをアプリのように動かす仕組みです。ChromeやEdgeでは、対応したサイトをインストールしてアプリのように別ウィンドウで開けるようになっています。公式情報でも、PWAはブラウザとは別のアプリウィンドウで動き、通常のブラウザUIを隠せることが説明されています。
ここが便利な反面、悪用されると厄介です😥
たとえば、メールや広告から飛んだ先で「Googleのセキュリティ確認」「安全のためツールをインストール」などと表示されると、普通の人は**“ブラウザの追加機能かな” “アプリじゃないから軽い確認だろう”**と受け止めがちです。ですが実際には、偽サイトがPWAとしてインストールされ、URLバーのない“それっぽい画面”になることで、正規画面と見分けにくくなります。こうした偽のGoogle確認画面からPWAを入れさせる事例は、2026年3月時点でも複数のセキュリティ報道で確認できます。
昔は、怪しいものを入れさせるには「EXEをダウンロードして実行」みたいな、わかりやすい危険サインがありました💻
でもPWAは、“ブラウザの中の正規機能”として入るため、心理的な警戒が下がりやすいのが問題です。ChromeやEdgeは正規にPWAのインストール機能を持っており、利用者からすると普通のブラウザ操作の延長に見えてしまいます。
さらに、PWAは通知・位置情報など、Webの権限モデルの上でさまざまな機能を使えるため、「ただのページ」で終わらないことがあります。Permissions API や Notifications API、Geolocation API などを通じて、サイトは権限の確認や要求ができます。つまり、**“アプリを入れたつもりはないのに、気づけばアプリ並みに権限を与えていた”**という状態が起きうるわけです。
PWAはstandalone表示で動くと、URLバーなどの標準ブラウザUIが隠れます。これは正規の仕様です。問題は、その仕様が詐欺画面を“公式アプリ風”に見せることです。URLを見て確認する習慣がある人でも、そもそもURL欄がないと判断しにくくなります。
Webでは、通知・位置情報・クリップボード・連絡先共有のような機能が存在します。
通知はシステムレベルで表示でき、アプリが閉じていても再接触のきっかけになります。位置情報は Geolocation API により取得可能です。Clipboard API は安全なコンテキストで動作し、クリップボードの読み取り・書き込みを扱えます。Contact Picker API は、ユーザーが選んだ連絡先情報をWebアプリと共有できる仕組みです。
今回のようなPWA悪用の報告では、研究者やセキュリティ各社が、連絡先・GPS・クリップボードなどを狙う挙動を確認したとしています。ここは「PWAだから危険」なのではなく、PWAの正規機能とユーザーの誤認を組み合わせて、攻撃者が情報を引き出すのが危険という理解が大切です。
PWAで重要なのがservice workerです。これはPWAの基盤技術で、ネットワーク要求の管理、プッシュ通知、バックグラウンド同期などを担います。web.dev の説明でも、service worker はPWAを開いていないときや閉じた後でも、イベントをきっかけに起動しうるとされています。
そのため、利用者が「画面を閉じたから終わった」と思っても、通知・同期・通信の足場が残る可能性があります。もちろんブラウザが常時自由に無制限実行させるわけではありませんが、“閉じた=完全に無関係”ではないのが従来の単純なWebページとの大きな違いです。
Googleや大手サービスの確認画面を名乗るのに、URL確認の余地がないのは危険サインです。特に、
セキュリティ確認のはずなのに、
検索広告、SNS広告、メール本文のリンクから始まるものは、とくに慎重に見てください📩
正規サービスの確認は、自分で公式サイトや公式アプリを開いて確認するのが基本です。届いたリンクを踏んで始める時点で、攻撃者が作った流れに乗っている可能性があります。今回の報告事例も、偽サイトに誘導してPWAインストールへ進ませる流れでした。
いちばん大事なのはこれです✨
通知・位置情報・連絡先・クリップボード関連の許可を、その場の勢いで押さないこと。
少しでも怪しいと感じたら、画面を閉じる前に、別タブで公式サイトを自分で開き直す習慣をつけましょう。
Chromeでは、Webアプリは chrome://apps から管理できます。またGoogleの案内では、Webアプリを開いて右上メニューからアンインストールできます。Edgeでも、設定 → アプリ管理からインストール済みPWAの情報確認やアンインストールが可能です。
すでに許可してしまった場合は、通知・位置情報などのサイト権限を確認してください。
通知は granted / denied / default の状態を持ち、位置情報も許可状態で管理されます。怪しいサイトが残っていたら、権限を外します。
PWA詐欺は、通知を使って再度誘導してくる可能性があります。見覚えのないサイトからの通知は即オフにするだけで、被害の連鎖をかなり減らせます。通知APIはページ外・アイドル時にも使われうるため、放置しないのが大切です。
Googleや銀行を名乗っても、リンク先で“入れろ・許可しろ”は危険と思ってください。
本物か確かめる場所がない画面ほど危ないです。
