情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 情報セキュリティ安心相談窓口
  4. 安心相談窓口だより
  5. 安心相談窓口だより 2020年度
  6. 宅配便業者をかたる偽ショートメッセージに引き続き注意

宅配便業者をかたる偽ショートメッセージに引き続き注意

公開日:2020年2月20日

最終更新日:2021年12月22日

独立行政法人情報処理推進機構
セキュリティセンター

  • 安心相談窓口だより

宅配便業者をかたる偽ショートメッセージに引き続き注意!

※2021年12月22日追記

本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。

IPAでは、安心相談窓口だよりにて、宅配便業者をかたる偽ショートメッセージ(以下SMS)の手口(図1)について取り上げてきました(脚注1)。本件に関する相談は継続して寄せられています(図2)。

  • 図1:アクセスする端末種類毎の手口分類
    図1:アクセスする端末種類毎の手口分類

「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。配送物は下記よりご確認ください。」という不在通知をよそおったSMSから偽サイトに誘導するこの手口は、細かい部分で内容が変化し続けている点に注意が必要です(脚注2)。

偽サイトは、佐川急便、日本郵便、ヤマト運輸をかたるものがこれまでに確認されており、2020年1月末時点では、佐川急便、日本郵便をかたるものが多い状況です。

Android端末(以下Android)では、不正なアプリの機能に変化が見られました。また、iPhoneやiPadなどのiOS端末(以下iPhone)では、フィッシングサイトで入力させようとする項目に変化が見られました。

そこで、本窓口だよりでは、過去の窓口だよりで解説してきた内容と、最近確認されている相談内容等を集約し、手口、影響、対処と、被害にあわないための対策についてあらためて解説します。

スマートフォンのOSにより手口や対処が異なりますので、自身の利用端末にあった内容を下記の目次より確認してください。

  • 図2:宅配便業者をかたる偽SMSに関する相談件数の推移
    図2:宅配便業者をかたる偽SMSに関する相談件数の推移
  1. (脚注1)
    「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」

(脚注2)
2020年2月、本手口において、「不在通知」ではなく、「新型コロナウイルス」に便乗した内容の偽SMSが確認されたとの注意喚起がされました。
一般財団法人 日本サイバー犯罪対策センター:「新型コロナウイルスに乗じた犯罪」(外部サイトに接続します)
トレンドマイクロ社:「新型コロナウイルス」に便乗する攻撃メール」(外部サイトに接続します)

目次

1.Androidの場合 1-1.手口 1-2.影響 1-3.対処 2.iPhoneの場合 2-1.手口 2-2.影響 2-3.対処 3.被害にあわないための対策 4.よくある質問 5.手口検証動画

1.Androidの場合

1-1. 手口

Androidを狙った手口では、主に、次のような流れです。

  1. 偽不在通知SMSを受信し、記載のURLをタップして、偽サイトにアクセスする。
  2. 表示されたメッセージに従い、そのサイトから不正なアプリのファイルを保存(ダウンロード)する。
  3. 表示されたメッセージに従い、「提供元の許可」をして、不正なアプリをインストールする。
    • 不正なアプリをインストールすると、被害につながります。
      また、不正なアプリのインストール後、次のように、追加の手口に誘導される場合もあります。
  4. アプリのインストール後、偽の警告メッセージが表示される。その警告のボタンをタップして、フィッシングサイトにアクセスし、情報を入力する。

フィッシングサイトに情報を入力すると、さらなる被害につながります。
上記4のフィッシングサイトは、携帯電話会社、銀行、Google等を装い、アカウント情報(ID、パスワード)等を入力させるものが確認されています。

このほかに、下記のようなパターンも確認されています。
「Googleサービスをアップグレードしてください」と誘導し、不審アプリをインストールさせようとする。(2020年6月26日追記)

