HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第18-06-381号
掲載日:2018年 8月 8日
独立行政法人情報処理推進機構
セキュリティセンター

安心相談窓口だより

宅配便業者をかたる偽ショートメッセージに関する相談が急増中
~ 誘導されるままAndroid端末にアプリをインストールしないように! ~

一覧を見る

「佐川急便をかたるショートメッセージサービス(以下SMS)から偽のサイトに誘導され、スマートフォンに不審なアプリをインストールしてしまった」という相談は今年1月5件、2月3件、4月1件と、これまでわずかでした。しかし、7月の中旬から急増し7月の1か月間で110件にのぼりました。

佐川急便の偽サイトにはAndroid向けの不審なアプリをインストールさせるリンクが仕込まれています。これをAndroidスマートフォンにインストールした場合、自分のスマートフォンからも“佐川急便をかたるSMSが”不特定多数(自分のアドレス帳に無いあて先)に向けて送信されてしまう事象が確認されています。

なお、iOS(iPhone、iPad等)の端末では当該アプリがインストールされることはありません。

図1.不審アプリをインストールするまでのステップと基本的な対策
図1.不審アプリをインストールするまでのステップと基本的な対策

1.被害に遭わないための対策

不審なSMSのURLをタップしない

現在、佐川急便では、SMSによる不在通知の案内は行っていません。(*1)よって、佐川急便と称して送られてくるSMSは偽物であると判断ができます。そのため、佐川急便をかたるSMSを受信しても、記載されているURLをタップしないようにしてください。

提供元不明のアプリのインストール許可を“オフ”にしておく

Androidスマートフォンのセキュリティ設定(*2)で、「提供元不明のアプリ」をオフにしてください。今回の不審なアプリは、公式のアプリマーケット(Google Play等)からは配信されていません。公式マーケット以外からアプリをインストールしようとする場合、許可をオフにしていると、インストールをブロックする警告が一旦表示されます。そこから先の設定には進まず、インストールをキャンセルしてください。

図2:インストール許可設定の画面例
図2:インストール許可設定の画面例

図3:インストールのブロック画面例
図3:インストールのブロック画面例

 
(*1)
佐川急便株式会社「佐川急便を装った迷惑メールにご注意ください」
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/別ウィンドウで開く
(*2)
Android OSのバージョンにより設定方法が異なる場合があるため、不明な場合はお使いの携帯電話会社等にご確認ください。

2.不審なアプリをインストールしてしまうまでの主な流れ

Androidスマートフォンにおける、アプリインストールまでの主な流れと画面について解説します。

(1)佐川急便をかたった偽の不在通知のSMSを受信する。

図4:偽の不在通知のSMS画面例
※SMSで記載されているURLは実在とは異なる偽URLであり、複数種類のURLが確認されている。
図4:偽の不在通知のSMS画面例

(2)SMS内のURLをタップし、アクセスした結果、表示された佐川急便の偽サイト。

偽サイト内では、画面のどの領域をタップしても、アプリのダウンロードが始まってしまう。

図5:偽サイトのトップ画面
図5:偽サイトのトップ画面

(3)ダウンロードしたアプリを、偽サイトに記載されている手順に従ってインストールする。

図6:偽サイトの手順説明画面
図6:偽サイトの手順説明画面

3.アプリの権限とその影響

Googleの権限一覧画面によると、インストールしたアプリは、スマートフォンの下記の機能や情報にアクセスする権限を持っています。

これらの権限により例えば「スマーフォンを不正に操作される」「スマートフォン内の情報が外部に送信される」といった可能性が考えられます。

  • 端末のステータスとIDの読み取り
  • 電話番号発信
  • 発信先の変更
  • テキストメッセージ(MMS)の受信
  • テキストメッセージ(SMS)の受信
  • テキストメッセージ(SMSまたはMMS)の読み取り
  • テキストメッセージ(SMSまたはMMS)の編集
  • SMSメッセージの送信
  • 録音
  • 連絡先の読み取り
  • SDカードのコンテンツの読み取り
  • SDカードのコンテンツの変更または削除
  • 画面ロックの無効化
  • この端末上のアカウントの検索
  • ネットワークへのフルアクセス
  • ネットワーク接続の表示
  • ネットワーク接続の変更
  • Wi-Fiからの接続と切断
  • Wi-Fi接続の表示
  • 起動時の実行
  • 実行中のアプリの取得
  • 他のアプリの終了
  • 他のアプリの上に重ねて表示
  • 端末のスリープを無効にする
  • 音声設定の変更
  • ステータスバーの拡大/縮小
図7:アプリの権限一覧画面1
図7:アプリの権限一覧画面

