HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第18-10-385号
掲載日:2018年 11月 29日
独立行政法人情報処理推進機構
セキュリティセンター
(PDFはこちら)

安心相談窓口だより

宅配便業者をかたる偽ショートメッセージに関する
新たな手口が出現し、iPhoneも標的に
~ 不審アプリのインストールに加えて、フィッシングにも注意! ~

一覧を見る

IPAでは2018年8月の安心相談窓口だよりにて、佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました(*1)。本件に関する相談は7月に急増したあと継続して寄せられており、10月には再度急増し11月はそれをさらに上回っています。また、偽のSMS内のURLから誘導される佐川急便の偽サイトでの手口に変化が見られます。

当初は、Android端末向けの不審なアプリ(*2)をインストールさせようとする手口のみでした。しかし、2018年8月以降、iPhoneやiPad等のiOS端末(以下iPhone)でアクセスした場合に、「電話番号と認証コード」や「Apple IDとパスワード」などの詐取を狙ったフィッシングサイトが表示される事例が確認されるようになりました。

これにより、Android端末利用者のみならず、iPhone利用者でも被害が発生しています。

そこであらためて、これまで確認できている手口と、被害に遭わないための対策について解説します。

 

図1:IPAに寄せられた「佐川急便をかたる偽SMS」に関する相談件数の推移
図1:IPAに寄せられた「佐川急便をかたる偽SMS」に関する相談件数の推移

 

図2:アクセスする端末種類毎の手口分類
図2:アクセスする端末種類毎の手口分類

 

 
(*1)
「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html
(*2)
当該アプリはiOS(iPhone、iPad等)端末ではインストールできません。


1.手口の主な流れと対処方法

① 不審アプリをインストールさせる手口(Android端末)

Android端末で偽SMSに記載のURLから偽サイトにアクセスすると、不審アプリのインストールへ誘導されます。 以前は、サイト内をタップすることで不審なアプリのインストールファイルのダウンロードが始まりましたが、現在は、偽サイトの画面が表示されると同時にダウンロードが始まる事例を確認しています。



図3:Android端末で偽サイトにアクセスした場合の事例
図3:Android端末で偽サイトにアクセスした場合の事例(クリックして拡大)


偽サイトに記載されている手順に従ってアプリをインストールしてしまうと、被害につながります。

不審なアプリを入れたことによるスマートフォンへの影響の詳細はわかっていませんが、寄せられた相談内容から把握できた主な事例には以下のものがあります。

  • 佐川急便の不在通知をかたるSMSを、自身の端末から見知らぬ電話番号宛に多数送信される
  • キャリア決済サービスを不正使用される


◆対処方法



② フィッシングサイトで情報を入力させる手口(iPhone)

iPhoneで偽SMSに記載のURLから偽サイトにアクセスし、そのサイト内をタップすると、携帯電話会社が提供するキャリア決済サービスの悪用やApple IDを狙ったフィッシングサイトに誘導される場合があります。

フィッシングサイトでは、「Apple社から送られた製品はセキュリティの許可が必要」などのもっともらしい文言で、入力を促されます。



キャリア決済サービスの不正使用を狙ったフィッシング

フィッシングサイトにて「電話番号」と「認証コード」の入力画面が表示された場合、これらを入力してしまうと、当該電話番号に紐付くキャリア決済サービスを不正使用される可能性があります。

入力してしまったことで、キャリア決済サービスによる、身に覚えのないAppleコンテンツ等の請求が発生したという事例を確認しています。



図4:iPhoneで偽サイトにアクセスした場合の事例(1)
図4:iPhoneで偽サイトにアクセスした場合の事例(1)(クリックして拡大)


◆対処方法

  • 偽サイトや、フィッシングサイトが表示された場合は、画面を閉じてください。フィッシングサイトに入力をしていなければ、被害にはつながりません。
  • 電話番号と認証コードを入力してしまった場合は、すぐにお使いの携帯電話会社に不正なキャリア決済が発生していないか確認してください。
  • キャリア決済が発生していた場合は、携帯電話会社や、キャリア決済が利用されたサービスの提供会社に相談してください。それでも問題が解決せず、契約関連について公的機関への相談が必要な場合は、最寄りの消費生活センター(*3)に相談してください。


Apple ID を狙ったフィッシング

フィッシングサイトにて「Apple ID」と「パスワード」の入力画面が表示された場合、これらを入力してしまうと、Apple IDで利用できるサービスに不正ログインされる可能性があります。