1-2. 影響

Androidでの影響は、次のような事例が確認されています。

不正アプリをインストールした場合の影響

不在通知をかたるSMSを送信
  • 不正なアプリをインストールしたスマートフォンから、同じ内容のSMSが見知らぬ宛先に多数送信されます。
  • そのSMSを受信した相手から、電話やSMSの返信が来る場合があります。
スマートフォン内のデータの不正使用

不正なアプリによりスマートフォン内のデータやSMSが窃取され、不正使用される可能性があります。

当窓口には、次のような相談が寄せられています。

  • 携帯電話会社が提供するキャリア決済サービスにて、身に覚えのない請求が発生した。
  • 自分が所有しているアカウントを不正使用された。
  • フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等にアカウントを勝手に作成され、不正使用された。

誘導されたフィッシングサイトに情報を入力した場合の影響

入力した情報の不正使用
  • フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。

1-3. 対処

Androidでの対処は、次のとおりです。

不正なアプリをインストールした場合の対処

(1)スマートフォンを機内モードに
  • スマートフォンを機内モード(Wi-Fi接続もオフ)に設定してください。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能です。また、当該スマートフォン内の情報が外部に送信されることもなくなります。
(2)不正アプリのアンインストール
  • 機内モードの状態で、不正なアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たにSMSは送信されません。
  • アプリはスマートフォンのホーム画面には表示されませんので、設定アプリのアプリ一覧から探してアンインストールを実施してください。
(3)スマートフォンの初期化
  • 不正なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨します。
  • 初期化の実施後にデータの復元を行う際は、不正なアプリをインストールした時点より前のバックアップデータを使用してください。初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。
(4)アカウントのパスワード変更
  • 初期化後にGoogleアカウント、およびスマートフォンで利用しているSNS等のサービスのアカウントのパスワードを変更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(脚注3)。
(5)キャリア決済の請求確認
  • 身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。
(6)その他アカウントサービス等の不正使用確認
  • 不正アプリのインストール以降、携帯電話会社、フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等から登録や変更に関するメールやSMS等が届いていた場合は、当該サービス提供会社へ不正使用が発生していないか等を確認してください。

※SMSは初期化をすると消えてしまうため、初期化する前に上記を確認してください。

誘導されたフィッシングサイトに情報を入力した場合の対処

アカウントのパスワード変更
  • フィッシングサイトにアカウント情報(ID、パスワード)等を入力した場合は、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(脚注3)。
  • 入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。

2.iPhoneの場合

2-1. 手口

iPhoneを狙った手口では、主に、次のような流れです。

  1. 偽不在通知SMSを受信し、記載のURLをタップして、偽サイトにアクセスする。
  2. 偽サイトで、Apple ID、パスワード、電話番号等を入力する。
    • 偽サイトは、フィッシングサイトであり、そこで情報を入力すると、被害につながります。
      また、上記のような入力画面に続いて、次のように、認証コードの入力へ誘導される場合もあります。
  3. 偽サイトで入力した後に、スマートフォン上の通知や、SMS等で認証コードが届く。
  4. 2の偽サイトで、認証コードを入力する。

認証コードを入力すると、2ファクタ認証等の多要素認証情報や、キャリア決済等のサービス利用時の本人確認情報を攻撃者に奪われます。

  • 図9:フィッシングサイトへのアクセス時の画面遷移例<日本郵便を装っているケース>(クリックして拡大)
    図9:フィッシングサイトへのアクセス時の画面遷移例<日本郵便を装っているケース>(クリックして拡大)

このほかに、下記のようなフィッシングの手口も確認されています。
不正ログインが確認されたというメッセージを表示して、「三井住友銀行」、「ジャパンネット銀行」、「じぶん銀行」などのインターネットバンキングサービスのログイン情報を入力させようとする。(2020年6月26日追記)

