情報セキュリティ

宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に

公開日:2018年11月29日

最終更新日:2020年2月20日

独立行政法人情報処理推進機構
セキュリティセンター

  • 安心相談窓口だより

宅配便業者をかたる偽ショートメッセージに関する
新たな手口が出現し、iPhoneも標的に
- 不審アプリのインストールに加えて、フィッシングにも注意! -

※2020年2月20日追記

本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。

IPAでは2018年8月の安心相談窓口だよりにて、佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました(脚注1)。本件に関する相談は7月に急増したあと継続して寄せられており、10月には再度急増し11月はそれをさらに上回っています。また、偽のSMS内のURLから誘導される佐川急便の偽サイトでの手口に変化が見られます。

当初は、Android端末向けの不審なアプリ(脚注2)をインストールさせようとする手口のみでした。しかし、2018年8月以降、iPhoneやiPad等のiOS端末(以下iPhone)でアクセスした場合に、「電話番号と認証コード」や「Apple IDとパスワード」などの詐取を狙ったフィッシングサイトが表示される事例が確認されるようになりました。

これにより、Android端末利用者のみならず、iPhone利用者でも被害が発生しています。

そこであらためて、これまで確認できている手口と、被害に遭わないための対策について解説します。

  • 図1:IPAに寄せられた「佐川急便をかたる偽SMS」に関する相談件数の推移
  • 図2:アクセスする端末種類毎の手口分類

(脚注1)「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
(脚注2)当該アプリはiOS(iPhone、iPad等)端末ではインストールできません。

1.手口の主な流れと対処方法

(1) 不審アプリをインストールさせる手口(Android端末)

Android端末で偽SMSに記載のURLから偽サイトにアクセスすると、不審アプリのインストールへ誘導されます。 以前は、サイト内をタップすることで不審なアプリのインストールファイルのダウンロードが始まりましたが、現在は、偽サイトの画面が表示されると同時にダウンロードが始まる事例を確認しています。

  • 図3:Android端末で偽サイトにアクセスした場合の事例
    図3:Android端末で偽サイトにアクセスした場合の事例(クリックして拡大)

偽サイトに記載されている手順に従ってアプリをインストールしてしまうと、被害につながります。

不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、寄せられた相談内容から把握できた主な事例には以下のものがあります。

  • 佐川急便の不在通知をかたるSMSを、自身の端末から見知らぬ電話番号宛に多数送信される
  • キャリア決済サービスを不正使用される

対処方法

  • ダウンロードの確認・警告画面が表示された場合は、キャンセルしてください。
    もしファイルをダウンロードしてしまった場合でも、インストールしていなければ、被害にはつながりません。
  • 不審なアプリをインストールしてしまった場合は、すぐにスマートフォンを機内モードにした後、端末やアカウントへの対応などを行ってください。詳細は、2018年8月掲載の「安心相談窓口だより」を参照してください。

(2) フィッシングサイトで情報を入力させる手口(iPhone)

iPhoneで偽SMSに記載のURLから偽サイトにアクセスし、そのサイト内をタップすると、携帯電話会社が提供するキャリア決済サービスの悪用やApple IDを狙ったフィッシングサイトに誘導される場合があります。

フィッシングサイトでは、「Apple社から送られた製品はセキュリティの許可が必要」などのもっともらしい文言で、入力を促されます。

キャリア決済サービスの不正使用を狙ったフィッシング

フィッシングサイトにて「電話番号」と「認証コード」の入力画面が表示された場合、これらを入力してしまうと、当該電話番号に紐付くキャリア決済サービスを不正使用される可能性があります。

入力してしまったことで、キャリア決済サービスによる、身に覚えのないAppleコンテンツ等の請求が発生したという事例を確認しています。

  • 図4:iPhoneで偽サイトにアクセスした場合の事例(1)
    図4:iPhoneで偽サイトにアクセスした場合の事例(1)(クリックして拡大)

対処方法

  • 偽サイトや、フィッシングサイトが表示された場合は、画面を閉じてください。フィッシングサイトに入力をしていなければ、被害にはつながりません。
  • 電話番号と認証コードを入力してしまった場合は、すぐにお使いの携帯電話会社に不正なキャリア決済が発生していないか確認してください。
  • キャリア決済が発生していた場合は、携帯電話会社や、キャリア決済が利用されたサービスの提供会社に相談してください。それでも問題が解決せず、契約関連について公的機関への相談が必要な場合は、最寄りの消費生活センター(脚注3)に相談してください。

Apple ID を狙ったフィッシング

フィッシングサイトにて「Apple ID」と「パスワード」の入力画面が表示された場合、これらを入力してしまうと、Apple IDで利用できるサービスに不正ログインされる可能性があります。

ただし、Appleの2ファクタ認証(脚注4)を設定していた場合は、攻撃者が不正ログインを試みたときに通知が届くため、不正ログインを未然に防ぐことができます。

  • 図5:iPhoneで偽サイトにアクセスした場合の事例(2)
    図5:iPhoneで偽サイトにアクセスした場合の事例(2)(クリックして拡大)

対処方法

  • 偽サイトや、フィッシングサイトが表示された場合は、画面を閉じてください。フィッシングサイトに入力をしていなければ、被害にはつながりません
  • Apple IDとパスワードを入力してしまった場合は、速やかにパスワードを変更してください。

(脚注3)全国の消費生活センター等
(脚注4)2ファクタ認証の設定方法に関しては「不正ログイン対策特集ページ」を参照

(3) (参考)危険なサイトを知らせる警告が表示された場合

偽サイトへアクセスしようとしたときに、ブラウザやセキュリティアプリが危険なサイトであると判断し、警告を表示する場合があります。

警告画面が表示された場合は、画面を閉じてください。警告を無視して先に進むことがなければ、被害にはつながりません。

  • 図6:ブラウザの警告画面例(左:Android端末、右:iPhone)(クリックして拡大)

(4) (追加情報)ヤマト運輸をかたるバリエーション

上記(1)の手口の「ヤマト運輸」版の相談が寄せられ、当窓口でも事象を確認しました。

ヤマト運輸をかたる偽の不在通知のSMSが届き、Android端末で偽SMSに記載のURLから偽サイトにアクセスすると、不審アプリのインストールへ誘導されます。偽サイトの画面が表示されると同時にダウンロードが始まります。

不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、寄せられた相談において「ヤマト運輸の不在通知をかたるSMSを、自身の端末から見知らぬ電話番号宛に多数送信される」という事例があったことから、今後、キャリア決済サービスの不正使用など、佐川急便の場合と同様の被害が想定されます。

なお、2018年12月11日時点では、iPhoneで偽SMSに記載のURLから偽サイトにアクセスすると、「ヤマト運輸」ではなく上記(2)と同様に「佐川急便」の偽サイトが表示され、そのサイト内をタップするとフィッシングサイトへ誘導されます。

対処方法

前述(1.(1)(2))の、佐川急便をかたる手口を参照してください。

2.被害に遭わないための対策

現在、佐川急便では、SMSによる不在通知の案内は行っていません(脚注5)。よって、佐川急便と称して送られてくるSMSは偽物であると判断ができます。佐川急便を名乗る不在通知のSMSを受信しても、決して記載されているURLをタップしないでください。

また、類似の被害に遭わないために、日頃からの対策を行ってください。

(1) 手口を知る

知らない危険を避けることは困難です。不審なアプリをインストールさせる手口(脚注6)や、フィッシングの手口(脚注7)の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。

(2) SMSやメール内のURLを安易にタップしない

リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。

(3) 提供元不明のアプリのインストールをするときは、細心の注意を払う(Android端末の場合)

Android端末では、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。

  • 通常は、アプリは公式マーケットで入手するようにしてください。あわせて、Android端末のセキュリティ設定(脚注8)で「提供元不明のアプリ」のインストール許可をオフにしておいてください。
  • 上記インストール許可をオフにしたうえで、提供元不明のアプリのインストール許可を求めるメッセージが表示された場合、そのアプリは公式マーケットから配信されているものではありません。インストールの許可をする前に、信頼できるものであるかを確認してください。

(4) パスワードや認証コード等を安易に入力しない

電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。

  1. (脚注5)
  2. (脚注6)
  3. (脚注7)
  4. (脚注8)

3. よくある質問

質問

従来型携帯電話(通称、ガラケー、フィーチャーフォン)に偽SMSが届いた。
従来型携帯電話に、不審なアプリをインストールしてしまうことはあるのか?

回答

SMSは電話番号を使って送受信するものであるため、従来型携帯電話にも偽SMSが届くことがあります。
不審なアプリは、Android端末用であるため、従来型携帯電話にはインストールできません(図8)。

  • 図8:従来型携帯電話で偽サイトにアクセスした場合に表示されることがある画面の例(被害無し)

しかし、近年の製品は、見た目は従来型携帯電話でも、OSにAndroidを使用しているものがあるため、機種によってはインストールができる可能性があります。
使用している端末が、Androidアプリをインストールできるものなのかは、携帯電話会社へ確認してください。

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

更新履歴

  • 2020年2月20日

    最新の安心相談窓口だよりの案内を追記

  • 2018年12月12日

    ヤマト運輸をかたる事例を追記

  • 2018年11月29日

    掲載