HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

掲載日:2021年 12月 22日
独立行政法人情報処理推進機構
セキュリティセンター
(PDFはこちら)

安心相談窓口だより

宅配便業者に加えて通信事業者をかたる
偽ショートメッセージサービス(SMS)が増加中
~偽SMSから不正アプリのインストールやフィッシングの被害にあう手口に
引き続き注意!~

一覧を見る

IPAでは、安心相談窓口だよりにて宅配便業者をかたる偽ショートメッセージサービス(以下SMS)の手口について取り上げてきました(*1)。本手口に関する相談は継続して寄せられていますが、最近の相談内容からは通信事業者をかたった偽SMSの出現や、被害につながる手口の変化が確認されています。

そこで、本窓口だよりでは、これまでの窓口だよりで解説してきた内容と、最近確認されている相談内容を集約し、手口、影響、対処と被害にあわないための対策についてあらためて解説します。

目次

 
(*1)
「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html
「宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に」
https://www.ipa.go.jp/security/anshin/mgdayori20181129.html
「宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現」
https://www.ipa.go.jp/security/anshin/mgdayori20190320.html
「宅配便業者をかたる偽ショートメッセージに引き続き注意!」
https://www.ipa.go.jp/security/anshin/mgdayori20200220.html

1.概要

これまで多くの相談を受けていた佐川急便、日本郵便、ヤマト運輸などの宅配便業者をかたり、お荷物の宛先不明やお荷物を持ち帰ったなどの偽の文面からURLをタップさせていた偽SMSについて、新たに通信事業者をかたる偽SMSが加わり、利用料金の支払いが確認できないなどの偽の文面からURLをタップさせようとしています。最近の相談内容から、au(KDDI)、ドコモなどの通信事業者をかたっていることが確認されています(図1)。

図1:宅配便業者に加えて通信事業者がかたられるようになった偽SMSの一例
図1:宅配便業者に加えて通信事業者がかたられるようになった偽SMSの一例(クリックして拡大)

通信事業者をかたる偽SMSは10月頃から相談を受けるようになりました(図2)。偽SMSの手口は、これまでにもかたるブランド名を変えてきた経緯(*2)もあり、今後も利用者が多いブランド名をかたり継続すると考えられます。

 
(*2)
2018年7月 Androidを狙った110件の佐川急便をかたる偽SMS
2018年8月 iPhoneも標的になる
2020年2月 ヤマト運輸、日本郵便をかたる偽SMSの相談件数増加
2020年6月 GoogleサービスやGoogle Chromeのアップデートと称して不審アプリのインストールを誘導する手口が出始める
2021年10月 au、ドコモをかたる偽SMSの相談が増加

図2:2021年における偽SMSに関する相談件数の推移
図2:2021年における偽SMSに関する相談件数の推移

また、Androidを狙った偽SMSでは不正なアプリをインストールさせる手口において正規のセキュリティアプリを削除させる場合があることや、iPhoneを狙った偽SMSでは偽サイトへ誘導して未払金があるように思わせる手口が新たに加わるなど変化が見られます(図3)。

図3:アクセスする端末種類毎の新たな手口
図3:アクセスする端末種類毎の新たな手口

2.手口の解説および対処方法

2-1. Androidの場合

2-1-1. 手口

Androidを狙った最近の手口では、大きく分けて次の2つの手口が確認されています。

a. 不正なアプリをインストールさせ、正規のセキュリティアプリを削除させる場合がある手口(図4)

① 偽SMSを受信し、記載のURLをタップして、偽サイトにアクセスする。
 ②~④ 利用者を煽るような偽の画面が表示され対処を促すように誘導される。
 ⑤~⑫ 不正なアプリ(偽のセキュリティアプリ)をダウンロードして、インストールする。

図4:不正なアプリがインストールされる手口 <偽auや偽KDDIの画面遷移の例>
図4:不正なアプリがインストールされる手口 <偽auや偽KDDIの画面遷移の例>(クリックして拡大)


⑬ 不正なアプリのインストールが終わった後、正規のセキュリティアプリの削除に誘導される場合がある(図5)。
 ⑭~⑰ 偽のセキュリティアプリが、正規のセキュリティアプリを削除する。

図5:不正なアプリによって正規のセキュリティアプリが削除される場合の画面遷移
図5:不正なアプリによって正規のセキュリティアプリが削除される場合の画面遷移(クリックして拡大)

削除される正規のセキュリティアプリは次の3つを確認しています(図6)。

  • あんしんセキュリティ (NTTドコモ)
  • マカフィーモバイルセキュリティ (McAfee LLC)
  • 安心ネットセキュリティ (KDDI)

図6:不正なアプリにより正規のセキュリティアプリが削除される際の画面
図6:不正なアプリにより正規のセキュリティアプリが削除される際の画面

b. 不正なアプリをインストールさせる従来型の手口(図7)

① 偽SMSを受信し、記載のURLをタップして、偽サイトへアクセスする。
 ②~④ 表示されたメッセージに従い、不正なアプリのファイルを保存(ダウンロード)する。
 ⑤~⑪ 表示されたメッセージに従い、不正なアプリをインストールする。
 このあとに、フィッシングサイト(IDやパスワードを入力する画面)に移動することがある。

図7:不正なアプリをインストールさせる手口<偽日本郵便 の画面遷移の例>
図7:不正なアプリをインストールさせる手口<偽日本郵便(*3) の画面遷移の例>(クリックして拡大)


 
(*3)
同じ手口として、ヤマト運輸の偽SMS、佐川急便の偽SMSなどを確認しています。

2-1-2. 影響

Androidでの影響は、次のような事例が確認されています。

影響イメージ1

不正アプリをインストールした場合の影響

●同じ内容の偽SMSを送信

  • 不正なアプリをインストールしたスマートフォンから、同じ内容のSMSが見知らぬ宛先に多数送信されます。
  • 発信者電話番号が伝わるため、そのSMSを受信した相手から、折り返しの電話やSMSの返信が来る場合があります。
  • SMSメッセージ送信料金が発生するため、電話料金が増大します。

●スマートフォン内のデータの不正使用

  • 不正なアプリによりスマートフォン内のデータやSMSメッセージが窃取され、不正使用される可能性があります。

当窓口には、次のような相談が寄せられています。

  • 携帯電話会社が提供するキャリア決済サービスにて、身に覚えのない請求が発生した。
  • 自分が所有しているアカウントを不正使用された。
  • フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等にアカウントを勝手に作成され、不正使用された。

●スマートフォンのセキュリティ対策の一部が機能しなくなる

  • セキュリティアプリが削除された場合、セキュリティ対策が機能しないことによりさらなる被害につながりやすくなります。
  • 提供元がGoogle Playではないアプリのインストールを許可する設定になったままなので、不審なアプリがインストールされやすい状態が続きます。

不正なアプリをインストールしたあとにフィッシングサイトへ誘導され情報を入力してしまった場合の影響

●入力した情報の不正使用

  • フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。

2-1-3. 対処

Androidでの対処は、次のとおりです。

不正なアプリをインストールした場合の対処

①スマートフォンを機内モードに

  • スマートフォンを機内モード(Wi-Fi接続もオフ)に設定してください。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能です。また、当該スマートフォン内の情報が外部に送信されることもなくなります。

②不正アプリのアンインストール

  • 機内モードの状態で、不正なアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たにSMSは送信されません。
  • アプリはスマートフォンのホーム画面には表示されない場合もありますので、設定アプリのアプリ一覧から探してアンインストールを実施してください(図8)。
図8:不正アプリのアンインストール方法
図8:不正アプリのアンインストール方法(クリックして拡大)

③スマートフォンの初期化

  • 不正なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨します。
  • 初期化の実施後にデータの復元を行う際は、不正なアプリをインストールした時点より前のバックアップデータを使用してください。初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。
  • セキュリティアプリが削除された場合は、セキュリティアプリの再インストールが必要な場合があります。また、セキュリティアプリの初期設定が必要な場合があります。

④アカウントのパスワード変更

  • 初期化後にGoogleアカウント、およびスマートフォンで利用しているサービスの各アカウントのパスワードを変更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(*4)

