2023年11月8日
宅配業者の不在連絡を装い、「お荷物を保管しております」などと記載されたショートメッセージ(SMS)が届き、有害なプログラムをダウンロードさせようとする詐欺メッセージが頻繁に確認されています。
送信されたメッセージの内容は日によって異なるなど、複数の文面で送信されています。
〔不審SMSの例〕
「配達時、お客様がいらっしゃらなかったため荷物を持ち帰りました。」
「ご不在で荷物保管。連絡をお待ちしております。」
「不在時の荷物、本社にあります。ご連絡下さい。」
「不在で保管中の荷物。連絡いただけますか?」
「荷物は本社での保管を決めました。連絡待っています。」
「 荷.物は本社での保管を決めました。連絡待っています。」
「不在でしたので、荷物をセンターに留めています。ご連絡を。」
いずれも《不在》や《荷物保管》といった文言が含まれ、あたかも自宅を不在中に届いた荷物についての連絡かと錯誤させる内容となっています。
これらのSMSはデータ通信専用SIMを利用して送信されていることが多く、表示された電話番号に折り返しても通話することはできないため、SMS中に記載されたTwitter公式の短縮URL「t.co」を用いたアドレスから確認するしかありません。
このURLは詐欺サイトや不正なアプリ(ソフト)のダウンロードにつながる仕組みになっていますので、絶対にタップしてはいけません。
【スミッシングの手口】
電子メールを使ってフィッシングサイトへ誘導するフィッシング詐欺に対し、こうしたSMSを用いてフィッシングを行う手口はスミッシングと呼ばれています。
スミッシングでは宅配事業者を装った不在通知や、通信事業者を装った未払い金請求、ショッピングサイトを装った商品発送連絡など、日常生活であり得そうな内容が記載されており、必ず確認のためのURLが貼りつけてあります。
このURLは個人情報を抜き取るための詐欺サイトであったり、有害なアプリ(ソフト)をダウンロードさせるサイトへつながっています。
上述の宅配事業者を装ったケースではURLをタップすると《セキュリティ向上のため,最新バージョンのChromeにアップデートしてください。》といった表示※がされ、アプリ(ソフト)をダウンロードさせようとします。
※Android機種の場合。iPhoneの場合は偽のApple公式サイトへ飛びます。
そもそも宅配便の不在連絡のはずが、Chromeのアップデートの話になっている点で不自然なのですが、セキュリティ向上のためと言われると何かしなければいけないのかな?と「OK」してしまうと詐欺犯の思うつぼです。
ここでダウンロードさせようとしているファイルはAPKファイルと呼ばれる、プログラムの実行ファイルですので、ダウンロードしたアプリ(ソフト)を実行してしまうと、スマートフォン内のデータが盗まれたり、勝手に電話をかけたりSMSを送信される恐れがあるほか、同意なしに悪意のあるファイルをダウンロードできるようになるなど、端末のセキュリティが大幅に低下するほか、最悪の場合は端末がリモートで第三者から操作されてしまう可能性もあります。
APKファイルそのものは一般的なアプリやゲームを実行するためのファイルですので、すべてが有害なわけではありません。
しかし、Android端末の場合はGoogle Playといったアプリストアからダウンロードするなど、リスクを最小限に抑える習慣が大切です。
なぜなら公式アプリストア上のアプリ(ゲーム)については、一定のセキュリティチェックなどの承認プロセスを経て配信されていますので、100%安全とは言えないもののリスクを軽減することができるからです。
これに対してSMSなどから誘導されてダウンロードするアプリ(ソフト)は危険度が非常に高いといえるため、絶対にダウンロードしてはいけません。
【宅配業者からSMSはこない】
そもそもヤマト運輸や佐川急便、日本郵便などの宅配事業者が、不在通知などの連絡にSMSを用いることはありません。
身に覚えのない荷物の場合は詐欺を疑い、心配であれば宅配業者の電話番号に直接確認するとともに、絶対にメールやSMSに記載のURLを安易にタップしないことが大切です。
宅配事業者以外にも警察庁や国税庁、また金融庁や厚生労働省といった官公庁を装ったアプリダウンロード通知や、差押最終通知といった脅迫系の架空請求のSMSも確認されています。
官公庁から《大切なお知らせ》のSMSが届いたからと、慌ててURLをタップして悪意のあるアプリをダウンロードしてしまわないよう、SMSの扱いには十分な注意が必要です。