第 20-02-395号
掲載日:2020年 2月 20日
最終更新日:2020年 6月 26日
独立行政法人情報処理推進機構
セキュリティセンター
宅配便業者をかたる偽ショートメッセージに引き続き注意!
※2020年 6月 26日追記
1.Androidの場合>1-1. 手口、1-3. 対処
上記に、新たに確認をした画面遷移例を追記いたしました。
2.iPhoneの場合>2-1. 手口
上記に、新たに確認をしたフィッシングサイト例を追記いたしました。
IPAでは、安心相談窓口だよりにて、宅配便業者をかたる偽ショートメッセージ(以下 SMS)の手口(図 1)について取り上げて
きました(*1)。本件に関する相談は継続して寄せられています(図 2)。
(*1) 「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html 「宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に」
https://www.ipa.go.jp/security/anshin/mgdayori20181129.html 「宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現」
https://www.ipa.go.jp/security/anshin/mgdayori20190320.html
図 1:アクセスする端末種類毎の手口分類
「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。配送物は下記よりご確認ください。」という不在通知を
よそおった SMSから偽サイトに誘導するこの手口は、攻撃内容が変化し続けている点に注意が必要です(*2)。
偽サイトは、佐川急便、日本郵便、ヤマト運輸をかたるものがこれまでに確認されており、2020年 1月末時点では、佐川急便、
日本郵便をかたるものが多い状況です。
Android端末(以下Android)では、不正なアプリの機能に変化が見られました。また、iPhoneや iPadなどの iOS端末(以下 iPhone)
では、フィッシングサイトで入力させようとする項目に変化が見られました。
そこで、本窓口だよりでは、過去の窓口だよりで解説してきた内容と、最近確認されている相談内容等を集約し、手口、影響、対
処と、被害にあわないための対策についてあらためて解説します。
スマートフォンの OSにより手口や対処が異なりますので、自身の利用端末にあった内容を下記の目次より確認してください。
図 2:宅配便業者をかたる偽 SMSに関する相談件数の推移
(*2) 2020 年 2 月、本手口において、「不在通知」ではなく、「新型コロナウイルス」に便乗した内容の偽 SMS が確認されたとの注意喚起がされました。
一般財団法人 日本サイバー犯罪対策センター:「新型コロナウイルスに乗じた犯罪」
https://www.jc3.or.jp/topics/newmodel_coronavirus.html
トレンドマイクロ社:「新型コロナウイルス」に便乗する攻撃メール」
https://blog.trendmicro.co.jp/archives/23740
目次
1.Androidの場合
1-1.手口
1-2.影響
1-3.対処
2.iPhoneの場合
2-1.手口
2-2.影響
2-3.対処
3.被害にあわないための対策
4. よくある質問
1.Androidの場合
1-1. 手口
Androidを狙った手口では、主に、次のような流れです。
① 偽不在通知 SMSを受信し、記載の URLをタップして、偽サイトにアクセスする。
② 表示されたメッセージに従い、そのサイトから不正なアプリのファイルを保存(ダウンロード)する。
③ 表示されたメッセージに従い、「提供元の許可」をして、不正なアプリをインストールする。
不正なアプリをインストールすると、被害につながります。
また、不正なアプリのインストール後、次のように、追加の手口に誘導される場合もあります。
④ アプリのインストール後、偽の警告メッセージが表示される。その警告のボタンをタップして、フィッシングサイトにアクセス
し、情報を入力する。
フィッシングサイトに情報を入力すると、さらなる被害につながります。
上記④のフィッシングサイトは、携帯電話会社、銀行、Google等を装い、アカウント情報(ID、パスワード)等を入力させるもの
が確認されています。
図 3:アプリインストール時の画面遷移例<佐川急便を装っているケース>(クリックして拡大)
図 4:アプリインストール時の画面遷移例<日本郵便を装っているケース>(クリックして拡大)
図 5:アプリインストール時の画面遷移例<Chromeの更新を装っているケース>(2020年 6月 26日追記)(クリックして拡大)
図 6:アプリインストール時の画面遷移例<ヤマト運輸を装っているケース>(2020年 6月 26日追記)(クリックして拡大)
このほかに、下記のようなパターンも確認されています。
・「Googleサービスをアップグレードしてください」と誘導し、不審アプリをインストールさせようとする。(2020年 6月 26
日追記)
1-2. 影響
Androidでの影響は、次のような事例が確認されています。
不正アプリをインストールした場合の影響 不在通知をかたる SMSを送信
不正なアプリをインストールしたスマートフォンから、同じ内容の SMSが見知らぬ宛先に多数送信されます。
その SMSを受信した相手から、電話や SMSの返信が来る場合があります。
