原因は電話してくる第三者ではなく、あなたがうっかりヤマト運輸や郵便局など宅配便をかたる不在通知の詐欺SMS(ショートメッセージ)を信じて不正なアプリを入れてしまい、SMSを乗っ取られて迷惑SMSの発信元になっている可能性が高いです。SMSは有料なので高額な通信費の出費にもつながります。
スマホSMS乗っ取り手口の詳細と対処方法について詳しくご説明します。
ヤマト運輸や郵便局など宅配便不在通知の詐欺SMS(ショートメッセージ)とは?
知らない人からの電話やメッセージの原因は不正なアプリを入れてしまったから!
Androidをお使いの方で、もしも「見知らぬ人から荷物の問い合わせがたくさん来る」「勝手にSMSが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、
- 不在通知のSMSをタップしたりアプリを入れた心当たりがないか?
- アプリ一覧に見覚えのないアプリが入っていないか?
- 見に覚えのないSMSの通信料がかかっていないか?
必ずお調べください!
こんな不在通知に覚えがないですか?
詐欺に使われるSMS(ショートメッセージあるいはショートメール)のことを、SMSとフィッシング詐欺(Phishing)を組み合わせて、スミッシング(Smishing)と呼びます。
現在多数配信されている宅配便不在をよそおったの詐欺SMSは以下のようなものです。たまたま荷物が届くタイミングなどで、うっかり信じてクリックしてしまう人が後を絶ちません。
クリックすると、宅配便とは無関係のサイトに誘導され
- 「セキュリティの警告!」
- 「危険、あなたの情報がもれています」
- 「安全のためこのアプリを入れてください」
- 「あなたのアプリは古いです。最新にアップデートしてください」
などと不安をあおられます。
ここであわてて犯人の狙いの行動を取らせることこそ、詐欺SMS(=スミッシング)の狙いです。
「宅配便の不在通知が、アプリのインストールをすすめるのはおかしい!」
「なぜ宅配便会社がAppleIDやパスワードを入力させるのか?」
と疑問に思って、無視すれば良いのですが、自らだまされてアプリをインストールしたり、大切な情報を入力してしまった人が、犯人に機器をあやつられたり、個人情報を盗まれてしまいます。
不在通知の詐欺SMSに誘導されてAndroidに不正なアプリを入れてしまう被害が多発
iPhoneとAndroidで手口は異なる!
偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。
URLをクリックして誘導される偽装サイトは、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます。
Androidは、「アプリが古いです。更新してください」などとユーザーの注意を引きつけて、不正アプリのインストールをすすめてきます。
iPhoneは構造上不正アプリのインストールができないため、AppleIDとパスワードなど個人情報を入力させだまし取ろうとします。
本記事ではAndroidの不正アプリのインストール対策についてご説明します。
Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口
Androidだけが狙われる危険な手口で、SMS文中のURLをクリックすると、見ただけでは偽物と分からない、ヤマト運輸や郵便局などの偽サイト(フィッシングサイト)が表示され、
- 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」」
- 「新型コロナ対策のためにアプリにバージョンアップしてください」
などとポップアップが表示されます。
現在多いのか、精巧なクロネコメンバーズの偽サイトに誘導されて、 kuronemoyamato.apk の不正アプリをインストールさせる手口です。
不正アプリは、「○○.apk」と言う形式のファイルになっています。
ダウンロードしようとしても、ここで「OK」を押してしまうと、「提供元不明のアプリ」として「この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。」と警告が出ます。
それでも「OK」としてしまうと、スマホに「偽クロネコヤマト公式アプリ」「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」などの不正アプリがインストールされてしまいます。
偽サイトには、「提供元不明のアプリでもOKとするように」などのウソの説明が書かれている場合があります。
上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。
それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。
ここでインストールしなければ被害はありません。
しかしインストールしてしまうと、有名アプリに似せた偽アプリを入れられ、
- スマホの個人情報を盗み取る
- 勝手に多数の詐欺SMSを発信され、多額の通信料を請求される
などの被害につながります。
ヤマト運輸や郵便局からの不在通知を装っているフィッシングメールも発見されている。
偽の不在通知はSMSが多かったのですが、SMS側で対策されて危険も広く知られるようになったため、次第にメールに移行してきました。
ヤマトグループの持株会社,ヤマトホールディングスのウェブサイト。「重要なお知らせ」の「ヤマト運輸の名前を装った「迷惑メー…
メールの場合もSMSと同様の被害につながります。
詐欺サイトからAndroidにインストールしてしまった不正なアプリの削除方法は?
1.(必須)すぐに通信を遮断しましょう!
不正なアプリはSMSを勝手に送信するものが多いです。すぐにスマートフォンを「機内モード」にして通信を遮断して被害の拡大を止めましょう。
2.(省略可)不正なアプリを削除(アンインストール)する!
