全1518文字
PR

 情報処理推進機構(IPA)は2021年6月下旬、いわゆる「SMSフィッシング」の新しい手口が確認されたとして注意を呼びかけた。宅配業者の不在通知に見せかけたメッセージでユーザーを偽サイトに誘導。本人確認と称して、運転免許証などの写真や電話番号を詐取しようとする。「なぜこんなものにだまされるのか」と思う人は多いだろう。だが、被害が相次いでいるのが実情だ。だまされないためにはどうすればよいのか。

偽サイトで本人確認書類を要求

 SMSフィッシングとは、SMSの偽メッセージでユーザーを偽サイトに誘導し、個人情報を入力させて盗むネット詐欺のこと。偽サイトで不審なアプリをインストールさせる場合もある。

 国内で最初に大きな被害をもたらしたSMSフィッシングは、佐川急便の不在通知に見せかける手口だった。その後、別の宅配業者をかたる手口も出現。現在では電子商取引(EC)サイトや金融機関、通信事業者などをかたる手口も増えている。

 これまでの手口では、偽メッセージ中のURLをタップしたスマートフォンの機種によって誘導先を変える。具体的には、Androidスマートフォンの場合は悪質なアプリをインストールさせるサイトに誘導する。悪質なアプリをインストールすると、スマートフォンに保存された個人情報などが盗まれる。さらに、偽メッセージを手当たり次第に送信する。被害者であるにもかかわらず、加害者にもなるのだ。一方iPhoneの場合には、「電話番号と認証コード」や「Apple IDとパスワード」を入力させる偽サイトに誘導する。

 今回の新手口では、偽メッセージ中のURLをタップすると、AndroidスマートフォンとiPhoneのいずれでも偽の「Web再配達受付サービス」サイトに誘導される。偽サイトでは、電話番号やメールアドレスの入力、本人確認書類(運転免許証、マイナンバーカード、パスポート)の写真のアップロードが要求される。要求通りに入力およびアップロードすると、それらは全て攻撃者に奪われてしまう。

 被害に遭わないためにはどうすればよいだろうか。まず覚えておいてほしいのは、宅配業者が荷物の集配に関する情報をSMSで送ることはないということだ。主要な宅配業者はWebサイトなどで注意を呼びかけている。

 例えばヤマト運輸は「弊社では、ショートメールによるご不在連絡やお届け予定のお知らせは行っておりません」、佐川急便は「当社ではお荷物の集配についてショートメール(SMS)によるご案内は行っておりません」としている。日本郵便や西濃運輸も同様だ。つまり、不在通知がSMSで送られてくることはない。不在通知を伝えるメッセージは全て偽物なのだ。

 もう1つのポイントは「URL(リンク)では判断しない」ということである。不在通知のSMSフィッシングについて、SNSなどで「佐川急便のURLなら『sagawa』の文字が入ってる。入っていなければ偽物だ」といった趣旨の書き込みをいくつか見かけた。とても危ない考え方だ。

 確かに、かたっている企業とは全く異なるドメインや短縮URLなどを使っているケースは多い。だが一方で、紛らわしいドメインを取得する攻撃者もいる。2018年に大きな被害をもたらしたSMSフィッシングでは、「http://sagawa-XX.com/」というURLが使われた(「XX」は伏せ字)。今回紹介した新手口でもURLに「sagawa」が含まれていた。「https://sagawa-XX.XXXX/」というURLだったようだ(XX、XXXXは伏せ字)。

 URLを過信してはいけない。「どのようなURLであっても危ない」と考えてほしい。

勝村 幸博(かつむら・ゆきひろ)
勝村 幸博(かつむら・ゆきひろ) 日経コンピュータなどを経て、日経NETWORK編集長。著書に「すぐそこにあるサイバーセキュリティーの罠」「ゼロトラスト Googleが選んだ最強のセキュリティー」(日経BP)など。情報処理安全確保支援士、博士(工学)。