情報セキュリティ

安心相談窓口だより

掲載日：2022年10月31日
独立行政法人情報処理推進機構
セキュリティセンター

国税庁をかたる偽ショートメッセージサービス（SMS）や偽メールに注意
ー不審なショートメッセージやメールのURLに触れないで！ー

　IPAでは、安心相談窓口だよりにて宅配便業者や通信事業者をかたる偽ショートメッセージサービス（以下SMS）の手口やフィッシングメールの手口について取り上げてきました^{(注釈1 )}。本手口に関する相談は継続して寄せられていますが、8月頃から国税庁をかたった偽SMSや偽メールが確認されています^（図1）。

図1：国税庁をかたる偽SMS等のURLから悪意あるサイトへ誘導される

　そこで、本窓口だよりでは、最近確認されている相談内容から、手口、影響、対処と被害にあわないための対策についてあらためて解説します。

（注釈1）
2018年8月8日「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
2018年11月29日「宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に」
2019年3月20日「宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現」
2020年2月20日「宅配便業者をかたる偽ショートメッセージに引き続き注意！」
2021年8月31日「URLリンクへのアクセスに注意！」
2021年12月22日「宅配便業者に加えて通信事業者をかたる偽ショートメッセージサービス（SMS）が増加中」

1．概要
 2．偽SMSや偽メールでフィッシングサイトに誘導される手口
　 2-1．手口
　 2-2．対処
 3．偽SMSのURLからAndroid端末に不審なアプリがインストールされる手口
　 3-1．手口
　 3-2．影響
　 3-3．対処
 4．被害にあわないための対策
 5．よくある質問

1．概要

スマートフォンのSMSにおいて、宅配便業者や通信事業者をかたり偽の文面からURLをタップさせていた手口について、新たに国税庁をかたる偽SMSが加わり、重要なお知らせなどの偽の文面からURLをタップさせようとしています。また、メール（E-mail）においても国税庁をかたる偽メールがばらまかれ、偽の文面からURLをタップ（クリック）させようとしています^（図2）。

図2：国税庁をかたる偽SMSと偽メールの一例

偽SMSのURLをタップすると、プリペイドカードの発行番号やクレジットカード情報を入力させるフィッシングサイトに誘導される手口と、Android端末においては不正なアプリがインストールされる等の手口が確認されています^（図3）。偽メールでは、URLをタップ（クリック）すると、偽SMSの場合と同じフィッシングサイトに誘導される手口が確認されています^（図4）。

図3：国税庁をかたる偽SMSによる手口

図4：国税庁をかたる偽メールによる手口

国税庁をかたる偽SMSや偽メールについて、当窓口では8月に初めて当該手口の相談が寄せられ、8月において8件、9月には15件の相談が寄せられています。偽メールの手口については、スマートフォンやパソコン・タブレットといったデバイス種別によらずメールアドレスを所有しているユーザ全体が対象になるため、手口のおよぶ対象が拡大する懸念があります。

2．偽SMSや偽メールでフィッシングサイトに誘導される手口

2-1. 手口

　国税庁になりすましたフィッシングサイトへ誘導する手口では、次の2つの手口が確認されています。

a. 国税庁になりすましたフィッシングサイトへ誘導し個人情報やプリペイドカードの発行番号を入力させる手口（図5）

(1)偽SMSまたは偽メールを送り付け、記載のURLをタップ（クリック）させ、国税庁になりすましたサイトへアクセスさせる。
　※図では偽SMSの場合でAndroidの画面遷移を例示
(2)～(3)フィッシングサイトへ誘導してメールアドレス、電話番号、氏名などの個人情報を入力させる。
(4)～(11)プリペイドカードの発行番号や額面を入力させ、さらに券面の写真を撮影して送信させる。

図5：フィッシングサイトへ誘導し個人情報やプリペイドカードの発行番号を入力させる手口（クリックして拡大）

b. 国税庁になりすましたフィッシングサイトへ誘導しクレジットカード情報を詐取する手口（図6）

(1)偽SMSまたは偽メールを送り付け、記載のURLをクリック（タップ）させ、国税庁になりすましたサイトへアクセスさせる。
　※図では偽メールの場合でパソコンのブラウザでの画面遷移を例示
(2)～(3) 偽の請求メッセージや支払いについて表示する。
(4)クレジットカード情報を入力させる。
(5)認証コードを入力させる。

図6：国税庁になりすましたフィッシングサイトへ誘導しクレジットカード情報を詐取する手口（クリックして拡大）

2-2. 対処

フィッシングサイトに入力した情報は取り返すことができません。情報を入力してしまった場合は、その情報に応じた対処をしてください。

プリペイドカードの発行番号を入力した場合

必要に応じてカードの発行元もしくは最寄りの消費生活センターにご相談してください^{(注釈2 )}。

クレジットカード情報や認証コードを入力した場合

クレジットカードが不正使用されていないか確認してください。不安があれば、カード機能の一時停止や番号変更などクレジットカード会社への連絡を検討してください。

個人情報を入力した場合

　さらなる被害につながる不審なメールやSMSが届いたりする可能性があります。相手があたかもあなた自身のことを知っているかのような文面を作成することも可能であるため、詐欺などの手口に十分注意するようにしてください。

