文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    「佐川急便」をかたる偽SMSが横行 不正アプリを導入しないで!

     佐川急便を装った偽SMS(ショートメール)が、スマートフォンで出回っている。SMSから偽サイトへ誘導され、Android端末に不正アプリを導入させられた被害者は、インターネット上で勝手に買い物をされてしまうなどしているようだ。「提供元不明なアプリ」もしくは「不明なアプリ」の導入は、避けた方がいい。そもそも、佐川急便が不在通知などの連絡にSMSを用いていないことは、はっきり認識しておきたい。(ITジャーナリスト・三上洋)

    本物の佐川急便サイトによく似た偽サイトへ誘導

    • 左は佐川急便の公式サイトで、右が偽サイト。偽サイトは不正アプリを導入させるマニュアルを掲載している(筆者作成)
      左は佐川急便の公式サイトで、右が偽サイト。偽サイトは不正アプリを導入させるマニュアルを掲載している(筆者作成)

     内閣サイバーセキュリティセンター(NISC)は7月26日、今回の偽SMSについてTwitterで注意喚起した。宅配便会社をかたったフィッシングメール(偽メール)は以前にも横行したことがあったが、今回はさらに悪質で巧妙な不正アプリが駆使されている。

     佐川急便の公式サイトと、SMSからの誘導先となっている偽サイトとを比べてみよう。写真やサイトのメニューを並べた上部のデザインはほぼ同じで、URLも似ている。だまされる人がいるのも分かる。

     しかし、サイトの下部は大きく異なる。公式サイトは、消費者に向けて佐川急便が発したニュースやお知らせなどが並んでいる。これに対し、偽サイトは「設定マニュアル」として、アプリの導入方法を掲載している。「貨物追跡アプリ」と称する不正アプリだ。

     設定マニュアルを読むと、「提供元不明のアプリ」の導入を「許可」にせよと指示されている。アクセス権限の画面も載せており、「テキストメッセージの読み取り」「ネットワークへのフルアクセス」なども許可するようにと書いてある。

     これが、だましのテクニックなのだ。不正アプリを導入させるため、画像の付いた懇切丁寧な説明で被害者をそそのかし、スマホのセキュリティーのためのガードを解除させてしまうのである。

     不正アプリを導入させるための偽サイトは、7月30日の午前11時時点でも動いており、筆者は安全な環境でアクセスしてみた。リンクをクリックするか、数十秒放置すると、Android型のスマホでは「sagawa.apk」というファイルをダウンロードしようとする。ちなみに、iPhoneでは「ダウンロードできません」となる。

    iTunesカードをキャリア決済で買われる被害も

    • 佐川急便の不在通知を装った偽SMS(佐川急便の発表による)
      佐川急便の不在通知を装った偽SMS(佐川急便の発表による)

     佐川急便は公式サイトで、偽サイトへの誘導に使われるSMSやメールの注意喚起を出し、これまでに確認された文面も例示している。不在配達を装ったショートメールの場合は「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。 配送物は下記よりご確認ください。https://XXXX/sagawa(不審なリンク先)」などと記されている。メールの場合は、件名が「出荷完了メール」とされて本文には不審なリンク先のアドレスだけが記されていたり、件名が「Webサービスご利用のご確認」とされて本文の一部に「▼Webサービスログインはこちらから xxxxxxxxxxxxxxxxxxx(不審なリンク先)」とあったりと、いくつかのパターンがあるようだ。

     被害内容は、まだ明確ではない。Twitterやテレビ番組で紹介された被害者の声のうち、現時点で深刻なのは「キャリア決済でiTunesカードを数万円買われてしまった」というケースだ。iTunesカードとは、前払い式のプリペイドカードで、iPhoneで利用できる音楽やゲームなどのアイテムを買える。これを、スマホの利用料金とまとめて携帯電話会社に支払える「キャリア決済」の制度を使って購入されてしまうのだ。犯人は、不正アプリを駆使してアカウント情報を入手するか、被害者のスマホ端末を遠隔操作する手口を使っているのだろう。複数の不正アプリを導入させている可能性もある。

     不正アプリを入れてしまったスマホの電話番号は、さらなる犯行の発信元として悪用されてしまう。被害者からは「佐川急便の名をかたった偽SMSが、私の番号から任意の番号にあてて、送信されている」といった声が上がっている。発信元とされた番号には、別の被害者から「佐川急便ですか?」という問い合わせの電話がかかってくるため、気がつくようだ。

     関連するセキュリティー大手企業の情報も集めてみた。

     ESET社の研究者Lukas Stefanko氏は、佐川急便をかたるSNSについて、Twitterに投稿した。英語の報告によると、Stefanko氏は「ワーム型のアプリをユーザーにダウンロードさせており、SMSを介して感染を広げる。モバイルバンキングのアカウント情報を盗み取ることもできる」ものだとみている。