⑤キャリア決済の請求確認

  • 身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。

⑥その他アカウントサービス等の不正使用確認

  • 不正アプリのインストール以降、携帯電話会社、フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等から登録や変更に関するメールやSMS等が届いていた場合は、当該サービス提供会社へ不正使用が発生していないか等を確認してください。

※SMSは初期化をすると消えてしまうため、初期化する前に上記を確認してください。

誘導されたフィッシングサイトに情報を入力した場合の対処

●アカウントのパスワード変更

  • フィッシングサイトにアカウント情報(ID、パスワード)等を入力した場合は、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(*4)
  • 情報を入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。
 
(*4)
「不正ログイン対策特集ページ」
https://www.ipa.go.jp/security/anshin/account_security.html

2-2.iPhoneの場合

2-2-1. 手口

iPhoneを狙った最近の手口では、大きく分けて次の2つの手口が確認されています。

a. フィッシングサイトに誘導し、アカウント情報とギフト券番号を入力させる手口(図9)

① 偽SMSを受信し、記載のURLをタップして、フィッシングサイトにアクセスする。
 ②~⑥ au IDとパスワードを入力すると、未払い料金を請求する偽のメッセージと偽の請求額が表示される。
 ⑦~⑨ iTunesギフトカードのシリアル番号(ギフトカード番号、PINコードともいう)を入力する。

図9:フィッシングサイトに誘導し、アカウント情報とiTunesギフトカードのシリアル番号を入力させる手口
図9:フィッシングサイトに誘導し、アカウント情報とiTunesギフトカードのシリアル番号を入力させる手口(クリックして拡大)


b. フィッシングサイトに誘導し、アカウント認証情報とクレジットカード情報を入力させる手口(図10)

① 偽SMSを受信し、記載のURLをタップして、フィッシングサイトにアクセスする。
 ②~⑦ Apple IDとパスワードを入力し、着信したApple ID確認コードを入力する。(Apple ID確認コード入力がない場合もある)
 ⑧~⑩ クレジットカード情報等を入力する。

図10:アカウント認証情報やクレジットカード情報を入力させる手口<偽Appleの画面遷移の例>
図10:アカウント認証情報やクレジットカード情報を入力させる手口<偽Appleの画面遷移の例>(クリックして拡大)


2-2-2. 影響

iPhoneでの影響は、次のような事例が確認されています。

影響イメージ2

フィッシングサイトに情報を入力した場合の影響

●アカウントの不正ログインや不正使用

  • フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。

特に、フィッシングサイトに認証コードを入力した場合は、被害につながる可能性が高くなります。

当窓口には、次のような相談が寄せられています。

  • Apple ID、パスワード、Apple ID確認コードを入力したところ、不正ログインされた。
  • 電話番号とキャリア決済サービスの認証コードを入力したところ、身に覚えのない請求が発生した。
  • 電話番号と認証コードを入力したところ、フリーマーケットサービス等にアカウントを勝手に作成された。

●クレジットカード情報の不正使用

  • クレジットカード情報を入力した場合は、その情報を不正使用される可能性があります。

●ギフトカードのシリアル番号(ギフトカード番号、PINコードともいう)を入力することによる金銭的被害

  • ギフトカードのシリアル番号を入力した場合は、購入したギフトカードの額面(金額)が相手に渡ってしまいます。見ず知らずの相手に金銭を送ることと同じ行為になります。

2-2-3. 対処

iPhoneでの対処は、次のとおりです。

フィッシングサイトにアカウントのIDとパスワードを入力した場合の対処

●アカウントのパスワード変更

  • フィッシングサイトにApple IDとパスワードまたはau IDとパスワードなどを入力した場合は、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(*4)
  • 情報を入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。

フィッシングサイトにクレジットカード情報を入力した場合の対処

●クレジットカード会社へ連絡

  • フィッシングサイトにクレジットカード情報を入力した場合は、クレジットカード会社へ至急連絡し相談してください。

フィッシングサイトに電話番号と認証コードを入力した場合の対処

●キャリア決済の請求確認

  • フィッシングサイトに電話場号と認証コードを入力した場合は、身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。