（注釈2)
V-プリカ：【お客さまへの注意喚起】「国税庁を騙る未払い請求の案内について」
国民生活センター：「全国の消費生活センター等」

3．偽SMSのURLからAndroid端末に不審なアプリがインストールされる手口

3-1. 手口

　Androidに不正なアプリをインストールする手口では、大きく分けて次の2つの手口が確認されています。

a. 不正なアプリをインストールさせ、キャリアのアカウント認証情報を詐取する手口（図7）

(1)偽SMSを送り付け、記載のURLをタップさせ、偽サイトにアクセスさせる。
(2)利用者を煽るような偽の画面を表示し、対処を促すように誘導する。
(3)～(10) 不正なアプリをダウンロードさせ、インストールさせる。
(11)～(14) 過去の事例においてau IDの認証に必要な情報を入力させる手口があった。

図7：不正なアプリをインストールさせキャリアのアカウント認証情報を詐取する手口（クリックして拡大）

b. 不正なアプリをインストールさせ、正規のセキュリティアプリをアンインストールさせる手口（図8）

(1)偽SMSを送り付け、記載のURLをタップさせ、偽サイトへアクセスさせる。
(2)～(4) 偽の警告を表示し、不正なアプリのファイルをダウンロード（保存）させる。
(5)～(12) ダウンロードした不正なアプリをインストールさせる。
(13)～(16) 不正アプリによって正規のセキュリティアプリがアンインストールされる。

図8：不正なアプリをインストールさせ正規のセキュリティアプリをアンインストールする手口（クリックして拡大）

3-2. 影響

　Androidに不正なアプリをインストールさせる手口の影響としては、以下の事例が確認されています。

不正アプリをインストールした場合の影響

同じ内容の偽SMSを送信

不正なアプリをインストールしたスマートフォンから、同じ内容のSMSが見知らぬ宛先に多数送信されます。
発信者電話番号が伝わるため、そのSMSを受信した相手から、折り返しの電話やSMSの返信が来る場合があります。
SMSメッセージ送信料金が発生するため、電話料金が増大します。

SMSを勝手にばらまかれるイメージ図

スマートフォン内のデータの不正使用

不正なアプリによりスマートフォン内のデータやSMSメッセージが窃取され、不正使用される可能性があります。当窓口には、過去に次のような相談が寄せられています。

携帯電話会社が提供するキャリア決済サービスにて、身に覚えのない請求が発生した。
自分が所有しているアカウントを不正使用された。
フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等にアカウントを勝手に作成され、不正使用された。

スマートフォンのセキュリティ対策の一部が機能しなくなる

セキュリティアプリが削除された場合、セキュリティ対策が機能しないことによりさらなる被害につながりやすくなります。
提供元不明アプリのインストールを許可する設定になったままなので、不審なアプリがインストールされやすい状態が続きます。

キャリアのアカウント認証情報（電話番号、パスワード、暗証番号）を入力した場合の影響

アカウントに不正ログインされる可能性

アカウントの乗っ取りや不正使用される可能性があります。

3-3. 対処

　Androidでの対処は、次のとおりです。

不正なアプリをインストールした場合の対処

スマートフォンを機内モードに

スマートフォンを機内モード（Wi-Fi接続もオフ）に設定してください。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能です。また、スマートフォン内の情報が外部に送信されることもなくなります。

不正アプリのアンインストール

機内モードの状態で、不正なアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たにSMSは送信されません。
アプリはスマートフォンのホーム画面には表示されない場合もありますので、設定アプリのアプリ一覧から探してアンインストールを実施してください（図9）。現在確認されている不正なアプリは、実在しているアプリと同じ名称がつけられており、次のものがあります。

KDDIセキュリティ
迷惑メッセージ・電話ブロック
あんしんセキュリティ

図9：不正アプリのアンインストール方法

アカウントサービス等の不正使用確認とスマートフォン初期化前の処置

不正アプリのインストール以降、携帯電話会社、フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等から登録や変更に関するメールやSMS等が届いていた場合は、当該サービス提供会社へ不正使用が発生していないか等を確認してください。※SMSはスマートフォンの初期化をすると消えてしまうため、初期化する前に上記を確認してください。
写真や動画などスマートフォンの初期化で消えてしまうデータについて別メディアに保存しておくことをお勧めします。

スマートフォンの初期化

不正なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨します。
初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。
初期化の実施後に端末状態の復元を行う際は、不正なアプリをインストールした時点より前の端末バックアップデータを使用してください。
セキュリティアプリが削除された場合は、セキュリティアプリの再インストールや初期設定が必要な場合があります。

アカウントのパスワード変更

初期化後にGoogleアカウント、およびスマートフォンで利用しているサービスの各アカウントのパスワードを変更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します^{(注釈3 )}。

