しかし正しい知識と基本的な対策があれば恐れることはありません。
「もしもクリックしてしまったら?」「私の電話番号が知られるわけ」などの仕組みや手口、そして「被害を防ぐ3つの対策」などの正しい知識をiPhoneとAndroid別にご説明します。
宅配便不在通知の詐欺SMS(ショートメッセージ)とは?
増え続ける宅配便詐欺SMS
詐欺に使われるSMS(ショートメッセージあるいはショートメール)のことを、SMSとフィッシング詐欺(Phishing)を組み合わせて、スミッシング(Smishing)と呼びます。
2019年以降目立ってきた「ヤマトや佐川急便、郵便局の宅配便をよそおう詐欺SMSスミッシング」は、2020年さらに被害が増え、ついには国民生活センターから「2020年の被害相談件数が前年の倍と急増している」と緊急注意が出ました。
現在は左に記載した「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記よりご確認ください」の偽SMSが多数送信されています。
セキュリティの専門機関の「IPA」や「フィッシング対策協議会」「国民生活センター」からも、毎月のように警告されています。
宅配便詐欺SMSスミッシングはなぜ危険なのか?
「綾瀬はるか」や「石原さとみ」からのSMSにだまされてURLをクリックする人はいないでしょう。
ところが「佐川など宅配便の詐欺SMSの不在通知」もまったく同じ手口にもかかわらず、クリックしてしまう人が後を絶ちません。
誰もが心当たりある「宅配便の不在通知」だと「つい反射的にURLをクリック」してしまうためです。
ほとんどの場合、クリックすると、宅配便とは無関係のサイトに誘導され
- 「セキュリティの警告!」
- 「危険、あなたの情報がもれています」
- 「安全のためこのアプリを入れてください」
などと不安をあおられます。
一部のユーザーは、ここで「変だ」と気付かず、あわてて犯人の狙いの行動を取ってしまうのです。
これこそ詐欺SMS(=スミッシング)の狙いです。
「宅配便の不在通知が、関係ないアプリのインストールをすすめるのはおかしい!」
「なぜ宅配便会社がAppleIDやパスワードを入力させるのか?」
と疑問に思って、無視すれば良いのですが、つい不安になって自らマルウェアをインストールしたり、情報を入力してしまった人が、犯人に機器をあやつられたり、個人情報を盗まれてしまうのです。
さて、誘導された先の詐欺サイトでは次のような「2つのだましの手口」が確認されています。
偽宅配便SMS(ショートメッセージ)の2つの手口とは?
iPhoneとAndroidでは犯行の手口が異なる
偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。
しかし誘導される偽装サイトは、スマホの機種によって異なります。
URLをクリックすると、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます。
- iPhoneは不正アプリをインストールさせることが難しいため、個人情報をだまし取ろうとします。
- Androidは、ユーザーをだませると不正アプリのインストールが可能のため、ユーザーの注意を引きつけて、不正アプリをすすめてきます。
手口1.iPhoneを狙う「偽造サイトで個人情報を入力させ盗む」手口
精巧に作られた偽サイトでIDやパスワードを盗み取る
出展:フィッシング対策協議会
主にiPhoneが狙われる手口です。
SMSのURLをクリックすると、「本物をコピーした精巧な大手銀行、地方銀行、オンライン銀行、dアカウントや、Amazon、Appleなどのログイン画面」の偽造サイトに誘導し、個人情報を盗み取ろうとします。
「宅配便と関係ないサイトが開くのは変だ!」
と気がついて閉じてしまえば被害はありませんが、あわてて個人データを入力すると盗まれてしまいます。
AppleIDを入力させる手口では、Appleから2ファクタ(二段階)認証のため送られてくる「6桁の確認コード」を引き続き求められることもあります。
うっかり確認コード入れてしまうと、犯人にAppleID乗っ取られてしまいます。
さらに盗まれた情報は犯人に悪用されるだけでなく、リスト化されブラックマーケットで売買されます。
そして、集められ個人情報は、2020年9月に報道された「ドコモ口座の不正引き落とし事件」のような大規模な不正ログイン事件などに繰返し悪用されてしまいます。
偽造サイトは見つかり次第閉鎖されますが、海外のプロの犯罪集団により、日々新しい攻撃方法や偽サイトが次々と生まれるため、対策が追いついていません。
AppleIDを盗み取る手口も増殖中!
