ヤマトや佐川急便の宅配不在SMSをクリックしてしまった!~偽SMS被害を避ける3つの対策とは?

フィッシングSMSのイメージ
フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便、ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知~「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」などの詐欺SMSはうっかりクリックしやすく危険です。
しかし正しい知識と基本的な対策があれば恐れることはありません。
「もしもクリックしてしまったら?」「私の電話番号が知られるわけ」などの仕組みや手口、そして「被害を防ぐ3つの対策」などの正しい知識をiPhoneとAndroid別にご説明します。

宅配便不在通知の詐欺SMS(ショートメッセージ)とは?

増え続ける宅配便詐欺SMS

偽宅配便SMS「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記よりご確認ください。
宅配便の不在を装う詐欺SMS~お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください

詐欺に使われるSMS(ショートメッセージあるいはショートメール)のことを、SMSとフィッシング詐欺(Phishing)を組み合わせて、スミッシング(Smishing)と呼びます。

2019年以降目立ってきた「ヤマトや佐川急便、郵便局の宅配便をよそおう詐欺SMSスミッシング」は、2020年さらに被害が増え、ついには国民生活センターから「2020年の被害相談件数が前年の倍と急増している」と緊急注意が出ました。

現在は左に記載した「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記よりご確認ください」の偽SMSが多数送信されています。

セキュリティの専門機関の「IPA」や「フィッシング対策協議会」「国民生活センター」からも、毎月のように警告されています。

宅配便詐欺SMSスミッシングはなぜ危険なのか?

綾瀬はるかです。ドラマ撮影でストレス溜まってます。細菌は感染症とか色々うるさくてストレスも解消できなくて(T_T)もしよければ電話とかズーム飲み会しませんか??テレビ電話みたいにお互い顔見ながら話せるから楽しいとおもうんですよねーこんにちは、石原さとみです(^^)突然連絡してびっくりさせちゃいました?実は最近悩んでてお話きいてくれる人が欲しくて(T_T)いきなり連絡しても信じてもらえないと思うので動画送ります♪見れたらお返事ください

「綾瀬はるか」や「石原さとみ」からのSMSにだまされてURLをクリックする人はいないでしょう。

ところが「佐川など宅配便の詐欺SMSの不在通知」もまったく同じ手口にもかかわらず、クリックしてしまう人が後を絶ちません。

誰もが心当たりある「宅配便の不在通知」だと「つい反射的にURLをクリック」してしまうためです。

ほとんどの場合、クリックすると、宅配便とは無関係のサイトに誘導され

  • 「セキュリティの警告!」
  • 「危険、あなたの情報がもれています」
  • 安全のためこのアプリを入れてください」

などと不安をあおられます。

一部のユーザーは、ここで「変だ」と気付かず、あわてて犯人の狙いの行動を取ってしまうのです

これこそ詐欺SMS(=スミッシング)の狙いです。

「宅配便の不在通知が、関係ないアプリのインストールをすすめるのはおかしい!」

「なぜ宅配便会社がAppleIDやパスワードを入力させるのか?」

と疑問に思って、無視すれば良いのですが、つい不安になって自らマルウェアをインストールしたり、情報を入力してしまった人が、犯人に機器をあやつられたり、個人情報を盗まれてしまうのです。

 

 

さて、誘導された先の詐欺サイトでは次のような「2つのだましの手口」が確認されています。

 

偽宅配便SMS(ショートメッセージ)の2つの手口とは?

iPhoneとAndroidでは犯行の手口が異なる

偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。

しかし誘導される偽装サイトは、スマホの機種によって異なります

URLをクリックすると、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます

  • iPhoneは不正アプリをインストールさせることが難しいため、個人情報をだまし取ろうとします。
  • Androidは、ユーザーをだませると不正アプリのインストールが可能のため、ユーザーの注意を引きつけて、不正アプリをすすめてきます。

 

手口1.iPhoneを狙う「偽造サイトで個人情報を入力させ盗む」手口

精巧に作られた偽サイトでIDやパスワードを盗み取る

主にiPhoneが狙われる手口です。

SMSのURLをクリックすると、「本物をコピーした精巧な大手銀行、地方銀行、オンライン銀行、dアカウントや、Amazon、Appleなどのログイン画面」の偽造サイトに誘導し、個人情報を盗み取ろうとします。

「宅配便と関係ないサイトが開くのは変だ!」

と気がついて閉じてしまえば被害はありませんが、あわてて個人データを入力すると盗まれてしまいます。

AppleIDを入力させる手口では、Appleから2ファクタ(二段階)認証のため送られてくる「6桁の確認コード」を引き続き求められることもあります。
うっかり確認コード入れてしまうと、犯人にAppleID乗っ取られてしまいます。

さらに盗まれた情報は犯人に悪用されるだけでなく、リスト化されブラックマーケットで売買されます。

そして、集められ個人情報は、2020年9月に報道された「ドコモ口座の不正引き落とし事件」のような大規模な不正ログイン事件などに繰返し悪用されてしまいます。

偽造サイトは見つかり次第閉鎖されますが、海外のプロの犯罪集団により、日々新しい攻撃方法や偽サイトが次々と生まれるため、対策が追いついていません。

AppleIDを盗み取る手口も増殖中!

2021年5月19日、IPA(情報処理推進機構)様よりも「宅配便の不在スミッシングからAppleの偽サイトでAppleIDを盗まれてしまった相談が多発」と注意が出されました。

またうっかりApple IDを入力してしまい、大きな被害を受けてしまった方も、注意を呼びかけるtweetしています。

Apple IDを盗まれると、取り戻すことが非常に困難になり、iCloudに保存した写真や動画を一切失うことにもつながります。

十分に注意すると共に、うっかり入力しても不正ログインを防ぐことができる二段階認証を必ず設定しましょう

本人確認書類(免許証/マイナンバーカード)をだまし取る手口も!