メールや広告のリンクではなく、自分で検索した公式サイト・公式アプリから入り直す。これだけでかなり防げます😊
今回のPWA詐欺で怖いのは、技術的に高度だからではありません。
むしろ逆で、見た目が普通で、ブラウザの正規機能の延長に見えるから多くの人が油断しやすい点にあります。PWAは本来便利な技術ですが、**「便利なものほど、悪用された時は見分けづらい」**というのが現代のネットの難しさです。
でも、安心してください😊
危険を避けるコツは、実はそこまで難しくありません。
「急がされる」
「URL確認ができない」
「権限要求が多い」
この3つが重なったら止まる。
それだけでも、かなり強い防御になります🛡️
“インストール不要だから安全”ではなく、これからは
「何を許可するかを自分で選べる人が強い」
そんな時代です🌱
ネット詐欺を防ぐために必要なのは、専門家のような知識ではありません😊
むしろ大切なのは、焦って押さないこと、そして万が一のときに被害を広げにくくすることです。
たとえば、普段から総合セキュリティソフトを入れておけば、不審な挙動や危険なサイトに気づきやすくなりますし、パスワードだけに頼らず二段階認証や物理キーを使えば、もし情報を抜かれても乗っ取られにくくなります🔐
さらに、外出先でノートPCを使うことが多い人なら、のぞき見防止フィルターのような“見られない工夫”も地味に効果的です。
詐欺対策は、何か1つを完璧にすることではなく、「だまされにくい」「盗まれても広がりにくい」状態を少しずつ作ることがポイントです✨
「自分は詳しくないから不安…😣」という人ほど、
まずは使いやすい対策を1つ入れることから始めてみてください。
その一歩だけでも、安心感はかなり変わります🌱
1位 ノートン or ESET
2位 YubiKey
3位 のぞき見防止フィルター
怪しい画面や詐欺リンクが見た目だけでは分かりにくい今、まず入れやすいのが総合セキュリティソフトです。
ノートン 360 デラックスは、マルウェア対策に加えて、VPN、パスワード管理、クラウドバックアップなどをまとめて使えるので、**「とりあえず守りを一式そろえたい人」**に向いています。最大3台まで保護できるため、自分のPCだけでなく、家族の端末もまとめて見直したい人にも相性がいいです。ノートン公式では、3台までの保護、VPN、25GBクラウドバックアップなどが案内されています。
ESET HOME セキュリティ エッセンシャルは、**「動作の軽さも気になるけれど、詐欺サイト対策はしっかりしたい」**人に紹介しやすい1本です。公式では、詐欺サイトの高精度検知や、安全な決済・ショッピング向けの保護機能、家族の端末をまとめて管理できる ESET HOME が特徴として案内されています。ネットバンキングや通販をよく使う人には、普段使いの安心感につながりやすいタイプです。
PWA詐欺で怖いのは、だまされて情報を入力してしまったあとに、アカウント乗っ取りへつながることです。
そこで相性がいいのが、物理セキュリティキーの YubiKey 5 NFC です。Yubico公式では、FIDO2/WebAuthn、FIDO U2F、OTP など複数の認証方式に対応し、NFCも使える多機能キーとして案内されています。**「パスワードだけに頼りたくない」「大事なGoogleアカウントや各種サービスの守りを強くしたい」**という人に向いています。なお、YubiKey 5 系列には旧ファームウェアに関する脆弱性の報道もありましたが、Yubico系販売情報では FW5.7 の案内も確認できます。選ぶ際は新しめの版を意識すると安心です。
外出先や職場でPCを使う人は、詐欺対策とあわせて**“画面を見られない工夫”もしておくと安心です。
エレコムののぞき見防止フィルターは、15.6型ワイド向けモデルで、公式ではブルーライトカット約42%、UVカット99.9%、厚さ0.3mmなどが案内されています。PWA詐欺そのものを直接防ぐ商品ではありませんが、「カフェや移動中にログイン画面や認証コードを見られたくない」**人にはかなり相性がいいです。セキュリティソフトのようなデジタル対策に、物理的な安心感を足したい人向けです。
いいえ😊 PWA自体は、ChromeやEdgeが対応している正規の仕組みです。危険なのは、その仕組みを使って本物っぽく見せる詐欺サイトです。
安全とは言い切れません⚠️ PWAはWebアプリとしてインストールでき、通常のアプリほど目立たない形で動くことがあります。最近の報告でも、その点を悪用した事例が確認されています。
PWAはstandalone表示だと、アプリのような別ウィンドウで開き、URLバーなどの標準ブラウザUIを隠せます。これは仕様です。だからこそ、悪用時に見分けが難しくなります。
完全には言えません😥 service worker は、イベントに応じてPWAを開いていない時や閉じた後でも起動しうる仕組みです。通知や背景同期などが関わるため、削除や権限見直しまで行うのが安心です。
通知、位置情報、連絡先共有、クリップボード関連は特に慎重に見てください。どれも正規APIですが、その画面で本当に必要かが大切です。
多くの場合、Webアプリのアンインストール+サイト権限の見直しが重要です。ChromeではWebアプリのアンインストール手順が案内されており、Edgeでもアプリ管理から確認できます。