2021年5月19日、IPA(情報処理推進機構)様よりも「宅配便の不在スミッシングからAppleの偽サイトでAppleIDを盗まれてしまった相談が多発」と注意が出されました。
5月1日から18日までの間に、iPhoneをご利用の方で、宅配業者を騙る偽SMSを受信後、文中のURLに接続、「AppleIDとパスワードを入力してしまった」という相談が20件寄せられました。相談の中には下記の様なご申告も多く含まれています。 1/2 pic.twitter.com/LkUT2hx8ws
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 19, 2021
またうっかりApple IDを入力してしまい、大きな被害を受けてしまった方も、注意を呼びかけるtweetしています。
AppleIDが乗っ取られて14000円×21回購入294000円の被害でした。あっという間の事でパスワードが急に変更されて信頼出来る電話番号変えられてカード会社に電話した時には22回目の購入をしている所だったとの事。Appleは夜21時以降連絡出来ないのでカード会社で止めました。皆さん気をつけて😭 pic.twitter.com/xyRodZjh80
— 河上シェフ❄被弾済 (@caravan1979) May 14, 2021
Apple IDを盗まれると、取り戻すことが非常に困難になり、iCloudに保存した写真や動画を一切失うことにもつながります。
十分に注意すると共に、うっかり入力しても不正ログインを防ぐことができる二段階認証を必ず設定しましょう。
本人確認書類(免許証/マイナンバーカード)をだまし取る手口も!
さらに「本人確認のため」と称して、マイナンバーカードや運転免許証、パスポートなどのコピーを添付させる手口も出てきました。
「宅配便の偽SMSにだまされて運転免許証の画像を送ってしまった」事例も紹介しています。
「不在通知の偽SMSから、佐川急便の再配達受付の偽サイトへ誘導されて、運転免許証を送ってしまった。」という相談が複数寄せられています。 ●偽SMSのURLをタップして偽サイトにアクセスしないでください! ●偽サイトにアクセスしてしまった場合でも、電話番号や本人確認書類を入力しないでください! pic.twitter.com/UrMuEPPcPH
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 18, 2021
IPA(情報処理推進機構)様「安心相談窓口だより」
「安易に運転免許証など本人確認書類の写真を送信しないで!~ 不在通知の偽SMSで新たな手口の相談が増加中 ~」
「SMS上のURLから開くページには個人情報は入力しない!」
を大原則として対応しましょう。
手口2.Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口
Androidが狙われる危険な手口です。
SMSのURLをクリックすると、
- 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」」
- 「新型コロナ対策のためにアプリにバージョンアップしてください」
などとポップアップが表示されます。
現在多いのか、精巧なクロネコメンバーズの偽サイトに誘導されて、 kuronemoyamato.apk の不正アプリをインストールさせる手口です。
不正アプリは、「○○.apk」と言う形式のファイルになっています。
ダウンロードしようとしても、ここで「OK」を押してしまうと、「提供元不明のアプリ」として「この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。」と警告が出ます。
それでも「OK」としてしまうと、スマホに「偽クロネコヤマト公式アプリ」「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」などの不正アプリがインストールされてしまいます。
偽サイトには、「提供元不明のアプリでもOKとするように」などの偽マニュアルも書かれている場合があります。
上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。
それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。
ここでインストールしなければ被害はありません。
しかしインストールしてしまうと、有名アプリに似せた偽アプリや「ローミングマンティス」などの悪質なマルウェアを入れられ、
- スマホの個人情報を盗み取る
- 勝手に多数の詐欺SMSを発信され、多額の通信料を請求される
などの被害につながります。
Androidをお使いの方で、もしも「勝手にsmsが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、
- 上記の手口に心当たりがないか?
