宅配便の不在通知を装うSMSのばらまきが止まらない。偽SMSに騙されて不正アプリをインストールしたAndroid端末が、今度は大量のSMSをばらまく側に回るという負の連鎖が続いている。
SMS(Short Message Service)は、携帯電話番号あてに短文を送る機能のことで、ショートメッセージ、ショートメール、Cメールとも呼ばれている。問題のSMSは、昨年末から断続的にほぼ同じ内容でばらまかれている。6月から続いている現在ばらまき中のものは、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。http://sagawa-●●.com」という内容だ(●●は主に2~3文字のアルファベット)。記載されたリンクをタップすると、佐川急便の公式サイトをベースに作られた偽サイトへと誘導され、Android用の不正アプリをインストールさせようとする。
■感染端末がSMSをばらまく負の連鎖
既報の通り、18日を境にSMSの送信元がそれまでの海外から国内の携帯電話番号に変わり、翌日からばらまきが激化した。SMSは、昼夜を問わず大量にばらまかれ、ネット上では受信報告が相次いだ。トレンドマイクロのブログによると、国内からの偽サイトへのアクセスブロック数は 7月19日の3000件をピークに、高止まりが続いているという。一見するとあまり多くはないが、ブロックできなかったものや同社のアプリを導入していない端末を考えると、偽サイトへのアクセス件数は計り知れない。
受信報告が大量に投稿される中、アプリをインストールしたらスマートフォンが勝手にSMSを送り出したという問題と、キャリア決済で勝手にiTuneカードが購入されたという問題の報告が複数の方から投稿された。2つの問題は個別のものではなく、同じ端末内で同時に発生した問題で、不正アプリをインストールしたスマホが、外部から操られていたのだ。これらは通信事業者のサービスに直結する深刻な問題であり、各社からも注意喚起が出ている。
勝手に送信するSMSは、不正アプリ導入のきっかけとなった不在通知を装うメッセージそのものだ。SMSに騙されて不正アプリを導入すると同じSMSがばらまかれ、それを受け取った人がまた騙されてさらにSMSがばらまかれ、という負の連鎖が広がって行く。SMSは、各社が1日の送信を200通までに制限しているので、延々と送り続けるわけではないが、受信者から次々と電話がかかって来て、対応に追われたという。ちなみにスマホを機内モードにすると、通信機能が全てオフになるので、データ通信やSMSの送受信、電話の着信などが全て停止する。まずいことが起きたと思ったら、先ずは機内モードだ。
■キャリア決済の使い込み
キャリア決済の使い込みは、この攻撃者たちが並行して仕掛けている通信事業者を装うフィッシングと同じ手口と見られる。キャリア決済は、通信事業者が提供している月々の料金と一緒に支払いができるサービスのこと。以前は、そのキャリアの回線に接続した自分の端末からしか利用できなかったが、スマホの普及とともに、一部のサービスはインターネット回線と任意の端末の組み合わせでも利用できるようになっている。
アップルのiTunesやApp Storeもそのひとつで、電話番号とその番号あてにSMSで届く確認番号を使えば、電話番号の持ち主のキャリア決済で第三者が支払えるようになる。スマホに入り込んだ不正アプリにとっては、電話番号とSMSを盗み出すことなど造作ないことだ。キャリア決済で利用できる金額は、年齢や契約期間、ユーザーの設定状況にもよるが、最大で月10万円までとなっている。
■不在通知SMSはない
携帯電話やスマホがこれだけ普及していると、SMSを使った不在通知があっても不思議ではないが、今のところ採用している国内の宅配便業者はない。メールに対応している業者はあるが、サービスを受けられるのは事前に登録したユーザーだけだ。まずはこれをしっかり押さえておきたい。ちなみにSMSは、圏外などで受信できない場合には再送してもらえるが、保存期間は最大72時間なので注意したい。受信できない状態が3日間続くと消滅してしまう。
■不明なアプリはインストールしない
佐川急便を装う偽サイトが投下するのは、今のところAndroid用の不正アプリだけなので、iPhoneやパソコンには影響しない。一時iPhoneなどのAndroid以外のモバイル端末を、ソフトバンクを装うフィッシングサイトに転送する偽サイトが用意されたが、その後無害な偽佐川急便に置き換えられた。
Android端末の場合も、標準設定の状態であれば、公式ストア以外の場所で配布されているアプリはインストールをブロックするようになっている。以前に許可し、そのままになっている場合や、この偽サイトの指示に従って操作し、許可してしまった場合には、インストールされてしまうので注意したい。
Android 8.0より前のシステムの場合は、[設定]アイコンから[セキュリティ]などのメニューにある[提供元不明のアプリ]の「インストールを許可する」を確認しよう。もしオンになっていたら必ずオフにしておく。
Android 8.0以降のシステムは、アプリごとにインストールの許可を与える。[設定]アイコンから[アプリと通知]などのメニューに進み、[特別なアプリアクセス]→[不明なアプリのインストール]をタップすると、インストールを行う可能性のあるアプリが一覧表示される。[許可]になっているアプリがあったらタップし、[この提供元のアプリを許可]や[この提供元のアプリを信頼する] をオフにする。Webサイトからのダウンロードは、Chromeなどの使用しているブラウザが行うので、必ずオフにしておこう。
不正アプリのほとんどは、公式ストア以外の場所でダウンロードされているので、ここさえ押さえておけば不正アプリの脅威は激減する。
(2018/08/03 ネットセキュリティニュース)
【関連URL】
・佐川急便を装った迷惑メールにご注意ください
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
・【再周知】運送会社などを装った不審なメールにご注意ください(KDDI)
https://news.kddi.com/important/news/important_20180724595.html
・運送会社などを装った迷惑SMS・メールにご注意ください (MNTTドコモ)
https://www.nttdocomo.co.jp/info/notice/page/180725_00_m.html
・運送会社などを装った不審なメールに関するご注意(ソフトバンク)
https://www.softbank.jp/mobile/info/personal/news/support/20180730a/
・「スパムボット」化した不正アプリにより、7 月に偽装 SMS 拡散が急拡大(トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/19364
【関連記事:ネットセキュリティニュース】
・宅配便の不在通知を装うSMS急増、誘導先でマルウェア感染のおそれ(2018/07/23)
・宅配便の不在通知を装うSMSに注意、怪しいAndroidアプリを投下(2018/04/03)
・宅配便の不在通知を装うSMSに注意、誘導先に怪しいアプリ(2018/01/19)
・狙われる「キャリア決済」、通信事業者を装うフィッシングに注意(2018/04/19)