     ワーム型のアプリを駆使したサイバー攻撃については、トレンドマイクロ社が今年1月、調査報告を発表している。ここで示された、不正アプリの活動例には、以下のようなものがある。

    Android型スマホから抜き取る情報
     携帯電話番号、端末ID、自身の端末管理者権限の有無、画面ロックの有無、国内の主要キャリア(ソフトバンク、ドコモ、AU)製アプリのインストール有無
    攻撃者が遠隔操作で実行できる不正
     画面をロックしパスワードを変更する、端末の管理者権限を得る、「連絡先」の情報を収集して外部にアップロードする、SMSやメールの内容を取得して外部にアップロードする、他の不正アプリをダウンロードする、すでにインストールされている正規アプリをアンインストールして他の不正アプリと置き換える

     Stefanko氏の見立てが正しく、トレンドマイクロ社の調査報告が今回の件にも当てはまるとしたならば、かなり悪質な不正アプリが出回っていることになる。

    佐川急便はSMSを不在通知に使わない URLもよく見る

     被害を防ぐには、まずSMSやメールのメッセージを不用意に信用しない気構えが大切だ。佐川急便によれば「SMSでは不在通知などの連絡はしていない」とのこと。佐川急便を名乗るSMSは、無視しよう。

     メールが来た場合は、リンク先のURLをよく確認すること。佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のURLは偽サイトだと考えたほうがよい。今回の偽サイトは「sagawa-(アルファベット2文字).com」など、よく似たアドレスが使われているので警戒が必要だが、よく見ると本物とは違う。メールのリンクは信用せず、クリックしないこと。検索などから直接、佐川急便の公式サイトへアクセスしたほうが安全だ。

     スマホでは、アプリの導入を公式サイトに限ることが重要だ。Android型スマホでは「Google Play(Playストア)」が公式サイトに当たる。アプリを配布するサイトは、ほかにも多数存在するが、回避したい。どうしても必要な場合は、企業の信頼度や口コミ情報を念入りに調べたうえで、導入時に表示されるアクセス権限に怪しいものがないかを見てから、導入するかどうか判断してほしい。

     詳しい対策を、端末のタイプごとにまとめた。

    ■スマホのセキュリティー設定に「提供元不明のアプリ」がある場合

    • Android7.1以前での設定。「設定」→「セキュリティ」→「提供元不明のアプリ」を、赤い枠内のような「許可しない」状態にする
      Android7.1以前での設定。「設定」→「セキュリティ」→「提供元不明のアプリ」を、赤い枠内のような「許可しない」状態にする

     「設定」→「セキュリティ」に「提供元不明のアプリ」という項目がある。「提供元不明のアプリのインストールを許可する」という項目なので、許可しない(無効にする)を選ぶこと。これで、Google Play以外のサイトからはアプリが導入できなくなり、今回の不正アプリを阻止できる。スマホのバージョンが「Android7.1」以前の場合、この対策が当てはまる。

    ■スマホのセキュリティー設定に「提供元不明のアプリ」がない場合

    • この表示で「キャンセル」を押す
      この表示で「キャンセル」を押す
    • 「端末をスキャンしてセキュリティ上の脅威を確認」を有効にする
      「端末をスキャンしてセキュリティ上の脅威を確認」を有効にする

     スマホのバージョンが「Android8.0」の場合は、上記の設定がない。Google Play以外のサイトからアプリをダウンロードしようとすると「セキュリティ上の理由から(略)この提供元からの不明なアプリをインストールすることはできません」という表示が出る。ここで必ず「キャンセル」を押すこと。間違っても「設定」で許可をしてはいけない。

     Android8.0には「Google Play プロテクト」という不正アプリなどを検出するセキュリティー対策サービスがある。「設定」→「セキュリティと画面ロック」→「Google Play プロテクト」にある「端末をスキャンしてセキュリティ上の脅威を確認」を有効にしておく。

    ■スマホがiPhoneの場合

     iPhoneでは、今回の偽サイトでの被害は出ないと思われる。ただし、不正な改造を施した端末の安全は、保証できない。

    ■パソコンの場合

     パソコンの被害は今のところ確認されていないが、警戒は必要だ。セキュリティー対策ソフトを導入し、OSやブラウザーなどを最新版にすることを心掛ける。

    被害に遭ったら、拡大防止策を

     万が一、この不正アプリの被害に遭った場合には、まずスマホを「機内モード」にすること。こうすれば、さらなる偽SMSの発信元として自分の電話番号を悪用されることは防げる。そのうえで重要なファイルをバックアップし、スマホを初期化することを勧めたい。これは、すでに複数の不正アプリを入れられてしまっている可能性が高いためだ。電話番号やメールアドレスも、犯人に知られてしまっているので、変更したほうが安心できるだろう。

    2018年07月30日 18時20分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP