ヤマトや佐川急便の宅配不在SMSをクリックしてしまった！～偽SMS被害を避ける3つの対策とは？

宅配便不在通知の詐欺SMS(ショートメッセージ)とは？

増え続ける宅配便詐欺SMS

詐欺に使われるSMS(ショートメッセージあるいはショートメール)のことを、SMSとフィッシング詐欺(Phishing)を組み合わせて、スミッシング(Smishing)と呼びます。

2019年以降目立ってきた「ヤマトや佐川急便、郵便局の宅配便をよそおう詐欺SMSスミッシング」は、2020年さらに被害が増え、ついには国民生活センターから「2020年の被害相談件数が前年の倍と急増している」と緊急注意が出ました。

現在は左に記載した「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記よりご確認ください」の偽SMSが多数送信されています。

セキュリティの専門機関の「IPA」や「フィッシング対策協議会」｢国民生活センター｣からも、毎月のように警告されています。

宅配便業者を装った「不在通知」の偽SMSに注意しましょう−URLにはアクセスしない、ID・パスワードを入力...

www.kokusen.go.jp

 

http://www.kokusen.go.jp/news/data/n-20201126_2.html

宅配便詐欺SMSスミッシングはなぜ危険なのか？

さて、誘導された先の詐欺サイトでは次のような「2つのだましの手口」が確認されています。

偽宅配便SMS(ショートメッセージ)の2つの手口とは？

iPhoneとAndroidでは犯行の手口が異なる

偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。

しかし誘導される偽装サイトは、スマホの機種によって異なります。

URLをクリックすると、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます。

• iPhoneは不正アプリをインストールさせることが難しいため、個人情報をだまし取ろうとします。
• Androidは、ユーザーをだませると不正アプリのインストールが可能のため、ユーザーの注意を引きつけて、不正アプリをすすめてきます。

手口1．iPhoneを狙う「偽造サイトで個人情報を入力させ盗む」手口

精巧に作られた偽サイトでＩＤやパスワードを盗み取る

AppleＩＤを盗み取る手口も増殖中！

2021年5月19日、IPA(情報処理推進機構)様よりも「宅配便の不在スミッシングからAppleの偽サイトでAppleＩＤを盗まれてしまった相談が多発｣と注意が出されました。

5月1日から18日までの間に、iPhoneをご利用の方で、宅配業者を騙る偽SMSを受信後、文中のURLに接続、「AppleIDとパスワードを入力してしまった」という相談が20件寄せられました。相談の中には下記の様なご申告も多く含まれています。　1/2 pic.twitter.com/LkUT2hx8ws

— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) May 19, 2021

またうっかりApple IDを入力してしまい、大きな被害を受けてしまった方も、注意を呼びかけるtweetしています。

AppleIDが乗っ取られて14000円×21回購入294000円の被害でした。あっという間の事でパスワードが急に変更されて信頼出来る電話番号変えられてカード会社に電話した時には22回目の購入をしている所だったとの事。Appleは夜21時以降連絡出来ないのでカード会社で止めました。皆さん気をつけて😭 pic.twitter.com/xyRodZjh80

— 河上シェフ❄被弾済 (@caravan1979) May 14, 2021

Apple ＩＤを盗まれると、取り戻すことが非常に困難になり、iCloudに保存した写真や動画を一切失うことにもつながります。

十分に注意すると共に、うっかり入力しても不正ログインを防ぐことができる二段階認証を必ず設定しましょう。

本人確認書類(免許証／マイナンバーカード)をだまし取る手口も！

さらに｢本人確認のため｣と称して、マイナンバーカードや運転免許証、パスポートなどのコピーを添付させる手口も出てきました。

「宅配便の偽SMSにだまされて運転免許証の画像を送ってしまった｣事例も紹介しています。

「不在通知の偽SMSから、佐川急便の再配達受付の偽サイトへ誘導されて、運転免許証を送ってしまった。」という相談が複数寄せられています。 ●偽SMSのURLをタップして偽サイトにアクセスしないでください! ●偽サイトにアクセスしてしまった場合でも、電話番号や本人確認書類を入力しないでください! pic.twitter.com/UrMuEPPcPH

— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) May 18, 2021

IPA(情報処理推進機構)様｢安心相談窓口だより」
「安易に運転免許証など本人確認書類の写真を送信しないで！～ 不在通知の偽SMSで新たな手口の相談が増加中 ～」

　「SMS上のURLから開くページには個人情報は入力しない！」

を大原則として対応しましょう。

電話をかけてきて認証コードを聞き取る手口も

IPAの発表によると、偽サイトにＩＤとパスワードを入力させても、SMSで送ってくる認証コードがないとログインできないため、「クロネコヤマトですが、確認のためお送りした認証コードを教えてください」と電話してきた例も報告されています。

ヤマト運輸とYahoo!より注意喚起が出ています。

認証コードは暗証番号と同じで、電話などで他人に教えることはあり得ません。絶対に伝えないようご注意ください。

■ヤマト運輸：「お電話でセキュリティに必要な認証番号を確認することはありません。」
■Yahoo! JAPAN：「4桁の確認コード（SMS認証番号）は絶対に他人に教えないでください。」

手口2．Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口

Androidが狙われる危険な手口です。

SMSのURLをクリックすると、

• 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」」
• 「新型コロナ対策のためにアプリにバージョンアップしてください」

などとポップアップが表示されます。

現在多いのか、精巧なクロネコメンバーズの偽サイトに誘導されて、　kuronemoyamato.apk　の不正アプリをインストールさせる手口です。

不正アプリは、「○○.apk」と言う形式のファイルになっています。

ダウンロードしようとしても、ここで「OK」を押してしまうと、｢提供元不明のアプリ｣として「この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。」と警告が出ます。

それでも「OK」としてしまうと、スマホに「偽クロネコヤマト公式アプリ」「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」などの不正アプリがインストールされてしまいます。

偽サイトには、｢提供元不明のアプリでもＯＫとするように｣などの偽マニュアルも書かれている場合があります。

上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。

それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。

ここでインストールしなければ被害はありません。

しかしインストールしてしまうと、有名アプリに似せた偽アプリや「ローミングマンティス」などの悪質なマルウェアを入れられ、

• スマホの個人情報を盗み取る
• 勝手に多数の詐欺SMSを発信され、多額の通信料を請求される

などの被害につながります。

Androidをお使いの方で、もしも「勝手にsmsが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、

• 上記の手口に心当たりがないか？
• アプリ一覧に見覚えのないアプリが入っていないか？

必ずお調べください！

手口3．iphoneを狙う「不正な構成プロファイルをインストール」させ、不正アプリを入れる手口

2021年秋以降増えてきた危険な手口です。

これまでiPhoneは非公式アプリを入れることが困難だったため、手口1.でご説明した「情報をだまし取る」手口ばかりでしたが、新しい手口でiPhoneに不正なアプリをインストールさせようとする手口が登場しています。

1. まず構成プロファイルというiPhoneの基本的な設定を書き換えることができるファイルを入れさせる
2. 不正な構成プロファイルによってiPhone非公式アフリがインストールできるようになる。
3. スマホ事業者の純正アプリに似せた不正アプリをインストールさせて、アカウント情報などを盗みとる。

構成プロファイルは新しいiPhoneを買ったときに、各通信事業者のモバイル通信やWifiの設定変更のために導入することがありますが、悪用されるとiPhoneの基本的な設定を変更されてしまうため、非常に危険です。

「このWEBサイトは構成プロファイルをダウンロードしようとしています。許可しますか？　無視　許可」というメッセージが出た時は、決して「許可」しない要注意してください。

下記のセーファーインターネット協会の記事に詳しい内容が説明されています。

安全だったはずのiphoneユーザーをおそった悲劇 | セーファーインターネット協会 Safer Internet Associ...