スマートフォン内のデータの不正使用
不正なアプリによりスマートフォン内のデータや SMSが窃取され、不正使用される可能性があります。
当窓口には、次のような相談が寄せられています。
-携帯電話会社が提供するキャリア決済サービスにて、身に覚えのない請求が発生した。
-自分が所有しているアカウントを不正使用された。
-フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等にアカウントを勝手に作成され、不正
使用された。
誘導されたフィッシングサイトに情報を入力した場合の影響 入力した情報の不正使用
フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。
1-3. 対処
Androidでの対処は、次のとおりです。
不正なアプリをインストールした場合の対処 ①スマートフォンを機内モードに
スマートフォンを機内モード(Wi-Fi接続もオフ)に設定してください。これにより、通信を無効化し、当該スマートフォ
ンから SMSの送信を抑止することが可能です。また、当該スマートフォン内の情報が外部に送信されることもなくなりま
す。
②不正アプリのアンインストール
機内モードの状態で、不正なアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たに
SMSは送信されません。
アプリはスマートフォンのホーム画面には表示されませんので、設定アプリのアプリ一覧から探してアンインストールを実
施してください。
図 7:不正アプリのアンインストール方法①(クリックして拡大)
図 8:不正アプリのアンインストール方法②(2020年 6月 26日追記)(クリックして拡大)
③スマートフォンの初期化
不正なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、より安全な対処として、ア
プリのアンインストールだけではなく、スマートフォンの初期化を推奨します。
初期化の実施後にデータの復元を行う際は、不正なアプリをインストールした時点より前のバックアップデータを使用して
ください。初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。
④アカウントのパスワード変更
初期化後に Googleアカウント、およびスマートフォンで利用している SNS等のサービスのアカウントのパスワードを変
更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパ
スワードを「使い回さない」ようにしてください。また、「多要素認証」が提供されている場合、利用することを推奨しま
す(*3)。
⑤キャリア決済の請求確認
身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。
⑥その他アカウントサービス等の不正使用確認
不正アプリのインストール以降、携帯電話会社、フリーマーケットサービス、後払い決済サービス、その他のアカウントサ
ービス等から登録や変更に関するメールや SMS等が届いていた場合は、当該サービス提供会社へ不正使用が発生していな
いか等を確認してください。
※SMSは初期化をすると消えてしまうため、初期化する前に上記を確認してください。
誘導されたフィッシングサイトに情報を入力した場合の対処 ●アカウントのパスワード変更
フィッシングサイトにアカウント情報(ID、パスワード)等を入力した場合は、パスワードを至急変更してください。パス
ワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにし
てください。また、「多要素認証」が提供されている場合、利用することを推奨します(*3)。
入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。
2.iPhoneの場合
2-1. 手口
iPhoneを狙った手口では、主に、次のような流れです。
① 偽不在通知 SMSを受信し、記載の URLをタップして、偽サイトにアクセスする。
② 偽サイトで、Apple ID、パスワード、電話番号等を入力する。
偽サイトは、フィッシングサイトであり、そこで情報を入力すると、被害につながります。
また、上記のような入力画面に続いて、次のように、認証コードの入力へ誘導される場合もあります。
③ 偽サイトで入力した後に、スマートフォン上の通知や、SMS等で認証コードが届く。
④ ②の偽サイトで、認証コードを入力する。
認証コードを入力すると、2ファクタ認証等の多要素認証情報や、キャリア決済等のサービス利用時の本人確認情報を攻撃者に奪わ
れます。
(*3) 「不正ログイン対策特集ページ」
https://www.ipa.go.jp/security/anshin/account_security.html
図 9:フィッシングサイトへのアクセス時の画面遷移例<日本郵便を装っているケース>(クリックして拡大)
このほかに、下記のようなフィッシングの手口も確認されています。
・不正ログインが確認されたというメッセージを表示して、「三井住友銀行」、「ジャパンネット銀行」、「じぶん銀行」などの
インターネットバンキングサービスのログイン情報を入力させようとする。(2020年 6月 26日追記)
2-2. 影響
iPhoneでの影響は、次のような事例が確認されています。
フィッシングサイトに情報を入力した場合の影響 アカウントの不正ログインや不正使用
