情報セキュリティ
公開日:2018年11月29日
最終更新日:2020年2月20日
独立行政法人情報処理推進機構
セキュリティセンター
宅配便業者をかたる偽ショートメッセージに関する
新たな手口が出現し、iPhoneも標的に
- 不審アプリのインストールに加えて、フィッシングにも注意! -
※2020年2月20日追記
本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。
IPAでは2018年8月の安心相談窓口だよりにて、佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました(脚注1)。本件に関する相談は7月に急増したあと継続して寄せられており、10月には再度急増し11月はそれをさらに上回っています。また、偽のSMS内のURLから誘導される佐川急便の偽サイトでの手口に変化が見られます。
当初は、Android端末向けの不審なアプリ(脚注2)をインストールさせようとする手口のみでした。しかし、2018年8月以降、iPhoneやiPad等のiOS端末(以下iPhone)でアクセスした場合に、「電話番号と認証コード」や「Apple IDとパスワード」などの詐取を狙ったフィッシングサイトが表示される事例が確認されるようになりました。
これにより、Android端末利用者のみならず、iPhone利用者でも被害が発生しています。
そこであらためて、これまで確認できている手口と、被害に遭わないための対策について解説します。
(脚注1)「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
(脚注2)当該アプリはiOS(iPhone、iPad等)端末ではインストールできません。
Android端末で偽SMSに記載のURLから偽サイトにアクセスすると、不審アプリのインストールへ誘導されます。 以前は、サイト内をタップすることで不審なアプリのインストールファイルのダウンロードが始まりましたが、現在は、偽サイトの画面が表示されると同時にダウンロードが始まる事例を確認しています。
偽サイトに記載されている手順に従ってアプリをインストールしてしまうと、被害につながります。
不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、寄せられた相談内容から把握できた主な事例には以下のものがあります。
iPhoneで偽SMSに記載のURLから偽サイトにアクセスし、そのサイト内をタップすると、携帯電話会社が提供するキャリア決済サービスの悪用やApple IDを狙ったフィッシングサイトに誘導される場合があります。
フィッシングサイトでは、「Apple社から送られた製品はセキュリティの許可が必要」などのもっともらしい文言で、入力を促されます。
フィッシングサイトにて「電話番号」と「認証コード」の入力画面が表示された場合、これらを入力してしまうと、当該電話番号に紐付くキャリア決済サービスを不正使用される可能性があります。
入力してしまったことで、キャリア決済サービスによる、身に覚えのないAppleコンテンツ等の請求が発生したという事例を確認しています。
フィッシングサイトにて「Apple ID」と「パスワード」の入力画面が表示された場合、これらを入力してしまうと、Apple IDで利用できるサービスに不正ログインされる可能性があります。
ただし、Appleの2ファクタ認証(脚注4)を設定していた場合は、攻撃者が不正ログインを試みたときに通知が届くため、不正ログインを未然に防ぐことができます。
(脚注3)全国の消費生活センター等
(脚注4)2ファクタ認証の設定方法に関しては「不正ログイン対策特集ページ」を参照
偽サイトへアクセスしようとしたときに、ブラウザやセキュリティアプリが危険なサイトであると判断し、警告を表示する場合があります。
警告画面が表示された場合は、画面を閉じてください。警告を無視して先に進むことがなければ、被害にはつながりません。
上記(1)の手口の「ヤマト運輸」版の相談が寄せられ、当窓口でも事象を確認しました。
ヤマト運輸をかたる偽の不在通知のSMSが届き、Android端末で偽SMSに記載のURLから偽サイトにアクセスすると、不審アプリのインストールへ誘導されます。偽サイトの画面が表示されると同時にダウンロードが始まります。
不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、寄せられた相談において「ヤマト運輸の不在通知をかたるSMSを、自身の端末から見知らぬ電話番号宛に多数送信される」という事例があったことから、今後、キャリア決済サービスの不正使用など、佐川急便の場合と同様の被害が想定されます。
なお、2018年12月11日時点では、iPhoneで偽SMSに記載のURLから偽サイトにアクセスすると、「ヤマト運輸」ではなく上記(2)と同様に「佐川急便」の偽サイトが表示され、そのサイト内をタップするとフィッシングサイトへ誘導されます。
前述(1.(1)(2))の、佐川急便をかたる手口を参照してください。
現在、佐川急便では、SMSによる不在通知の案内は行っていません(脚注5)。よって、佐川急便と称して送られてくるSMSは偽物であると判断ができます。佐川急便を名乗る不在通知のSMSを受信しても、決して記載されているURLをタップしないでください。
また、類似の被害に遭わないために、日頃からの対策を行ってください。
知らない危険を避けることは困難です。不審なアプリをインストールさせる手口(脚注6)や、フィッシングの手口(脚注7)の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。
リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。
Android端末では、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。
電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。
従来型携帯電話(通称、ガラケー、フィーチャーフォン)に偽SMSが届いた。
従来型携帯電話に、不審なアプリをインストールしてしまうことはあるのか?
SMSは電話番号を使って送受信するものであるため、従来型携帯電話にも偽SMSが届くことがあります。
不審なアプリは、Android端末用であるため、従来型携帯電話にはインストールできません(図8)。
しかし、近年の製品は、見た目は従来型携帯電話でも、OSにAndroidを使用しているものがあるため、機種によってはインストールができる可能性があります。
使用している端末が、Androidアプリをインストールできるものなのかは、携帯電話会社へ確認してください。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2020年2月20日
最新の安心相談窓口だよりの案内を追記
2018年12月12日
ヤマト運輸をかたる事例を追記
2018年11月29日
掲載