情報セキュリティ
公開日:2022年10月31日
独立行政法人情報処理推進機構
セキュリティセンター
国税庁をかたる偽ショートメッセージサービス(SMS)や偽メールに注意
ー不審なショートメッセージやメールのURLに触れないで!ー
IPAでは、安心相談窓口だよりにて宅配便業者や通信事業者をかたる偽ショートメッセージサービス(以下SMS)の手口やフィッシングメールの手口について取り上げてきました(注釈1 )。本手口に関する相談は継続して寄せられていますが、8月頃から国税庁をかたった偽SMSや偽メールが確認されています(図1)。
そこで、本窓口だよりでは、最近確認されている相談内容から、手口、影響、対処と被害にあわないための対策についてあらためて解説します。
スマートフォンのSMSにおいて、宅配便業者や通信事業者をかたり偽の文面からURLをタップさせていた手口について、新たに国税庁をかたる偽SMSが加わり、重要なお知らせなどの偽の文面からURLをタップさせようとしています。また、メール(E-mail)においても国税庁をかたる偽メールがばらまかれ、偽の文面からURLをタップ(クリック)させようとしています(図2)。
偽SMSのURLをタップすると、プリペイドカードの発行番号やクレジットカード情報を入力させるフィッシングサイトに誘導される手口と、Android端末においては不正なアプリがインストールされる等の手口が確認されています(図3)。偽メールでは、URLをタップ(クリック)すると、偽SMSの場合と同じフィッシングサイトに誘導される手口が確認されています(図4)。
国税庁をかたる偽SMSや偽メールについて、当窓口では8月に初めて当該手口の相談が寄せられ、8月において8件、9月には15件の相談が寄せられています。偽メールの手口については、スマートフォンやパソコン・タブレットといったデバイス種別によらずメールアドレスを所有しているユーザ全体が対象になるため、手口のおよぶ対象が拡大する懸念があります。
国税庁になりすましたフィッシングサイトへ誘導する手口では、次の2つの手口が確認されています。
(1)偽SMSまたは偽メールを送り付け、記載のURLをタップ(クリック)させ、国税庁になりすましたサイトへアクセスさせる。
※図では偽SMSの場合でAndroidの画面遷移を例示
(2)~(3)フィッシングサイトへ誘導してメールアドレス、電話番号、氏名などの個人情報を入力させる。
(4)~(11)プリペイドカードの発行番号や額面を入力させ、さらに券面の写真を撮影して送信させる。
(1)偽SMSまたは偽メールを送り付け、記載のURLをクリック(タップ)させ、国税庁になりすましたサイトへアクセスさせる。
※図では偽メールの場合でパソコンのブラウザでの画面遷移を例示
(2)~(3) 偽の請求メッセージや支払いについて表示する。
(4)クレジットカード情報を入力させる。
(5)認証コードを入力させる。
フィッシングサイトに入力した情報は取り返すことができません。情報を入力してしまった場合は、その情報に応じた対処をしてください。
必要に応じてカードの発行元もしくは最寄りの消費生活センターにご相談してください(注釈2 )。
クレジットカードが不正使用されていないか確認してください。不安があれば、カード機能の一時停止や番号変更などクレジットカード会社への連絡を検討してください。
さらなる被害につながる不審なメールやSMSが届いたりする可能性があります。相手があたかもあなた自身のことを知っているかのような文面を作成することも可能であるため、詐欺などの手口に十分注意するようにしてください。
Androidに不正なアプリをインストールする手口では、大きく分けて次の2つの手口が確認されています。
(1)偽SMSを送り付け、記載のURLをタップさせ、偽サイトにアクセスさせる。
(2)利用者を煽るような偽の画面を表示し、対処を促すように誘導する。
(3)~(10) 不正なアプリをダウンロードさせ、インストールさせる。
(11)~(14) 過去の事例においてau IDの認証に必要な情報を入力させる手口があった。
(1)偽SMSを送り付け、記載のURLをタップさせ、偽サイトへアクセスさせる。
(2)~(4) 偽の警告を表示し、不正なアプリのファイルをダウンロード(保存)させる。
(5)~(12) ダウンロードした不正なアプリをインストールさせる。
(13)~(16) 不正アプリによって正規のセキュリティアプリがアンインストールされる。
Androidに不正なアプリをインストールさせる手口の影響としては、以下の事例が確認されています。
Androidでの対処は、次のとおりです。
被害に遭わないために、日頃から次のような対策をしてください。
関係各機関の注意喚起
各キャリアの迷惑SMSの拒否設定等の案内
本手口において、よくある質問は次の通りです。
偽サイトにアクセスしただけであれば、被害にはつながりません。
URLを見ただけで、リンク先の真偽を判別することは一般的には難しいです。
http:// と https:// の違いについて端的に言うならば通信が暗号化されているかいないかの違いだけであり、サイトの安全性を判別することはできません。
スマートフォンを初期化することで、不正アプリの影響を取り除くことができます。買い替えの必要はありません。
攻撃者の可能性もありますが、不正アプリをインストールしてしまった被害者の方から送られてきている可能性もあります。(Android端末に不正なアプリがインストールされる手口の被害<3-2.影響>参照)
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2022年10月31日
掲載