IPA、佐川急便を騙る偽ショートメッセージサービスについて注意喚起
- 2018/08/10 10:00
- SecurityInsight
IPA(情報処理推進機構)は8月8日、佐川急便を騙る偽ショートメッセージサービスに関する相談が増えたとして、その仕組みと対策を公開した。
「佐川急便を騙るショートメッセージサービス(以下、SMS)から偽のサイトに誘導され、スマートフォンに不審なアプリをインストールしてしまった」という相談が、7月中旬から急増し、7月の1か月間で110件にのぼった。
佐川急便の偽サイトにはAndroid向けの不審なアプリをインストールさせるリンクが仕込まれており、これをAndroidスマートフォンにインストールした場合、自分のスマートフォンからも佐川急便を騙るSMSが不特定多数(自分のアドレス帳にないあて先)に向けて送信されてしまう事象が確認されている。なお、iOS(iPhone、iPad等)の端末ではこのアプリがインストールされることはない。
■不審なアプリをインストールしてしまうまでの主な流れ
1.佐川急便を語った偽の不在通知のSMSを受信する。
2.SMS内のURLをタップし、偽サイトにアクセスすると、画面のどの領域をタップしてもアプリのダウンロードが始まってしまう。
3.ダウンロードしたアプリを、偽サイトに記載されている手順に従ってインストールする。
■アプリの権限とその影響
Googleの権限一覧画面によると、インストールしたアプリは、スマートフォンの多くの機能や情報にアクセスする権限を持っている。これらの権限により、例えば「スマーフォンを不正に操作される」「スマートフォン内の情報が外部に送信される」といった可能性が考えられる。
■不審なアプリをインストールしてしまった場合の影響
今回の偽サイトから不審なアプリを入れたことによるスマートフォンへの影響の詳細は分かっていないが、IPAに寄せられた相談内容から把握できた現象には以下のものがある。
○佐川急便の不在通知をかたるSMSを送信
・不審なアプリをインストールしたスマートフォンからも、同じ内容のSMSが送信される。
・その宛先は被害端末内に登録されていた連絡先情報(電話番号)ではない。
・不審アプリをインストールした端末に、「1日あたりのSMS送信上限数に達した」というメッセージが表示される。
・不審アプリをインストールしたスマートフォンから送信されたSMSを受信した相手に、当該スマートフォンの電話番号が知られてしまう。その結果、受信者から、当該SMSの真偽を問う電話やSMSが返信される。
○スマートフォンと紐づくアカウントの不正利用の可能性
・携帯電話会社が提供するキャリア決済サービスにて、身に覚えのないAppleデジタルコンテンツ等の請求が発生したという相談を数件確認しており、不正利用の可能性が考えられる。
・Googleアカウントに身に覚えのないアクセス履歴があったという相談を数件確認している。Googleアカウントや、スマートフォンで利用しているSNS等のサービスのアカウントへの不正ログインの可能性が考えられる。
■不審なアプリをインストールしてしまった場合の対処
○スマートフォンを機内モードに
・スマートフォンを機内モードに設定する。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能。当該スマートフォン内の情報が外部に送信されることもなくなる。
○不審アプリのアンインストール
・機内モードの状態で、佐川急便という名称のアプリのアンインストールを実施する。アンインストールすれば、これ以降新たにSMSは送信されない。正規の佐川急便アプリを使用する場合は、別途Google Playからインストールするようにする。
○スマートフォンの初期化
・不審なアプリのインストールによる、スマートフォン本体への影響範囲は不明なため、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨する。
・初期化の実施後にデータの復元を行なう際は、不審なアプリをインストールした時点より前のバックアップデータを使用。
○アカウントのパスワード変更
・初期化後にGoogleアカウント、およびスマートフォンで利用しているSNS等のサービスのアカウントのパスワードを変更する。各アカウントのパスワードはできるだけ「長く」「複雑」なものに。そして、それらのパスワードを「使い回さない」ようにする。また、「2段階認証」が提供されている場合、利用することを推奨する。
○キャリア決済の請求確認
・身に覚えのないキャリア決済の請求発生について不安がある場合は、使用している携帯電話会社にそのような請求が発生していないか確認する。