キャリア決済の請求確認

身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。

キャリアのアカウント認証情報（電話番号、パスワード、暗証番号）を入力した場合の対処

入力した情報の変更

可能であれば、パスワード、暗証番号を変更してください。
変更不可能の場合は、アカウントが乗っ取られている可能性があります。携帯電話会社へ相談してください。

アカウントが不正使用されていないか確認

身に覚えのない決済などが発生していないか確認してください。
登録情報が改変されていないか確認してください。
身に覚えのない連携サービスがないか確認し、あれば解除してください。
ご自身のものではない2段階認証端末が登録されていないか確認し、あれば解除してください。

不明なことや不安なことは携帯電話会社へ相談

必要に応じて携帯電話会社へご相談されることをご検討ください。

（注釈3)
IPA:「不正ログイン対策特集ページ」

4．被害にあわないための対策

　被害に遭わないために、日頃から次のような対策をしてください。

手口を知る

知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。
偽SMSや偽メールによるフィッシングの手口は利用者自身を欺くものであり、古くからあるにもかかわらず技術的に完全に防ぐに至っていません。利用者一人一人が騙されないように対応していくことになります。
今後、他の公的機関をかたる同様の手口が出現する可能性がありますので注意してください。

すぐに対応を求めるような内容は偽SMSや偽メールであることを疑い、本文内のURLを安易にタップしない

リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。また、届いたメッセージの全文や一部をインターネット検索することでメッセージに関する情報が得られる場合もあります。^(注釈4)

提供元不明のアプリのインストールをするときは、細心の注意を払う（Androidの場合）

Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。

パスワードや認証コード等を安易に入力しない

パスワード、暗証番号、クレジットカード情報、プリペイドカード発行番号など、重要な情報は安易に入力しない習慣をつけてください。

利用者で実施できる技術的対策

本手口における技術的対策は被害を完全に防げるものではありませんが、次のことで軽減することができます。
セキュリティ対策ソフトやアプリを利用することにより、有害サイトブロックやフィッシング詐欺対策機能により、URLをクリック（タップ）しても既知のフィッシングサイトへの接続を防止できる場合があります。また、迷惑メールの振り分けやブロックする機能を有したセキュリティ対策ソフト（アプリ）もあります。
通信事業者が提供しているSMSブロックサービス^{(注釈5 )}を設定することで、偽SMSの着信を軽減することが期待できます。
プロバイダーメールについて、プロバイダー（インターネット接続サービスを提供している事業者）が迷惑メールブロックや迷惑メール振り分けサービスを提供している場合、設定することにより偽メールの着信が減ります。

(注釈4)
関係各機関の注意喚起
国税庁：「不審なショートメッセージやメールにご注意ください」
フィッシング対策協議会：「国税庁をかたるフィッシング（2022/09/20）」

(注釈5)
各キャリアの迷惑SMSの拒否設定等の案内
docomo：「SMS拒否設定」
au：「迷惑SMS防止方法」
SoftBank：「SMSの迷惑メール対策方法」
楽天モバイル：「迷惑メールを申告する方法」の「SMSの申告方法」

5．よくある質問

　本手口において、よくある質問は次の通りです。

●質問 1

偽SMS（偽メール）のURLをタップしてしまい、サイトにアクセスしたが何の操作も入力もせずに閉じました。なにか被害がありますか？

●回答 1

偽サイトにアクセスしただけであれば、被害にはつながりません。

・不正アプリをインストールさせる手口の場合：

表示されたメッセージに沿って操作（アプリのインストール）をしていなければ、影響はありません。ご自身で操作をしていないのに勝手にアプリがインストールされることはありません。

・フィッシングサイトに誘導される手口の場合：

何も入力していなければ、影響はありません。

●質問 2

メッセージやメールのURLを注意して見ることでサイトの真偽は判断できますか？

●回答 2

URLを見ただけで、リンク先の真偽を判別することは一般的には難しいです。

・偽SMSの場合：

サイトのURLは短縮URLというものが多く使われていて見た目のURLではどのサイトにジャンプするのか判別できません。

・偽メールの場合：

メールでは実際のアドレスとは異なる文字列をハイパーリンクとして本文中に記載することができます。そのため、本文中では国税庁のURLになっていてもクリックした際にジャンプするURLは別のものが埋められている可能性があるため、見た目では判別できません。

●質問 3

URLが https:// で始まるサイトは安全なサイトですか？

●回答 3

http:// と https:// の違いについて端的に言うならば通信が暗号化されているかいないかの違いだけであり、サイトの安全性を判別することはできません。

●質問 4

Androidに不正アプリをインストールしたが、スマートフォンを買い替えなくてはいけないか？

●回答 4

スマートフォンを初期化することで、不正アプリの影響を取り除くことができます。買い替えの必要はありません。

●質問 5

SMSを送ってきた人が攻撃者なのか？

●回答 5

攻撃者の可能性もありますが、不正アプリをインストールしてしまった被害者の方から送られてきている可能性もあります。（Android端末に不正なアプリがインストールされる手口の被害＜3-2.影響＞参照）

更新履歴

2022年10月31日　掲載

本件に関するお問い合わせ先

独立行政法人情報処理推進機構セキュリティセンター
情報セキュリティ安心相談窓口
E-mail:

URL:https://www.ipa.go.jp/security/anshin/

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。