情報セキュリティ
公開日:2021年6月23日
独立行政法人情報処理推進機構
セキュリティセンター
安易に運転免許証など本人確認書類の写真を送信しないで!
ー 不在通知の偽SMSで新たな手口の相談が増加中 ー
IPA情報セキュリティ安心相談窓口には、2018年より宅配便業者をかたる偽ショートメッセージ(以下SMS)の手口に関する相談が継続して多数(約4,500件)寄せられており、注意喚起を繰り返し行ってきました。(脚注1)
これまで確認されてきた手口は主に、Android向けには「不審アプリをインストールさせる手口」、iPhoneやiPadなどのiOS端末(以下iPhone)向けには「フィッシングサイトにApple IDとパスワードや電話番号を入力させる手口」でした。
しかし2021年5月初旬ごろから、上記の従来の手口に加えて、宅配便業者の再配達受付サイトを装った偽サイトで運転免許証等の本人確認書類の写真を詐取する新たな手口に関する相談が増加しています。本手口に関する相談は今年の4月から現時点(6月22日)の間に約50件寄せられています。
そこで、今回確認した手口、影響と対処、被害にあわないための対策について解説します。
なお、これまでの手口も継続して確認されていますので注意をしてください。
これまでの手口の注意喚起
(脚注1)
手口の流れ
1-1. 偽不在通知SMSを受信する
1-2. URLをタップして偽サイトにアクセスし、情報を入力してしまう
下記の様な宅配便の不在通知を装った偽SMSを受信します。
偽SMSに記載されているURLをタップすると、佐川急便を装った再配達受付の偽サイトに誘導されます。
偽サイトに記載されている指示にしたがい「電話番号」、「本人確認書類(マイナンバーカード、運転免許証、パスポート)の写真」、「メールアドレス」を入力すると、それらの情報が相手に伝わってしまうと考えられます。
最後まで入力を進めてしまうと、最終的には正規の佐川急便のサイトへ誘導されます。
なお、現時点(2021年6月23日)ではAndroid、iPhoneともに同じ手口内容となっています。
入力した電話番号やメールアドレスあてに、不審なSMSや迷惑メールが届く可能性が考えられます。
電話番号、メールアドレスの変更をすぐに行う必要性はありませんが、不審なSMSや迷惑メールの受信に注意してください。
運転免許証、マイナンバーカード、パスポートの写真が悪意ある第三者に渡った場合に起こりえる影響や被害について、当窓口では現在情報を持ち合わせておりません。
どのような対処が必要か以下の窓口等にご相談されることをご検討ください。
信用情報機関に対する本人確認書類の盗難等の「本人申告」については下記の各機関のページをご参照いただき、必要に応じてご相談されることをご検討ください。
それ以外の手口も含めて被害に遭わないために、日頃から次のような対策をしてください。
知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。
リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。
Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。
電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2021年6月23日
掲載