2-2. 影響

iPhoneを狙った手口では、主に、次のような流れです。

フィッシングサイトに情報を入力した場合の影響

アカウントの不正ログインや不正使用
  • フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。

特に、フィッシングサイトに認証コードを入力した場合は、被害につながる可能性が高くなります。
当窓口には、次のような相談が寄せられています。

  • Apple ID、パスワード、2ファクタ認証コードを入力したところ、不正ログインされた。
  • 電話番号とキャリア決済サービスの認証コードを入力したところ、身に覚えのない請求が発生した。
  • 電話番号と認証コードを入力したところ、フリーマーケットサービス等にアカウントを勝手に作成された。

2-3. 対処

iPhoneでの対処は、次のとおりです。

フィッシングサイトに情報を入力した場合の対処

キャリア決済の請求確認
  • フィッシングサイトに電話場号と認証コードを入力した場合は、身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。
アカウントのパスワード変更
  • フィッシングサイトにIDとパスワードを入力した場合は、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨します(*4)。
  • 入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。

3.被害にあわないための対策

被害に遭わないために、日頃から次のような対策をしてください。

手口を知る

  • 知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。

SMSやメール内のURLを安易にタップしない

  • リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。

提供元不明のアプリのインストールをするときは、細心の注意を払う(Androidの場合)

  • Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。

パスワードや認証コード等を安易に入力しない

  • 電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。

4.よくある質問

本手口において、よくある質問は次のとおりです。

  1. Q1サイトにアクセスしただけで、何の操作も入力もせずに閉じた。なにか被害があるか?

    A1

    偽サイトにアクセスしただけであれば、被害にはつながりません。

    Androidの場合:
    表示されたメッセージに沿って操作(アプリのインストール)をしていなければ、影響はありません。自身の操作なしにアプリがインストールされることはありません。
    なお、アプリのファイル(APKファイル)がスマートフォン内のダウンロードフォルダ等にあった場合は、念のため削除してください。

    iPhoneの場合:
    何も入力していなければ、影響はありません。

  2. Q2Androidで不正アプリをダウンロードしたが、インストールはしていない。なにか被害があるか?

    A2

    不正アプリをダウンロードしただけで、インストールしていなければ被害は発生しません。
    念のため、スマートフォン内のダウンロードフォルダ等にある当該アプリのファイル(APKファイル)を削除してください。

    なお、インストール作業であると知らずに操作を進め、被害に遭った事例も寄せられています。
    手口に遭遇した際の操作内容が不明瞭で、インストールをしたかどうか分からない場合等は、SMSの大量送信やキャリア決済サービスの不正使用等の被害が出ていないかどうか、携帯電話会社に確認することを推奨します。

  3. Q3Androidで不正アプリをインストールしたが、電話番号を変更すれば、勝手にSMSを送信されたり、スマホ内のデータを不正使用されたりすることはなくなるか?

    A3

    電話番号を変更しても、それらの事象への対処にはなりません。初期化等を実施してください。(Androidの対処<1-3.対処>をご参照)

  4. Q4Androidに不正アプリをインストールしたが、スマートフォンを買い替えなくてはいけないか?

    A4

    スマートフォンを初期化することで、不正アプリの影響を取り除くことができます。買い替えの必要はありません。

  5. Q5SMSを送ってきた人が攻撃者なのか?

    A5

    攻撃者の可能性もありますが、自身のAndroidに不正アプリをインストールした被害者の方から送られてきている可能性もあります。(Androidの被害<1-2.影響>をご参照)

5.手口検証動画

本手口に関する検証動画をYouTubeに投稿しておりますので、合わせてご覧ください。

5-1. Android編

5-2. iPhone編

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

更新履歴

  • 2021年12月22日

    最新の安心相談窓口だよりの案内を追記

  • 2021年2月10日

    5.手口検証動画を追記

  • 2020年6月26日

    1.Androidの場合>1-1. 手口、1-3. 対処に追記
    2.iPhoneの場合>2-1. 手口に追記

  • 2020年2月20日

    掲載