4.不審なアプリをインストールしてしまった場合の影響

今回の偽サイトから不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、IPAによせられた相談内容から把握できた現象には以下のものがあります。

佐川急便の不在通知をかたるSMSを送信

  • 不審なアプリをインストールしたスマートフォンからも、同じ内容のSMSが送信される。
  • その宛先は被害端末内に登録されていた連絡先情報(電話番号)ではありません。
  • 不審アプリをインストールした端末に、“1日あたりのSMS送信上限数に達した”というメッセージが表示される。
  • 不審アプリをインストールしたスマートフォンから送信されたSMSを受信した相手に、当該スマートフォンの電話番号が知られてしまう。その結果、受信者から、当該SMSの真偽を問う電話やSMSが返信される。

スマートフォンと紐づくアカウントの不正利用の可能性

  • 携帯電話会社が提供するキャリア決済サービスにて、身に覚えのないAppleデジタルコンテンツ等の請求が発生したという相談を数件確認しており、不正利用の可能性が考えらえます。
  • Googleアカウントに身に覚えのないアクセス履歴があったという相談を数件確認しています。Googleアカウントや、スマートフォンで利用しているSNS等のサービスのアカウントへの不正ログインの可能性が考えられます。

5.不審なアプリをインストールしてしまった場合の対処

スマートフォンを機内モードに

  • スマートフォンを機内モードに設定してください。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能です。また、当該スマートフォン内の情報が外部に送信されることもなくなります。

不審アプリのアンインストール

  • 機内モードの状態で、佐川急便という名称のアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たにSMSは送信されません。正規の佐川急便アプリを使用する場合は、別途Google Playからインストールするようにしてください。

アンインストール方法:設定⇒アプリ⇒佐川急便⇒アンインストール

図11:アプリ一覧画面
図11:アプリ一覧画面

スマートフォンの初期化

  • 不審なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨します。
  • 初期化の実施後にデータの復元を行う際は、不審なアプリをインストールした時点より前のバックアップデータを使用してください。初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。

アカウントのパスワード変更

  • 初期化後にGoogleアカウント、およびスマートフォンで利用しているSNS等のサービスのアカウントのパスワードを変更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「2段階認証」が提供されている場合、利用することを推奨します。(*3)

キャリア決済の請求確認

  • 身に覚えのないキャリア決済の請求発生について不安がある場合は、お使いの携帯電話会社にそのような請求が発生していないか確認してください。
 
(*3)
「不正ログイン対策特集ページ」
https://www.ipa.go.jp/security/anshin/account_security.html

6.その他のよくある質問

本手口において、上記以外のよくある質問は次のとおりです。

質問① iOS(iPhone、iPad等)の端末の場合、偽サイトから不審なアプリはインストールされるのか? iOSの端末は公式のアプリマーケットである、App Storeからしかアプリをインストールすることはできません。現在確認できている不審なアプリは、Android端末向けであり、App Storeから配信されていません。そのため、iOSの端末に不審なアプリがインストールされることはありません。
質問② 国際SMSが発信されたたことで、高額な通信料金が発生した場合や、身に覚えのないキャリア決済の料金が発生した場合、当該料金の支払いについてどこに相談すればよいのか? まずは料金が発生した携帯電話会社や、Apple等のサービスの提供会社にご相談ください。それでも問題が解決せず、公的機関への相談が必要な場合は、最寄りの消費生活センターにご相談ください。

(ご参考)

  全国の消費生活センター等(電話:局番なしの188)
  http://www.kokusen.go.jp/map/別ウィンドウで開く

更新履歴

2018年10月 9日 「3.アプリの権限とその影響」 の権限一覧、画像を修正
2018年 8月24日 提供元不明アプリのインストール設定方法について(*2)を追記
2018年 8月 8日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 セキュリティセンター 中島/加賀谷

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。