全1752文字
PR

 情報処理推進機構(IPA)は2021年6月下旬、いわゆる「SMSフィッシング」の新しい手口が確認されたとして注意を呼びかけた。宅配業者の不在通知に見せかけたメッセージでユーザーを偽サイトに誘導。本人確認と称して、運転免許証の画像や電話番号などを詐取しようとする。

偽サイトで本人確認書類を要求

 SMSフィッシングとは、SMSの偽メッセージでユーザーを偽サイトに誘導し、個人情報を入力させて盗むネット詐欺のこと。偽サイトで不審なアプリをインストールさせる場合もある。

 国内で最初に大きな被害をもたらしたSMSフィッシングは、佐川急便の不在通知に見せかける手口だった。その後、別の宅配業者をかたる手口も相次いで出現。現在ではECサイトや金融機関、通信事業者などをかたる手口も増えている。とはいえ、不在通知に見せかける手口は今でも多い。

 これまでの手口では、偽メッセージ中のURLをタップしたスマートフォンの機種によって誘導先を変える。Androidスマートフォンの場合は悪質なアプリをインストールさせるサイトに誘導する。一方iPhoneの場合には、「電話番号と認証コード」や「Apple IDとパスワード」を入力させる偽サイトに誘導する。

 新手口では、偽メッセージ中のURLをタップすると、AndroidスマートフォンとiPhoneのいずれでも偽の「Web再配達受付サービス」サイトに誘導される(図1)。

図1●偽の不在通知で誘導して個人情報を盗む
図1●偽の不在通知で誘導して個人情報を盗む
今回報告されたSMSフィッシングの流れ。偽の不在通知に書かれたURL(リンク)をタップすると、偽の再配達受付サービスサイトに誘導され、電話番号とメールアドレスの入力や本人確認書類(運転免許証など)の画像のアップロードが求められる。画像の出所はすべて情報処理推進機構。
[画像のクリックで拡大表示]

 偽サイトでは、電話番号とメールアドレスの入力や、本人確認書類(運転免許証、マイナンバーカード、パスポート)の画像のアップロードなどが要求される。要求通りに入力およびアップロードすると、それらはすべて攻撃者に奪われてしまう。

 今後も、不在通知に見せかけたSMSフィッシングは相次ぐだろう。被害に遭わないためにはどうすればよいだろうか。