3.被害にあわないための対策

被害に遭わないために、日頃から次のような対策をしてください。

手口を知る

  • 知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。

すぐに対応を求めるような内容は偽SMSであることを疑い、メール内のURLを安易にタップしない

  • リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。また、届いたメッセージの全文や一部をインターネット検索することでメッセージに関する情報が得られる場合もあります。
  • この安心相談窓口だよりで取り上げた偽SMSでかたられている各事業者の公式ホームページでは、配達に関することやお客さまをあおるような内容はSMSでお知らせしていないことを注意喚起しています。(*5)

提供元不明のアプリのインストールをするときは、細心の注意を払う(Androidの場合)

  • Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。

パスワードや認証コード等を安易に入力しない

  • パスワード、認証コード、クレジットカード情報など、重要な情報は安易に入力しない習慣をつけてください。
 
(*5)
各事業者の注意喚起
日本郵便株式会社:「当社の名前を装った迷惑メール及び架空Webサイトにご注意ください」
https://www.post.japanpost.jp/notification/notice/2019/1031_01.html
ヤマトホールディングス株式会社:「ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください」
https://www.yamato-hd.co.jp/important/info_181212.html
佐川急便株式会社:「佐川急便を装った迷惑メールにご注意ください」
https://www2.sagawa-exp.co.jp/whatsnew/detail/721/
KDDI株式会社:「KDDI利用料金の「未払い」やauPAY等当社グループサービスを装う偽メールにご注意ください」
https://news.kddi.com/important/news/important_20211008931.html
株式会社NTTドコモ:「通信事業者などを装うフィッシング詐欺にご注意ください」
https://www.nttdocomo.co.jp/info/notice/pages/210721_00.html

4.よくある質問

本手口において、よくある質問は次の通りです。

質問 回答
相談事例1 偽SMSをタップしてしまい、サイトにアクセスしたが何の操作も入力もせずに閉じた。なにか被害があるか? 偽サイトにアクセスしただけであれば、被害にはつながりません。

■Androidの場合:
表示されたメッセージに沿って操作(アプリのインストール)をしていなければ、影響はありません。自身の操作なしにアプリがインストールされることはありません。
なお、アプリのファイル(APKファイル)がスマートフォン内のダウンロードフォルダ等にあった場合は、念のため削除してください。

■iPhoneの場合:
何も入力していなければ、影響はありません。
相談事例2 Androidで不正アプリをダウンロードしたが、インストールはしていない。なにか被害があるか? 不正アプリをダウンロードしただけで、インストールしていなければ被害は発生しません。
念のため、スマートフォン内のダウンロードフォルダ等にある当該アプリのファイル(APKファイル)を削除してください。

なお、インストール作業であると知らずに操作を進め、被害に遭った事例も寄せられています。
手口に遭遇した際の操作内容が不明瞭で、インストールをしたかどうか分からない場合等は、SMSの大量送信やキャリア決済サービスの不正使用等の被害が出ていないかどうか、携帯電話会社に確認することを推奨します。
相談事例3 Androidで不正アプリをインストールしたが、電話番号を変更すれば、勝手にSMSを送信されたり、スマホ内のデータを不正使用されたりすることはなくなるか? 電話番号を変更しても、それらの事象への対処にはなりません。初期化等を実施してください。(Androidの対処<2-1-3.対処>をご参照)
相談事例4 Androidに不正アプリをインストールしたが、スマートフォンを買い替えなくてはいけないか? スマートフォンを初期化することで、不正アプリの影響を取り除くことができます。買い替えの必要はありません。
相談事例5 SMSを送ってきた人が攻撃者なのか? 攻撃者の可能性もありますが、自身のAndroidに不正アプリをインストールした被害者の方から送られてきている可能性もあります。(Androidの被害<2-1-2.影響>をご参照)

5.手口検証動画

本手口に関する検証動画をYouTubeに投稿しておりますので、合わせてご覧ください。

5-1. Android編

動画 Androidの手口編(再生時間:4分28秒)

https://www.youtube.com/watch?v=28z5Ys03TfY別ウィンドウで開く

5-2. iPhone編

動画 iPhoneの手口編(再生時間:2分14秒)

https://www.youtube.com/watch?v=THsrXjE08AY別ウィンドウで開く


PDF

更新履歴

2021年12月22日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 セキュリティセンター 金山/田島

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。