「設定」-「アプリ」から、不正なアプリを見つけ出して、アンインストールできる場合もあります。
アプリの一覧を「最終更新」など使用した時間順に並べて、インストールしてしまった不正アプリを見つけ出します。
「郵便局」「ヤマト運輸」「グーグルChrome」などに似せたアイコンになっているケースが多いので、怪しいものは削除してください。
しかし、怪しいアプリを消去したところで、本当に削除されたか確認できません。悪影響が残っている可能性もありますので、初期化した方が安心です。
下記のIPA(情報処理推進機構)様の記事でも、初期化を強く勧めています。
3.(必須)スマートフォンを初期化しましょう!
不正なアプリが何をしたかは不明です。思わぬ悪影響がスマートフォンに残っている可能性が高いため、データなどがバックアップされていることを確認して、スマートフォンを初期化しましょう。
初期化するとデータもすべて失われるため、スマホの機種変更をするときと同様にデータをバックアップなどする必要があります。Androidの場合はGoogleにバックアップがとられているはずですが、念のため確認しましょう。
機内モードになっているため、SMSを送られる心配が無いWi-Fiに接続してネットを使った作業できます。特にLINEのトーク履歴のバックアップはお忘れ無く!
初期化後バックアップからアプリなどを復元できますが、不正なアプリは復元されませんので初期化すれば完全に安心となります。
アプリは入れていないが、宅配便不在通知のURLをクリックしただけで被害はあるか
「URLをクリックしただけ、開いたページを見ただけ」なら危険はない
「うっかりSMSやメールのURLをクリックしてしまったけど、大丈夫でしょうか?」
→ご安心ください。クリックしただけでは感染することはありません。
今はパソコンやスマホのセキュリティが強化されたため、メッセージを見ただけ、クリックしただけで、不正動作をさせるブログラムやウイルス、不正なアプリを入れてしまうことはできません。
そこで犯人はURLをクリックさせて、ユーザーを別のページに移動させて、ユーザー自身に
- 「IDやパスワードといった機密情報を入力」させる。
- Androidやパソコンでは不正アプリや不正ブログラムを「ダウンロード」させインストールさせる。
と、ユーザー自ら行動させるしか犯行を成功する方法がないのです!
つまり、ユーザーが飛んだ先のページで、アプリのダウンロードやインストール、秘密情報の入力をしないかぎり、トラブルに巻き込まれる心配はありません。
「メッセージを見ただけ」「偽サイトを訪れただけ」でも、スマホやパソコンには全く悪影響は残りません。
偽メッセージを削除して、偽サイトの訪問履歴を念のため削除してしまえば、安心して大丈夫です。
不正なサイトに個人情報を抜き取られたのでは?
今のパソコンやスマホからは、どのような方法を使っても、見ただけで個人を特定できるような情報を抜き取られることはあり得ません。
IPアドレスや使っているブラウザの情報などは伝わりますが、全くの匿名情報で個人を特定することは不可能です。
またお使いのWi-Fiやネットワークにも何の問題もありません。
ヤマト運輸や郵便局など宅配便不在通知の被害を避ける4つの対策
「宅配便の不在通知のSMS」はすべてニセモノ。詐欺!
ぜひ覚えてください!「宅配便大手3社、ヤマト/日本郵便/佐川急便はSMSの不在通知は出してない!」
どの会社もSMSによる不在通知は発信していないと明言しています。
■ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください
日本郵便
■当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。
佐川急便
■佐川急便を装った迷惑メールにご注意ください
「フィッシングSMSや詐欺メールは見破ることはできない」を原則としよう
今のフィッシングSMSやメールは進歩し、見ただけでは本物と区別がつきません。
「https://~のURLは安全」など昔の常識は通用しなくなり、専門家でも見分けることができない精巧なものが出現しました。
「どれだけ気をつけても、うっかりクリックしてしまう可能性がある」事を認識して、、以下のように対応しましょう!
対策 1.「文中のリンクはクリックしない」
SMSやメール文中のURLは、よほど確信があるもの以外はクリックしてはいけません。しばしば
「パスワードの変更が必要です」
「情報が正しいかご確認ください」
などの記載がありますが、そこのURLをクリックせず、必ずサービスの本サイトを探して、本サイトに記載されている記載やリンクをたどりましょう。
また本サイトに「詐欺メール/SMSに注意!」の警告が出ていることも多いですからあわせて確認しましょう。
そもそも、URLが記載されているSMSは「怪しい」と疑うことからはじめましょう。
今では
が常識です。
対策 2.「感情を揺さぶられるSMSやメールを受け取ったら、まず冷静になり、疑う習慣を身につける」
詐欺犯は「危険」「緊急」「至急」といったキーワードで、ユーザーの心を揺さぶり、「思わずクリック」「つい情報を入力」させようとします。
またユーザーの心を揺さぶるのは「不安」だけでなく、「おめでとう。キャンペーンに当選しました」「新型のiPhoneが当たりました」といった「幸運」「格安」のようなラッキー・キーワードも使われます。
「心を揺さぶられた」時は、まず深呼吸して冷静になり、「ほんとかな?詐欺ではないか」と疑う習慣をつけましょう。
これは詐欺メールやSMSだけでなく、すべての詐欺行為防止に役立つ秘訣です。
対策 3.大切なアカウントには必ず二段階認証を設定しましょう!