さらに「本人確認のため」と称して、マイナンバーカードや運転免許証、パスポートなどのコピーを添付させる手口も出てきました。

「宅配便の偽SMSにだまされて運転免許証の画像を送ってしまった」事例も紹介しています。

 

IPA(情報処理推進機構)様「安心相談窓口だより」
安易に運転免許証など本人確認書類の写真を送信しないで!~ 不在通知の偽SMSで新たな手口の相談が増加中 ~

 

 「SMS上のURLから開くページには個人情報は入力しない!」

を大原則として対応しましょう

 

手口2.Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口

Androidが狙われる危険な手口です。

SMSのURLをクリックすると、

  • 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」
  • 「新型コロナ対策のためにアプリにバージョンアップしてください」

などとポップアップが表示されます。

現在多いのか、精巧なクロネコメンバーズの偽サイトに誘導されて、 kuronemoyamato.apk の不正アプリをインストールさせる手口です。

不正アプリは、「○○.apk」と言う形式のファイルになっています。

ダウンロードしようとしても、ここで「OK」を押してしまうと、「提供元不明のアプリ」として「この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。」と警告が出ます。

それでも「OK」としてしまうと、スマホに「偽クロネコヤマト公式アプリ」「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」などの不正アプリがインストールされてしまいます。

偽サイトには、「提供元不明のアプリでもOKとするように」などの偽マニュアルも書かれている場合があります。

宅配便の不在通知をクリックしたらマルウェアを入れられた

 

上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。

それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。

ここでインストールしなければ被害はありません。

しかしインストールしてしまうと、有名アプリに似せた偽アプリやローミングマンティス」などの悪質なマルウェアを入れられ、

  • スマホの個人情報を盗み取る
  • 勝手に多数の詐欺SMSを発信され、多額の通信料を請求される

などの被害につながります。

Chromeを装う不正アプリを入れられるとChromeが2つ表示される
Chromeに偽装した不正アプリを入れられるとChromeが2つ表示されるが見逃してしまう

Androidをお使いの方で、もしも「勝手にsmsが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、

  • 上記の手口に心当たりがないか?
  • アプリ一覧に見覚えのないアプリが入っていないか?

必ずお調べください!

 

宅配便の不在通知のSMS」はすべてニセモノ。詐欺!

大手3社の宅配会社はSMS(ショートメッセージ)の不在通知は出していない

ぜひ覚えてください!

「宅配便大手3社、ヤマト/日本郵便/佐川急便はSMSの不在通知は出してない!」

どの会社もSMSによる不在通知は発信していないと明言しています。

 

そもそも不在通知がSMSでおくられるはずがない

あなたのスマホの電話番号は伝票に書かれていれば、宅配会社が知ることはできます。

しかし大手3社に関わらず、これだけ被害が起きている今、宅配会社がSMSで不在通知を流すはずはありません。

もちろん配達員の方が、自分の携帯から勝手にSMSを送るはずはありません。

つまり送られてくるSMSはすべて詐欺なのです。

 

宅配の不在通知SMSはすべてスミッシング詐欺!即削除しましょう。

 

 

多様化して危険性が高まる詐欺SMS(ショートメッセージ)

詐欺SMSは不在通知以外に、Amazonや楽天、メルカリその他へ拡大中!

宅配便の不在通知をかたる偽SMSに続き、Amazonの各種通知や楽天の発送通知、ドコモ、AUなど偽SMS(=Smishing)も大量に発生しています

目的や手口は宅配便の詐欺SMSと同様です。

スミッシング詐欺SMS「プライム会費のお支払い方法に問題があります。詳細は」

メルカリを装うフィッシング
不正なアクティビティが検出されました為、 au idの利用が制限されております。 必ずご確 認ください。 www.au.lwea.xyZ

 

 

【緊急通知:友達からの「写真がネットに載ってるじゃん」のSMSスミッシングにも注意!

また、2021年5月には、新たな手口

 「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」

とのSMSを送りつけ、URLをクリックすると詐欺サイトに誘導して不正プログラムをインストールさせる手口も報告されています。

Androidに不正プログラムをインストールしてしまうと、連絡先から友人達に同じ文面の詐欺SMSを発進されてしまい被害が広がっています。

では、激増する不在通知SMS詐欺にだまされないために、「不在通知の正しい知識」「犯人はどうしてあなたのスマホにSMSを送ってくるのか?」、引き続きご説明します。
 

 

 

なぜ犯人は電話番号を知っているのか?

犯人は機械的に数字を組み合わせて大量のSMSを送っているだけ

「なぜ私の電話番号を知っているの?」と心配する必要はまったくありません。

一部は出回っている電話番号リストを使っていますが、ほとんどの詐欺SMS犯は、適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。

SMS(ショートメッセージ)は比較的簡単な仕組みのため、コンピューターからも送信できます。

また海外では発信元名や電話番号を自由に設定できるサービスもあり、SMSには電子メールのような迷惑メールを除去するフィルターがないため、いくらでも偽装SMSを送ることができてしまいます。

 

SMSに返信や問い合わせは厳禁!

決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません!

犯人は無数の電話番号を作ってSMSを送り続けているため、犯人にとってもます。反応があった「本物の電話番号」は貴重なのです。

「反応があった。だましやすい電話番号だ」とリストに記録され、犯人の間に出回り、ますます詐欺SMSのターゲットにされてしまいます!!

 

 

それでは、もしもうっかり、リンクをクリックしてしまったらどうなるでしょうか??

次ページでは

 -クリックしてしまったときの対処法

 -詐欺SMSの被害にあわないための対策

をやさしくご説明します。