- アプリ一覧に見覚えのないアプリが入っていないか?
必ずお調べください!
宅配便の不在通知のSMS」はすべてニセモノ。詐欺!
大手3社の宅配会社はSMS(ショートメッセージ)の不在通知は出していない
ぜひ覚えてください!
「宅配便大手3社、ヤマト/日本郵便/佐川急便はSMSの不在通知は出してない!」
どの会社もSMSによる不在通知は発信していないと明言しています。
■ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください
日本郵便
■当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。
佐川急便
■佐川急便を装った迷惑メールにご注意ください
そもそも不在通知がSMSでおくられるはずがない
あなたのスマホの電話番号は伝票に書かれていれば、宅配会社が知ることはできます。
しかし大手3社に関わらず、これだけ被害が起きている今、宅配会社がSMSで不在通知を流すはずはありません。
もちろん配達員の方が、自分の携帯から勝手にSMSを送るはずはありません。
つまり送られてくるSMSはすべて詐欺なのです。
多様化して危険性が高まる詐欺SMS(ショートメッセージ)
詐欺SMSは不在通知以外に、Amazonや楽天、メルカリその他へ拡大中!
宅配便の不在通知をかたる偽SMSに続き、Amazonの各種通知や楽天の発送通知、ドコモ、AUなど偽SMS(=Smishing)も大量に発生しています。
目的や手口は宅配便の詐欺SMSと同様です。
■引用:トレンドマイクロ社ブログより
画像引用:フィッシング対策協議会
【緊急通知】:友達からの「写真がネットに載ってるじゃん」のSMSスミッシングにも注意!
また、2021年5月には、新たな手口
「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」
とのSMSを送りつけ、URLをクリックすると詐欺サイトに誘導して不正プログラムをインストールさせる手口も報告されています。
昨日から『「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」というSMSが送られて来てURLをタップした。』という相談が寄せられています。
URLをタップするとAndroidでは不審アプリのインストール、iPhoneではApple IDを入力させる偽サイトなどに誘導されます。
URLをタップしないで!1/3 pic.twitter.com/spcERBGMZv— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 20, 2021
Androidに不正プログラムをインストールしてしまうと、連絡先から友人達に同じ文面の詐欺SMSを発進されてしまい被害が広がっています。
では、激増する不在通知SMS詐欺にだまされないために、「不在通知の正しい知識」「犯人はどうしてあなたのスマホにSMSを送ってくるのか?」、引き続きご説明します。
なぜ犯人は電話番号を知っているのか?
犯人は機械的に数字を組み合わせて大量のSMSを送っているだけ
「なぜ私の電話番号を知っているの?」と心配する必要はまったくありません。
一部は出回っている電話番号リストを使っていますが、ほとんどの詐欺SMS犯は、適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。
SMS(ショートメッセージ)は比較的簡単な仕組みのため、コンピューターからも送信できます。
また海外では発信元名や電話番号を自由に設定できるサービスもあり、SMSには電子メールのような迷惑メールを除去するフィルターがないため、いくらでも偽装SMSを送ることができてしまいます。
SMSに返信や問い合わせは厳禁!
決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません!
犯人は無数の電話番号を作ってSMSを送り続けているため、犯人にとってもます。反応があった「本物の電話番号」は貴重なのです。
「反応があった。だましやすい電話番号だ」とリストに記録され、犯人の間に出回り、ますます詐欺SMSのターゲットにされてしまいます!!
それでは、もしもうっかり、リンクをクリックしてしまったらどうなるでしょうか??
次ページでは
-クリックしてしまったときの対処法
-詐欺SMSの被害にあわないための対策
をやさしくご説明します。
- 1
- 2