宅配便業者に加えて通信事業者をかたる
偽ショートメッセージサービス(SMS)が増加中
~偽SMSから不正アプリのインストールやフィッシングの被害にあう手口に
引き続き注意!~
HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより
掲載日:2021年 12月 22日
独立行政法人情報処理推進機構
セキュリティセンター
(PDFはこちら)
IPAでは、安心相談窓口だよりにて宅配便業者をかたる偽ショートメッセージサービス(以下SMS)の手口について取り上げてきました(*1)。本手口に関する相談は継続して寄せられていますが、最近の相談内容からは通信事業者をかたった偽SMSの出現や、被害につながる手口の変化が確認されています。
そこで、本窓口だよりでは、これまでの窓口だよりで解説してきた内容と、最近確認されている相談内容を集約し、手口、影響、対処と被害にあわないための対策についてあらためて解説します。
これまで多くの相談を受けていた佐川急便、日本郵便、ヤマト運輸などの宅配便業者をかたり、お荷物の宛先不明やお荷物を持ち帰ったなどの偽の文面からURLをタップさせていた偽SMSについて、新たに通信事業者をかたる偽SMSが加わり、利用料金の支払いが確認できないなどの偽の文面からURLをタップさせようとしています。最近の相談内容から、au(KDDI)、ドコモなどの通信事業者をかたっていることが確認されています(図1)。
通信事業者をかたる偽SMSは10月頃から相談を受けるようになりました(図2)。偽SMSの手口は、これまでにもかたるブランド名を変えてきた経緯(*2)もあり、今後も利用者が多いブランド名をかたり継続すると考えられます。
また、Androidを狙った偽SMSでは不正なアプリをインストールさせる手口において正規のセキュリティアプリを削除させる場合があることや、iPhoneを狙った偽SMSでは偽サイトへ誘導して未払金があるように思わせる手口が新たに加わるなど変化が見られます(図3)。
Androidを狙った最近の手口では、大きく分けて次の2つの手口が確認されています。
① 偽SMSを受信し、記載のURLをタップして、偽サイトにアクセスする。 ②~④ 利用者を煽るような偽の画面が表示され対処を促すように誘導される。 ⑤~⑫ 不正なアプリ(偽のセキュリティアプリ)をダウンロードして、インストールする。
⑬ 不正なアプリのインストールが終わった後、正規のセキュリティアプリの削除に誘導される場合がある(図5)。 ⑭~⑰ 偽のセキュリティアプリが、正規のセキュリティアプリを削除する。
削除される正規のセキュリティアプリは次の3つを確認しています(図6)。
① 偽SMSを受信し、記載のURLをタップして、偽サイトへアクセスする。 ②~④ 表示されたメッセージに従い、不正なアプリのファイルを保存(ダウンロード)する。 ⑤~⑪ 表示されたメッセージに従い、不正なアプリをインストールする。 このあとに、フィッシングサイト(IDやパスワードを入力する画面)に移動することがある。
Androidでの影響は、次のような事例が確認されています。
●同じ内容の偽SMSを送信
●スマートフォン内のデータの不正使用
当窓口には、次のような相談が寄せられています。
●スマートフォンのセキュリティ対策の一部が機能しなくなる
●入力した情報の不正使用
Androidでの対処は、次のとおりです。
①スマートフォンを機内モードに
②不正アプリのアンインストール
③スマートフォンの初期化
④アカウントのパスワード変更
⑤キャリア決済の請求確認
⑥その他アカウントサービス等の不正使用確認
※SMSは初期化をすると消えてしまうため、初期化する前に上記を確認してください。
●アカウントのパスワード変更
iPhoneを狙った最近の手口では、大きく分けて次の2つの手口が確認されています。
① 偽SMSを受信し、記載のURLをタップして、フィッシングサイトにアクセスする。 ②~⑥ au IDとパスワードを入力すると、未払い料金を請求する偽のメッセージと偽の請求額が表示される。 ⑦~⑨ iTunesギフトカードのシリアル番号(ギフトカード番号、PINコードともいう)を入力する。
① 偽SMSを受信し、記載のURLをタップして、フィッシングサイトにアクセスする。 ②~⑦ Apple IDとパスワードを入力し、着信したApple ID確認コードを入力する。(Apple ID確認コード入力がない場合もある) ⑧~⑩ クレジットカード情報等を入力する。
iPhoneでの影響は、次のような事例が確認されています。
●アカウントの不正ログインや不正使用
特に、フィッシングサイトに認証コードを入力した場合は、被害につながる可能性が高くなります。
当窓口には、次のような相談が寄せられています。
●クレジットカード情報の不正使用
●ギフトカードのシリアル番号(ギフトカード番号、PINコードともいう)を入力することによる金銭的被害
iPhoneでの対処は、次のとおりです。
●アカウントのパスワード変更
●クレジットカード会社へ連絡
●キャリア決済の請求確認
被害に遭わないために、日頃から次のような対策をしてください。
本手口において、よくある質問は次の通りです。
質問 | 回答 | |
相談事例1 | 偽SMSをタップしてしまい、サイトにアクセスしたが何の操作も入力もせずに閉じた。なにか被害があるか? | 偽サイトにアクセスしただけであれば、被害にはつながりません。 ■Androidの場合: 表示されたメッセージに沿って操作(アプリのインストール)をしていなければ、影響はありません。自身の操作なしにアプリがインストールされることはありません。 なお、アプリのファイル(APKファイル)がスマートフォン内のダウンロードフォルダ等にあった場合は、念のため削除してください。 ■iPhoneの場合: 何も入力していなければ、影響はありません。 |
相談事例2 | Androidで不正アプリをダウンロードしたが、インストールはしていない。なにか被害があるか? | 不正アプリをダウンロードしただけで、インストールしていなければ被害は発生しません。 念のため、スマートフォン内のダウンロードフォルダ等にある当該アプリのファイル(APKファイル)を削除してください。 なお、インストール作業であると知らずに操作を進め、被害に遭った事例も寄せられています。 手口に遭遇した際の操作内容が不明瞭で、インストールをしたかどうか分からない場合等は、SMSの大量送信やキャリア決済サービスの不正使用等の被害が出ていないかどうか、携帯電話会社に確認することを推奨します。 |
相談事例3 | Androidで不正アプリをインストールしたが、電話番号を変更すれば、勝手にSMSを送信されたり、スマホ内のデータを不正使用されたりすることはなくなるか? | 電話番号を変更しても、それらの事象への対処にはなりません。初期化等を実施してください。(Androidの対処<2-1-3.対処>をご参照) |
相談事例4 | Androidに不正アプリをインストールしたが、スマートフォンを買い替えなくてはいけないか? | スマートフォンを初期化することで、不正アプリの影響を取り除くことができます。買い替えの必要はありません。 |
相談事例5 | SMSを送ってきた人が攻撃者なのか? | 攻撃者の可能性もありますが、自身のAndroidに不正アプリをインストールした被害者の方から送られてきている可能性もあります。(Androidの被害<2-1-2.影響>をご参照) |
本手口に関する検証動画をYouTubeに投稿しておりますので、合わせてご覧ください。
2021年12月22日 | 掲載 |
---|
※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。