一般社団法人セーファーインターネット協会（SIA）は、違法・有害情報の流通を防止するために、民間企業らによって設立された団体です。統計に基づいた施策の立案・実施、効果測定など、民間組織ならではのノウハウを活かし、とかく場当たり的・扇情的対策になりがちな分野において、効果的な対策を行ってまいります。

www.saferinternet.or.jp

 

https://www.saferinternet.or.jp/column/14053/

宅配便の不在通知のSMS」はすべてニセモノ。詐欺！

大手3社の宅配会社はSMS(ショートメッセージ)の不在通知は出していない

ぜひ覚えてください！

「宅配便大手3社、ヤマト／日本郵便／佐川急便はSMSの不在通知は出してない！」

どの会社もSMSによる不在通知は発信していないと明言しています。

そもそも不在通知がSMSでおくられるはずがない

あなたのスマホの電話番号は伝票に書かれていれば、宅配会社が知ることはできます。

しかし大手3社に関わらず、これだけ被害が起きている今、宅配会社がSMSで不在通知を流すはずはありません。

もちろん配達員の方が､自分の携帯から勝手にSMSを送るはずはありません。

つまり送られてくるSMSはすべて詐欺なのです。

多様化して危険性が高まる詐欺SMS(ショートメッセージ)

詐欺SMSは不在通知以外に、Amazonや楽天､メルカリその他へ拡大中！

宅配便の不在通知をかたる偽SMSに続き、Amazonの各種通知や楽天の発送通知、ドコモ、AUなど偽SMS(=Smishing)も大量に発生しています。

目的や手口は宅配便の詐欺SMSと同様です。

【緊急通知】：友達からの「写真がネットに載ってるじゃん」のSMSスミッシングにも注意！

また、2021年5月には、新たな手口

　「気をつけてよ！写真がネットに載ってるじゃん、気まずいな！」

とのSMSを送りつけ、URLをクリックすると詐欺サイトに誘導して不正プログラムをインストールさせる手口も報告されています。

昨日から『「気をつけてよ！写真がネットに載ってるじゃん、気まずいな！」というSMSが送られて来てURLをタップした。』という相談が寄せられています。
URLをタップするとAndroidでは不審アプリのインストール、iPhoneではApple IDを入力させる偽サイトなどに誘導されます。
URLをタップしないで！1/3 pic.twitter.com/spcERBGMZv

— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) May 20, 2021

Androidに不正プログラムをインストールしてしまうと、連絡先から友人達に同じ文面の詐欺SMSを発進されてしまい被害が広がっています。

では、激増する不在通知SMS詐欺にだまされないために、「不在通知の正しい知識」「犯人はどうしてあなたのスマホにSMSを送ってくるのか？」、引き続きご説明します。
 

なぜ犯人は電話番号を知っているのか？

犯人は機械的に数字を組み合わせて大量のSMSを送っているだけ

「なぜ私の電話番号を知っているの？」と心配する必要はまったくありません。

一部は出回っている電話番号リストを使っていますが、ほとんどの詐欺SMS犯は、適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。

SMS(ショートメッセージ)は比較的簡単な仕組みのため、コンピューターからも送信できます。

また海外では発信元名や電話番号を自由に設定できるサービスもあり、SMSには電子メールのような迷惑メールを除去するフィルターがないため、いくらでも偽装SMSを送ることができてしまいます。

SMSに返信や問い合わせは厳禁！

決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません！

犯人は無数の電話番号を作ってSMSを送り続けているため、犯人にとってもます。反応があった「本物の電話番号」は貴重なのです。

「反応があった。だましやすい電話番号だ」とリストに記録され、犯人の間に出回り、ますます詐欺SMSのターゲットにされてしまいます！！

それでは、もしもうっかり、リンクをクリックしてしまったらどうなるでしょうか？？

次ページでは

　－クリックしてしまったときの対処法

　－詐欺SMSの被害にあわないための対策

をやさしくご説明します。