佐川急便の宅配不在SMSをクリックしてしまった！～被害を避ける3つの対策とは？

2020年4月14日
2021年7月15日
フィッシング詐欺メールやSMS対策
スマホ, フィッシング(詐欺メール), スミッシング(SMS詐欺), スマホアプリ

フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便､ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知～「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。」「ヤマト運輸よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」などの詐欺SMSはうっかりクリックしやすく危険です。
しかし正しい知識と基本的な対策があれば恐れることはありません。
「もしもクリックしてしまったら？」「私の電話番号が知られるわけ」などの仕組みや手口、そして「被害を防ぐ3つの対策」などの正しい知識をiPhoneとAndroid別にご説明します。

/ins>

宅配便不在通知の詐欺SMS(ショートメッセージ)とは？

増え続ける宅配便詐欺SMS

宅配便の不在を装う詐欺SMS～お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください

詐欺に使われるSMS(ショートメッセージあるいはショートメール)のことを、SMSとフィッシング詐欺(Phishing)を組み合わせて、スミッシング(Smishing)と呼びます。

2019年以降目立ってきた「ヤマトや佐川急便、郵便局の宅配便をよそおう詐欺SMSスミッシング」は、2020年さらに被害が増え、ついには国民生活センターから「2020年の被害相談件数が前年の倍と急増している」と緊急注意が出ました。

セキュリティの専門機関の「IPA」や「フィッシング対策協議会」｢国民生活センター｣からも、毎月のように警告されています。

宅配便業者を装った「不在通知」の偽SMSに注意しましょう−URLにはアクセスしない、ID・パスワードを入力...

www.kokusen.go.jp

http://www.kokusen.go.jp/news/data/n-20201126_2.html

宅配便詐欺SMSスミッシングはなぜ危険なのか？

「綾瀬はるか」や「石原さとみ」からのSMSにだまされてURLをクリックする人はいないでしょう。

ところが「佐川など宅配便の詐欺SMSの不在通知」もまったく同じ手口にもかかわらず、クリックしてしまう人が後を絶ちません。

誰もが心当たりある「宅配便の不在通知」だと「つい反射的にURLをクリック」してしまうためです。

ほとんどの場合、クリックすると、宅配便とは無関係のサイトに誘導され

「セキュリティの警告！」
「危険、あなたの情報がもれています」
「安全のためこのアプリを入れてください｣

などと不安をあおられます。

一部のユーザーは、ここで「変だ」と気付かず、あわてて犯人の狙いの行動を取ってしまうのです。

これこそ詐欺SMS(=スミッシング)の狙いです。

「宅配便の不在通知が、関係ないアプリのインストールをすすめるのはおかしい！」

と無視すれば良いのですが、つい不安になって自らマルウェアをインストールしてしまった人が、犯人に機器をあやつられたり、個人情報を盗まれてしまうのです。

さて、誘導された先の詐欺サイトでは次のような「2つのだましの手口」が確認されています。

偽宅配便SMS(ショートメッセージ)の2つの手口とは？

iPhoneとAndroidでは犯行の手口が異なる

偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。

しかし誘導される偽装サイトは、スマホの機種によって異なります。

URLをクリックすると、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます。

iPhoneは不正アプリをインストールさせることが難しいため、個人情報をだまし取ろうとします。

Androidは、ユーザーをだますことで、不正アプリのインストールが可能のため、ユーザーの注意を引きつけて、不正アプリをすすめてきます。

手口1．iPhoneを狙う「偽造サイトで個人情報を入力させ盗む」手口

出展：フィッシング対策協議会

主にiPhoneが狙われる手口です。

SMSのURLをクリックすると、「本物をコピーした精巧な大手銀行、地方銀行、オンライン銀行、dアカウントやAmazon､Appleなどのログイン画面」の偽造サイトに誘導し、個人情報を盗み取ろうとします。

「宅配便と関係ないサイトが開くのは変だ！」

と気がついて閉じてしまえば被害はありませんが、あわてて個人データを入力すると盗まれてしまいます。

盗まれた情報は犯人に悪用されるだけでなく、リスト化されブラックマーケットで売買されます。

そして、集められ個人情報は、2020年9月に報道された「ドコモ口座の不正引き落とし事件」のような大規模な不正ログイン事件などに繰返し悪用されてしまいます。

偽造サイトは見つかり次第閉鎖されますが、海外のプロの犯罪集団により、日々新しい攻撃方法や偽サイトが次々と生まれるため、対策が追いついていません。

2021年5月19日、IPA(情報処理推進機構)様よりも「宅配便の不在スミッシングからAppleの偽サイトでAppleＩＤを盗まれてしまった相談が多発｣と注意が出されました。

「不在通知の偽SMSから、佐川急便の再配達受付の偽サイトへ誘導されて、運転免許証を送ってしまった。」という相談が複数寄せられています。 ●偽SMSのURLをタップして偽サイトにアクセスしないでください! ●偽サイトにアクセスしてしまった場合でも、電話番号や本人確認書類を入力しないでください! pic.twitter.com/UrMuEPPcPH
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) May 18, 2021

またうっかりApple IDを入力してたため、大きな被害を受けてしまった方も、注意を呼びかけるtweetしています。

AppleIDが乗っ取られて14000円×21回購入294000円の被害でした。あっという間の事でパスワードが急に変更されて信頼出来る電話番号変えられてカード会社に電話した時には22回目の購入をしている所だったとの事。Appleは夜21時以降連絡出来ないのでカード会社で止めました。皆さん気をつけて😭 pic.twitter.com/xyRodZjh80
— 河上シェフ❄被弾済 (@caravan1979) May 14, 2021

