情報セキュリティ
公開日:2018年8月8日
最終更新日:2020年2月20日
独立行政法人情報処理推進機構
セキュリティセンター
宅配便業者をかたる偽ショートメッセージに関する相談が急増中
- 誘導されるままAndroid端末にアプリをインストールしないように! -
※2020年2月20日追記
本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。
「佐川急便をかたるショートメッセージサービス(以下SMS)から偽のサイトに誘導され、スマートフォンに不審なアプリをインストールしてしまった」という相談は今年1月5件、2月3件、4月1件と、これまでわずかでした。しかし、7月の中旬から急増し7月の1か月間で110件にのぼりました。
佐川急便の偽サイトにはAndroid向けの不審なアプリをインストールさせるリンクが仕込まれています。これをAndroidスマートフォンにインストールした場合、自分のスマートフォンからも“佐川急便をかたるSMSが”不特定多数(自分のアドレス帳に無いあて先)に向けて送信されてしまう事象が確認されています。
なお、iOS(iPhone、iPad等)の端末では当該アプリがインストールされることはありません。
現在、佐川急便では、SMSによる不在通知の案内は行っていません。(脚注1)よって、佐川急便と称して送られてくるSMSは偽物であると判断ができます。そのため、佐川急便をかたるSMSを受信しても、記載されているURLをタップしないようにしてください。
Androidスマートフォンのセキュリティ設定(脚注2)で、「提供元不明のアプリ」をオフにしてください。今回の不審なアプリは、公式のアプリマーケット(Google Play等)からは配信されていません。公式マーケット以外からアプリをインストールしようとする場合、許可をオフにしていると、インストールをブロックする警告が一旦表示されます。そこから先の設定には進まず、インストールをキャンセルしてください。
(脚注1)佐川急便株式会社「佐川急便を装った迷惑メールにご注意ください」
(脚注2)Android OSのバージョンにより設定方法が異なる場合があるため、不明な場合はお使いの携帯電話会社等にご確認ください。
Androidスマートフォンにおける、アプリインストールまでの主な流れと画面について解説します。
偽サイト内では、画面のどの領域をタップしても、アプリのダウンロードが始まってしまう。
Googleの権限一覧画面によると、インストールしたアプリは、スマートフォンの下記の機能や情報にアクセスする権限を持っています。
これらの権限により例えば「スマーフォンを不正に操作される」「スマートフォン内の情報が外部に送信される」といった可能性が考えられます。
今回の偽サイトから不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、IPAによせられた相談内容から把握できた現象には以下のものがあります。
アンインストール方法:設定⇒アプリ⇒佐川急便⇒アンインストール
(脚注3)「不正ログイン対策特集ページ」
本手口において、上記以外のよくある質問は次のとおりです。
iOSの端末は公式のアプリマーケットである、App Storeからしかアプリをインストールすることはできません。現在確認できている不審な アプリは、Android端末向けであり、App Storeから配信されていません。そのため、iOS の端末に不審なアプリがインストールされることはありません。
まずは料金が発生した携帯電話会社や、Apple等 のサービスの提供会社にご相談ください。それでも問題が解決せず、公的機関への相談が 必要な場合は、最寄りの消費生活センターにご相談ください。
(ご参考)
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2020年2月20日
最新の安心相談窓口だよりの案内を追記
2018年10月9日
「3.アプリの権限とその影響」 の権限一覧、画像を修正
2018年8月24日
提供元不明アプリのインストール設定方法について(脚注2)を追記
2018年8月8日
掲載