情報セキュリティ
公開日:2024年3月26日
独立行政法人情報処理推進機構
セキュリティセンター
企業をかたるメッセージから海外SMS送信に誘導される手口を確認
- URLをタップして操作を進めると、意図しない通信料の支払いにつながります -
「プレゼントを当てよう」といった内容の、企業をかたるメッセージが、LINEなどのメッセンジャーサービスに送られてくる手口を2022年12月頃より確認しています。
最近では以下のような相談が寄せられています。
IPAで最近の手口を確認したところ、URLリンクをタップすると偽のプレゼント当選サイトが表示されました。操作を進めると、海外へのSMS送信に誘導されることが分かりました。
そこで、本窓口だよりでは手口、影響、対処と被害にあわないための対策について解説します。
友達から、「プレゼントが当たる」といったような企業をかたるメッセージがLINEなどで送られてきます。(図1)
メッセージに表示されているURLリンクをタップすると、図2のような偽の企業サイトのアンケート回答画面が表示されます。アンケートに4問答えると、5万円が当たるくじ引きの箱のような画面が表示されます。2回程度箱を選択すると、当選の画面が表示されます。
当選後、商品を受け取るためには、図3のようにMessengerかLINEでメッセージを5つのグループまたは20人の友達と共有する操作が必要と誘導します。メッセージと「送信先を選択」が表示され、青いバーが100%になるまで選択を促され、送信先に選択した友達に図 1 のようなメッセージがすぐに送られます。なお、共有をしなくても「送信先を選択」を繰り返すだけで青いバーは100%となることから、攻撃者は共有状況の確認はしていないものと思われます。
次に進むと(図3の「続くをタップ」)、図4のように、再度「おめでとうございます!」と表示が出て、最後のステップで登録を完了する必要があるとの画面が出ます。タップして進むと、「ファイルのダウンロード」と表示され、さらにタップして進むと、表示されたコードをSMSで送信するように促されます。(ファイルのダウンロードはありません。)
さらに進むと、図5のように、海外の電話番号18個を1つのグループとして、同じメッセージを送信する寸前の状態になります。ここで送信ボタンを自分でタップするとSMSが送信されてしまいますが、タップしなければ送信はされません。
これは、一般的なHTMLのコード記述を用いて、指定した「電話番号」「メッセージ文」を入力した状態でSMS送信画面を起動しています。SMS送信の代わりに海外に電話を掛けさせる手口も確認しています。
SMSを送信すると、意図しない通信料が発生してしまいます。それ以外の被害は確認していません。
なお、本手口にて攻撃者がSMSを送信させる目的について、確かなことは把握していません。
送られてきたメッセージのURLリンクをタップせず、当該企業のホームページ等で真偽を確認してください。
偽の企業サイトへ誘導されるメッセージであることを友達に連絡して、URLをタップしてサイトにアクセスしないように注意してください。なお、偽の企業サイトにアクセスしただけでは、被害につながることはありません。
海外へSMSを送信したことによって、通信料が発生していることが考えられます。料金については通信会社にご確認ください。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2024年3月26日
掲載