さらに｢本人確認のため｣と称して、マイナンバーカードや運転免許証、パスポートなどのコピーを添付させる手口も出てきました。

IPA(情報処理推進機構)様｢安心相談窓口だより」
「安易に運転免許証など本人確認書類の写真を送信しないで！～不在通知の偽SMSで新たな手口の相談が増加中～」

　「SMS上のURLから開くページには個人情報は入力しない！」

を大原則として対応しましょう。

手口2．Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口

Androidが狙われる危険な手口です。

SMSのURLをクリックすると、

「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」」
「新型コロナ対策のためにアプリにバージョンアップしてください」

などとポップアップが表示されます。

ここでうっかり信じて「OK」を押してしまうと、スマホに「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」「偽クロネコヤマト公式アプリ」などの不正アプリがインストールされてしまいます。

上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。

それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。

ここでインストールしなければ被害はありません。

しかしインストールしてしまうと、有名アプリに似せた偽アプリや「ローミングマンティス」などの悪質なマルウェアを入れられ、

スマホの個人情報を盗み取る
勝手に多数の詐欺SMSを発信され、多額の通信料を請求される

などの被害につながります。

Chromeを装う不正アプリを入れられるとChromeが2つ表示される — Chromeに偽装した不正アプリを入れられるとChromeが2つ表示されるが見逃してしまう

さらに現在世界中でフルボット(Flubot)という悪質なマルウェアが宅配便や郵便局の不在通知SMSを通して広がっており、いずれ日本にも侵入してくるものと予想されています。

Androidをお使いの方で、もしも「勝手にsmsが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、

上記の手口に心当たりがないか？
アプリ一覧に見覚えのないアプリが入っていないか？

必ずお調べください！

宅配便の不在通知のSMS」はすべてニセモノ。詐欺！

大手3社の宅配会社はSMS(ショートメッセージ)の不在通知は出していない

ぜひ覚えてください！

「宅配便大手3社、ヤマト／日本郵便／佐川急便はSMSの不在通知は出してない！」

どの会社もSMSによる不在通知は発信していないと明言しています。

ヤマト運輸
　　■ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください
日本郵便
　　■当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。
佐川急便
　　■佐川急便を装った迷惑メールにご注意ください

そもそも不在通知がSMSでおくられるはずがない

あなたのスマホの電話番号は伝票に書かれていれば、宅配会社が知ることはできます。

しかし大手3社に関わらず、これだけ被害が起きている今、宅配会社がSMSで不在通知を流すはずはありません。

もちろん配達員の方が､自分の携帯から勝手にSMSを送るはずはありません。

つまり送られてくるSMSはすべて詐欺なのです。

宅配の不在通知SMSはすべてスミッシング詐欺！即削除しましょう。

多様化して危険性が高まる詐欺SMS(ショートメッセージ)

詐欺SMSは不在通知以外に、Amazonや楽天､メルカリその他へ拡大中！

宅配便の不在通知をかたる偽SMSに続き、Amazonの各種通知や楽天の発送通知、ドコモ、AUなど偽SMS(=Smishing)も大量に発生しています。

目的や手口は宅配便の詐欺SMSと同様です。

■引用：トレンドマイクロ社ブログより

画像引用：フィッシング対策協議会

不正なアクティビティが検出されました為、 au idの利用が制限されております。必ずご確認ください。 www.au.lwea.xyZ

【緊急通知】：友達からの「写真がネットに載ってるじゃん」のSMSスミッシングにも注意！

また、2021年5月には、新たな手口

　「気をつけてよ！写真がネットに載ってるじゃん、気まずいな！」

とのSMSを送りつけ、URLをクリックすると詐欺サイトに誘導して不正プログラムをインストールさせる手口も報告されています。

昨日から『「気をつけてよ！写真がネットに載ってるじゃん、気まずいな！」というSMSが送られて来てURLをタップした。』という相談が寄せられています。
URLをタップするとAndroidでは不審アプリのインストール、iPhoneではApple IDを入力させる偽サイトなどに誘導されます。
URLをタップしないで！1/3 pic.twitter.com/spcERBGMZv
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) May 20, 2021

Androidに不正プログラムをインストールしてしまうと、連絡先から友人達に同じ文面の詐欺SMSを発進されてしまい被害が広がっています。

では、激増する不在通知SMS詐欺にだまされないために、「不在通知の正しい知識」「犯人はどうしてあなたのスマホにSMSを送ってくるのか？」、引き続きご説明します。

【ご注意ください】楽天市場を装った不審なSMS(商品発送通知を装ったSMS)

なぜ犯人は電話番号を知っているのか？

犯人は機械的に数字を組み合わせて大量のSMSを送っているだけ

「なぜ私の電話番号を知っているの？」と心配する必要はまったくありません。

一部は出回っている電話番号リストを使っていますが、ほとんどの詐欺SMS犯は、適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。

SMS(ショートメッセージ)は比較的簡単な仕組みのため、コンピューターからも送信できます。

また海外では発信元名や電話番号を自由に設定できるサービスもあり、SMSには電子メールのような迷惑メールを除去するフィルターがないため、いくらでも偽装SMSを送ることができてしまいます。

SMSに返信や問い合わせは厳禁！

決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません！

犯人は無数の電話番号を作ってSMSを送り続けているため、犯人にとってもます。反応があった「本物の電話番号」は貴重なのです。

「反応があった。だましやすい電話番号だ」とリストに記録され、犯人の間に出回り、ますます詐欺SMSのターゲットにされてしまいます！！

それでは、もしもうっかり、リンクをクリックしてしまったらどうなるでしょうか？？

次ページでは

　－クリックしてしまったときの対処法

　－詐欺SMSの被害にあわないための対策

をやさしくご説明します。

＞＞次ページ　不在SMSをクリックしたけど大丈夫？