宅配業者をかたる詐欺が再燃。しかも今度はiPhoneもターゲットに…

【この記事はIT系ライター M氏 が書きました】

沈静化していた宅配便業者になりすました、偽ショートメッセージサービス(SMS)による詐欺が新たな手口で再び流行しています。
IPA(独立行政法人 情報処理推進機構)では佐川急便をかたる偽SMSに関する問い合わせ件数が 急激に増加しているとして注意喚起を行っています。

偽SMS詐欺の手口

偽SMS詐欺の手口ですが、実在する宅配便業者に成りすました不在通知をSMSで送信し、SMSに記載された偽リンクから本物のサイトそっくりに作成された偽サイトに誘導、荷物の受け取りに必要な手順と称して個人情報を盗み取るといった不正利用を目的としたアプリを標的にインストールさせようとするというものです。

この詐欺の手口が登場し始めてた当初に比べるとメールの文面や偽サイトの作りが本物の判別がつきづらいほどに精巧になっています。

ひとたび不正なアプリやツールがインストールされてしまうと、電話帳の情報を不正に送信されたり、各種webサービスのログインIDやパスワードを抜き取られる、クレジットカード番号を入手されるなどの被害にあってしまいます。

偽SMSがiPhoneにも対応してしまい再流行の兆し

偽SMS詐欺の内、宅配便業者をかたるものは従来はAndroid端末のみが標的でした。
スマートフォン向けのアプリを追加する場合、Andoroidの場合はGooglePlay、iPhoneの場合はAppleStoreとそれぞれ専用のアプリストア経由で提供される正規アプリを追加することになります。
こうしたアプリストアを経由せずに提供される非正規アプリは通称「野良アプリ」とも呼ばれ、ユーザーが設定を変更しない限り、インストールは行えないようになっています。

Android端末の場合は、提供元不明のアプリのインストールの設定をオンにすることで、ユーザーの自己責任において非正規アプリのインストールが可能になっています。設定が簡単に行えるため、詐欺SMSの誘導で従うと誰でも非正規アプリのインストールが出来てしまう点がAndroid端末が標的にされる原因でした。

iPhoneの場合は、特殊なツールを使用しないと非正規アプリをインストールすることはできないため、偽アプリがインストールされることはありませんでした。

今回のiPhoneを狙った偽SMSの手口はこうです。

1. 不在通知を装った偽のSMSが送信されます。本文には荷物の確認用として偽サイトへのリンクが貼られています。

2. 記載のURLをタップすると偽サイトに誘導される。

3. 誘導された偽サイト内をタップするとフィッシングサイトが表示され、「Apple社から送られた製品はセキュリティ許可の認証が必要」といった内容と共に携帯電話番号の入力を求められる。

4. ケータイキャリアから入力した携帯番号宛にキャリア決済を有効にするための認証コードを通知するSMSが届く。

5. 届いた認証コードをフィッシングサイトで入力してしまうことで被害につながってしまう。

各種Webサービスでもセキュリティ強化の観点から従来のログインIDとパスワードに加え、携帯電話の番号とSMSを利用した2段階認証を導入するケースが増えています。今回の件はセキュリティ強化の仕組みを逆手にとってユーザーを巧みに誘導する巧妙な手口です。

認証コードを入力してしまったことで身に覚えのないAppleコンテンツ等の請求が発生するといった事例が確認されています。同様の流れでApple IDを盗み出そうとする詐欺メールも発見されています。

偽SMSの標的は佐川急便だけではなく、ついにヤマト運輸まで

偽SMSの標的は佐川急便が主な標的になっていましたが、ヤマト運輸をかたるものも登場しています。
手口は同様で偽のSMSからフィッシングサイトに誘導、不正なアプリのインストールを促されるというものです。
現状では「ヤマト運輸の不在通知をかたるSMSを自身の端末から見知らぬ電話番号宛に多数送信される」といった被害が確認されています。

またヤマト運輸をかたりながら、誘導されたURLの先には佐川急便の偽サイトが表示されるなど、現状では偽装の精度は高くないようですが、佐川急便のケース同様に本物そっくりの偽サイトやキャリア決済の不正利用といった被害が出るのは想像に難くないといえます。

もしも被害に遭ってしまったら

万が一、フィッシング詐欺の被害に遭ってしまった場合は、すぐに各キャリアのサイトにアクセスしパスワードを変更しましょう。パスワードの変更が難しい場合は各キャリアのサポートセンターに連絡してパスワードのリセットやキャリア決済の一時停止してもらうようにしましょう。

また各キャリアともキャリア決済の月額の利用額を制限することができます。利用頻度が少ない方であれば限度額を抑える設定をしておけば万が一の被害を最小限に留めることができます。利用限度額は契約年数により限度額が引き上げられる場合があります。ご自身の契約状況を見直してみるのもよいのではないでしょうか。

フィッシング詐欺に遭わないようにするには

有名企業をかたった偽のメールやサイトを利用した詐欺は後を絶ちません。ひとたび流行してしまうと 次々に模倣する手口が登場します。セキュリティ対策用のソフトもそれに対抗し、進化しているとはいえ 後手に回ることが多く、完全な対策は残念ながら難しいようです。

フィッシング詐欺は高齢者の方やネットのセキュリティに対するリテラシーの低い方が標的にされます。
家族や同僚、友人に、もしネットのセキュリティに関しての認識度が低い方がいれば、こういった事例があることを周知するようにしましょう。

不正なツールに感染してしまうと自らの端末が不正アクセスの踏み台にされるなど、知らない間に 自らが加害者側にまわってしまう恐れもあります。常日頃からこういった詐欺の手口が存在することを認識し、 身に覚えのないメールが届いたら真偽をしっかりと確認するようにしましょう。

関連リンク

IPA:安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayori20181129.html

NTTドコモ:決済サービスにおける「ご利用限度額」提供条件の一部変更について
https://www.nttdocomo.co.jp/info/notice/pages/180109_00.html