情報処理推進機構(IPA▼)は2021年6月下旬、いわゆる「SMS▼フィッシング」の新しい手口が確認されたとして注意を呼びかけた▼。宅配業者の不在通知に見せかけたメッセージでユーザーを偽サイトに誘導。本人確認と称して、運転免許証の画像や電話番号などを詐取しようとする。
偽サイトで本人確認書類を要求
SMSフィッシングとは、SMSの偽メッセージでユーザーを偽サイトに誘導し、個人情報を入力させて盗むネット詐欺のこと。偽サイトで不審なアプリをインストールさせる場合もある。
国内で最初に大きな被害をもたらしたSMSフィッシングは、佐川急便の不在通知に見せかける手口だった。その後、別の宅配業者をかたる手口も相次いで出現。現在ではECサイトや金融機関、通信事業者などをかたる手口も増えている。とはいえ、不在通知に見せかける手口は今でも多い。
これまでの手口では、偽メッセージ中のURLをタップしたスマートフォンの機種によって誘導先を変える。Androidスマートフォンの場合は悪質なアプリをインストールさせるサイトに誘導する。一方iPhoneの場合には、「電話番号と認証コード」や「Apple IDとパスワード」を入力させる偽サイトに誘導する。
新手口では、偽メッセージ中のURLをタップすると、AndroidスマートフォンとiPhoneのいずれでも偽の「Web再配達受付サービス」サイトに誘導される(図1)。
偽サイトでは、電話番号とメールアドレスの入力や、本人確認書類(運転免許証、マイナンバーカード、パスポート)の画像のアップロードなどが要求される。要求通りに入力およびアップロードすると、それらはすべて攻撃者に奪われてしまう。
今後も、不在通知に見せかけたSMSフィッシングは相次ぐだろう。被害に遭わないためにはどうすればよいだろうか。