詐欺SMSやフィッシングメールはますます精巧になっています。
どんなに気をつけていても、「うっかりだまされて、大切な情報を入力してしまう」リスクは誰にでもあります。
そこで大切なアカウントには必ず二段階認証を設定しておきましょう。
たったこれだけのことで、第三者に不正ログインされる可能性がなくなるのです。
上にも書きましたが、偽不在通知にだまされてAppleIDを入力してだまし取られる不幸な被害が続出しています。
Appleに相談しても、やってもらえることはアカウントを凍結して、再取得するだけで、それまでiCloudやスマホに保存したデータはすべて失うことになってしまいます。
後で後悔しないためにも、Apple、Google、Microsoft、Amazonなどの最重要アカウントは二段階認証をすぐに設定しましょう。
アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]
対策 4.スマホ、パソコンのOSやアプリを常に最新版に更新して脆弱性の穴をふさぐ
現在ではパソコンやスマホなどのセキュリティが強固になってきたので、以前のように簡単に感染させることが不可能になっています。
そこで犯人はユーザーをだまして不正なアプリをインストールさせ、デジタル機器やアプリ、ソフトの欠陥を利用して犯行を行います。
この欠陥を「脆弱性(ぜいじゃくせい)」と言います。
「脆弱性」が発見されると製造元は急いで欠陥を修正して、アップデートを行います。
しかし「アップデートが適応される前に、脆弱性を利用してユーザーのデジタル機器を操ろう」とする犯人との戦いが続いています。
したがってユーザーは「スマホやパソコンのアップデート」「アプリや主要ソフトのアップデート」の通知を見たら「できるだけ速くアップデート対応」しなければいけません。
きちんとアップデートをしているだけで、「脆弱性を突かれて感染するリスク」は防ぐことができます。
その他の詐欺SMSやメールの被害を避ける対策は?
うっかりクリックしても安心~「セキュリティ対策アプリ」を入れよう!
気をつけても「うっかりクリックしてしまう」ことは誰にもあります。
また「あわててダウンロード」することもあるでしょう。
それを防ぐために、セキュリティ対策アプリやソフトを入れましょう。
セキュリティアプリは、ウイルス対策の他に、「メールやSMSのリンクが正しいか?」「ダウンロードするのが正しいか?」判定する機能を持っています。
これらのアプリを入れておくと
- うっかり文中のURLをクリックしたとき、「あやしいぞ!」と警告を出し、リンク先に飛ぶことを防ぎます。
- 飛ばされた先で、うっかり不正アプリをインストールしようとしても、警告して防いでくれます。
今のWindowsには標準でウイルス対策機能は完備されていますが、うっかりを防ぐ機能は含まれていないため、セキュリティソフトは十分に効果があります。
「今ではスマホもパソコンもセキュリティが強化されているのでセキュリティアプリやウイルス対策アプリは不要」との意見があります。スマホの安全性は高まっていますが、犯罪の手口も変化し高度化しており、被害をあわないためには「セキュリティアプリは必要[…]
信頼できないセキュリティアプリは入れてはいけない!
アプリストアには、無料のものから無数のセキュリティアプリがありますが、「ただより高いもの」はありません。
- 「セキュリティ」を看板にしながら、別の目的でつくられたものも多い
- 慈善事業で無料アプリを配るわけがない
どうか、セキュリティアプリだけは、上記の無料試用可能なサービスでご紹介しているような「大手で有名」「実績のある」アプリを選択してください。
「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]
くれぐれも広告メールやポップアップ広告で押し売りしてくるようなアプリに手を出してはいけません。
オンラインでURLやファイルをスキャンしてくれるサービスもあります
届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。
おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?
定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。
無料で簡単・確実にチェックしてくれます。
詳しくは当社の下記ブログ記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
まとめ:
SMSやメールですすめられたアプリは決して入れない。また「非公式アプリ」の警告を見逃さない
基本的に今のパソコンやスマホはかなり安全で、勝手に不正なものが入り込むことはありません。しかし詐欺のメールやSMSにだまされて、自ら不正なアプリを入れてしまうと大きな被害にあってしまいます。
- SMSやメールの本文中のURLを信じない。すすめられたアプリは入れない。
- アプリインストールをするとき、Androidからの「非公式アプリの警告」を見逃せさない。
といった基本的なセキュリティ対策をお守りください。
以下の当ブログ記事でも詐欺を見破る具体例をご紹介しています。併せてご覧ください!
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
「※本サイトはアフィリエイト広告を利用しています。」
SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]