フィッシングサイトで情報を入力した場合は、その情報を不正使用される可能性があります。
特に、フィッシングサイトに認証コードを入力した場合は、被害につながる可能性が高くなります。
当窓口には、次のような相談が寄せられています。
-Apple ID、パスワード、2ファクタ認証コードを入力したところ、不正ログインされた。
-電話番号とキャリア決済サービスの認証コードを入力したところ、身に覚えのない請求が発生した。
-電話番号と認証コードを入力したところ、フリーマーケットサービス等にアカウントを勝手に作成された。
2-3. 対処
iPhoneでの対処は、次のとおりです。
フィッシングサイトに情報を入力した場合の対処 キャリア決済の請求確認
フィッシングサイトに電話場号と認証コードを入力した場合は、身に覚えのないキャリア決済の請求が発生していないか、
使用している携帯電話会社に確認してください。
アカウントのパスワード変更
フィッシングサイトに IDとパスワードを入力した場合は、パスワードを至急変更してください。パスワードはできるだけ
「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、
「多要素認証」が提供されている場合、利用することを推奨します(*4)。
入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。
3.被害にあわないための対策
被害に遭わないために、日頃から次のような対策をしてください。
手口を知る 知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今
回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。
SMSやメール内の URLを安易にタップしない リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのない SMSやメールが届いたら、URL
をタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。
提供元不明のアプリのインストールをするときは、細心の注意を払う(Androidの場合) Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、
今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要
です。
パスワードや認証コード等を安易に入力しない 電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。
4.よくある質問
本手口において、よくある質問は次の通りです。
質問 回答
1 サイトにアクセスしただけで、何の操作も入力もせずに
閉じた。なにか被害があるか?
偽サイトにアクセスしただけであれば、被害にはつながりません。
■Androidの場合:
表示されたメッセージに沿って操作(アプリのインストール)をして
いなければ、影響はありません。自身の操作なしにアプリがインスト
ールされることはありません。
なお、アプリのファイル(APK ファイル)がスマートフォン内のダ
ウンロードフォルダ等にあった場合は、念のため削除してください。
■iPhoneの場合:
何も入力していなければ、影響はありません。
2 Androidで不正アプリをダウンロードしたが、インスト
ールはしていない。なにか被害があるか?
不正アプリをダウンロードしただけで、インストールしていなければ
被害は発生しません。
念のため、スマートフォン内のダウンロードフォルダ等にある当該ア
プリのファイル(APKファイル)を削除してください。
なお、インストール作業であると知らずに操作を進め、被害に遭った
事例も寄せられています。
手口に遭遇した際の操作内容が不明瞭で、インストールをしたかどう
か分からない場合等は、SMS の大量送信やキャリア決済サービスの
不正使用等の被害が出ていないかどうか、携帯電話会社に確認するこ
とを推奨します。
3 Androidで不正アプリをインストールしたが、電話番号
を変更すれば、勝手に SMSを送信されたり、スマホ内
のデータを不正使用されたりすることはなくなるか?
電話番号を変更しても、それらの事象への対処にはなりません。初期
化等を実施してください。(Androidの対処<1-3.対処>をご参照)
4 Androidに不正アプリをインストールしたが、スマート
フォンを買い替えなくてはいけないか?
スマートフォンを初期化することで、不正アプリの影響を取り除くこ
とができます。買い替えの必要はありません。
5 SMSを送ってきた人が攻撃者なのか? 攻撃者の可能性もありますが、自身の Android に不正アプリをイン
ストールした被害者の方から送られてきている可能性もあります。
(Androidの被害<1-2.影響>をご参照)
更新履歴
2020年 6月 26日 1.Androidの場合>1-1. 手口、1-3. 対処に追記
2.iPhoneの場合>2-1. 手口に追記
2020年 2月 20日 掲載
本件に関するお問い合わせ先
情報セキュリティ安心相談窓口
Tel: 03-5978-7509 Fax: 03-5978-7518
E-mail: [email protected]
セキュリティセンター 中島/加賀谷 ※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。