ただし、Appleの2ファクタ認証(*4)を設定していた場合は、攻撃者が不正ログインを試みたときに通知が届くため、不正ログインを未然に防ぐことができます。



図5:iPhoneで偽サイトにアクセスした場合の事例(2)
図5:iPhoneで偽サイトにアクセスした場合の事例(2)(クリックして拡大)


◆対処方法

  • 偽サイトや、フィッシングサイトが表示された場合は、画面を閉じてください。フィッシングサイトに入力をしていなければ、被害にはつながりません
  • Apple IDとパスワードを入力してしまった場合は、速やかにパスワードを変更してください。
 
(*3)
全国の消費生活センター等
http://www.kokusen.go.jp/map/別ウィンドウで開く
(*4)
2ファクタ認証の設定方法に関しては「不正ログイン対策特集ページ」を参照
https://www.ipa.go.jp/security/anshin/account_security.html

③ (参考)危険なサイトを知らせる警告が表示された場合

偽サイトへアクセスしようとしたときに、ブラウザやセキュリティアプリが危険なサイトであると判断し、警告を表示する場合があります。

警告画面が表示された場合は、画面を閉じてください。警告を無視して先に進むことがなければ、被害にはつながりません。



図6:ブラウザの警告画面例(左:Android端末、右:iPhone)
図6:ブラウザの警告画面例(左:Android端末、右:iPhone)(クリックして拡大)


2.被害に遭わないための対策

現在、佐川急便では、SMSによる不在通知の案内は行っていません(*5)。よって、佐川急便と称して送られてくるSMSは偽物であると判断ができます。佐川急便を名乗る不在通知のSMSを受信しても、決して記載されているURLをタップしないでください。

また、類似の被害に遭わないために、日頃からの対策を行ってください。


① 手口を知る

知らない危険を避けることは困難です。不審なアプリをインストールさせる手口(*6)や、フィッシングの手口(*7)の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。

② SMSやメール内のURLを安易にタップしない

リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。

③ 提供元不明のアプリのインストールをするときは、細心の注意を払う(Android端末の場合)

Android端末では、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。

  • 通常は、アプリは公式マーケットで入手するようにしてください。あわせて、Android端末のセキュリティ設定(*8)「提供元不明のアプリ」のインストール許可をオフにしておいてください。
  • 上記インストール許可をオフにしたうえで、提供元不明のアプリのインストール許可を求めるメッセージが表示された場合、そのアプリは公式マーケットから配信されているものではありません。インストールの許可をする前に、信頼できるものであるかを確認してください。

④ パスワードや認証コード等を安易に入力しない

電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。

 
(*5)
佐川急便株式会社「佐川急便を装った迷惑メールにご注意ください」
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/別ウィンドウで開く
(*6)
Android OSを標的とした不審なアプリに関する注意喚起
https://www.ipa.go.jp/security/topics/alert20120523.html
(*7)
フィッシング対策協議会 ガイドライン一覧
https://www.antiphishing.jp/report/guideline/別ウィンドウで開く
(*8)
Androidヘルプ 他の提供元からのアプリの入手をオフにする
https://support.google.com/android/answer/7391672別ウィンドウで開く

3. よくある質問

 
質問
回答
従来型携帯電話(通称、ガラケー、フィーチャーフォン)に偽SMSが届いた。
従来型携帯電話に、不審なアプリをインストールしてしまうことはあるのか?
SMSは電話番号を使って送受信するものであるため、従来型携帯電話にも偽SMSが届くことがあります。
不審なアプリは、Android端末用であるため、従来型携帯電話にはインストールできません(図7)。
しかし、近年の製品は、見た目は従来型携帯電話でも、OSにAndroidを使用しているものがあるため、機種によってはインストールができる可能性があります。
使用している端末が、Androidアプリをインストールできるものなのかは、携帯電話会社へ確認してください。
図7:従来型携帯電話で偽サイトにアクセスした場合に表示されることがある画面の例(被害無し)
図7:従来型携帯電話で偽サイトにアクセスした場合に表示されることがある画面の例(被害無し)

アンケートのお願い

まもるくんからのお願い   よろしければ今後のサービス向上を図るため、「安心相談窓口だより - 宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に」に関するアンケートにご協力ください。

アンケート画面へ

更新履歴

2018年11月29日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 セキュリティセンター 中島/浅井

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。