情報セキュリティ
公開日:2019年3月20日
最終更新日:2020年2月20日
独立行政法人情報処理推進機構
セキュリティセンター
宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現
ー iPhoneで不審な「構成プロファイル」をインストールしないで! ー
※2020年2月20日追記
本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。
IPAでは2018年8月と11月の安心相談窓口だよりにて、佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました (脚注1)(脚注2)。本件に関する相談は継続して寄せられており、さらに、新しい手口が確認されました。
これまでiPhoneやiPadなどのiOS端末(以下iPhone)でアクセスした場合は、フィッシングサイトで「Apple IDとパスワード」や「電話番号と認証コード」を入力させる手口が確認されていました。しかし、本年3月のはじめごろから、不審な「構成プロファイル」をインストールさせてからフィッシングサイトに誘導する手口が確認されるようになり、3月19日時点で22件の相談が寄せられています。
(脚注1) 「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
(脚注2) 「宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に」
構成プロファイル(脚注3)とは 、iPhoneの各種設定を自動で行うためのファイルです。
iPhoneで偽SMSに記載のURLからアクセスすると、不審な構成プロファイルのインストールに誘導される場合があります。構成プロファイルをインストールしてしまった場合、Apple IDのアカウント情報を入力させるフィッシングサイトに誘導されます。
(脚注3) 不正な構成プロファイルをインストールさせる手口は過去にも確認されており、不用意に構成プロファイルをインストールすることにはリスクが伴います。 トレンドマイクロ株式会社:セキュリティブログ「iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説」
佐川急便では、SMSによる不在通知の案内は行っていません。
佐川急便を名乗る不在通知のSMSを受信しても、決して記載されているURLをタップしないでください。
SMSやメール内のURLを、安易にタップしない。
信頼性が不明なアプリや構成プロファイルなどを、安易にインストールしない。
パスワードや認証コードなどを、安易に入力しない。
独立行政法人情報処理推進機構 セキュリティセンター
情報セキュリティ安心相談窓口
※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2020年2月20日
最新の安心相談窓口だよりの案内を追記
2019年3月20日
掲載