偽宅配便業者からの不在通知メールに引き続き注意!(2020年11月27日更新)

Xでポスト
フェイスブックでシェア
ラインでシェア

ページ番号1009785  更新日 令和2年11月27日

印刷大きな文字で印刷

宅配便の偽不在通知に関する相談が継続して寄せられています

イラスト:トラブルのイメージ図(宅配業者を装ったSMSの例)
トラブルのイメージ図(国民生活センターホームページより)

「『お客様宛にお荷物のお届けにあがりましたが、不在の為持ち帰りました。配送物は下記よりご確認ください。』というショートメール(メッセージ)が届いた。メールに記載のURLをクリックしたら『荷物の再配達をして欲しい』という電話がたくさんかかってくるようになったが、どうしたらいいか。」という相談が2018年夏頃から継続して寄せられています。

宅配業者の不在通知を装ったショートメールから偽サイトに誘導するフィッシング詐欺の手口は、スマートフォンからの個人情報の取得を目的としており、細かい部分で変化し続けています。2020年1月末現在で、佐川急便、日本郵便、ヤマト運輸をかたる偽サイトが確認されています。

日本郵便を装っている例と佐川急便を装っている例(情報推進機構IPAホームページより)

イラスト:日本郵便を装っている例

イラスト:佐川急便を装っている例


使用しているスマートフォンのOSによりフィッシングの手口や対処方法が異なりますので、以下に説明します。

フィッシングの手口と予想される被害、対処方法

Androidの場合

手口

  1. 偽不在通知メールを受信し、記載のURLをタップして、偽サイトにアクセス
  2. 表示されたメッセージに従い、そのサイトから不正なアプリをダウンロード
  3. 表示されたメッセージに従い、「提供元の許可」をクリックして不正なアプリをインストール
    ※不正なアプリをインストールすることで、被害につながります。その後、次のような手口に誘導されるケースも報告されています。
  4. アプリのインストール後、偽の警告メッセージが表示される。警告のボタンをタップして、フィッシングサイトにアクセスし情報を入力
    ※上記フィッシングサイトには、携帯電話会社、銀行、Google等を装い、アカウント情報(ID,パスワード)等を入力させるものが確認されています。

被害

不正アプリをインストールした場合
  • 不在通知をかたるSMS(ショートメール)を送信
    • 不正アプリをインストールしたスマートフォンから、同じ内容のSMSが不特定多数に送信され、高額な通信料が発生します
    • そのSMSを受信した相手から、電話やSMSの返信が来る場合があります
  • スマートフォン内のデータの不正使用
    • 不正アプリによりスマートフォン内の情報が窃取され、不正使用される可能性があります
誘導されたフィッシングサイトに情報を入力した場合
  • 入力した情報の不正使用
    • フィッシングサイトで情報を入力した場合、その情報を不正使用される可能性があります
次のような相談事例が報告されています
  • 携帯電話会社が提供するキャリア決済サービスにて、身に覚えのない請求が発生した
  • 自分が所有しているアカウントを不正使用された
  • フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等にアカウントを勝手に作成され、不正使用された

対処方法

不正アプリをインストールした場合
  1. スマートフォンを機内モードに
    スマートフォンを機内モード(Wi-Fi接続もオフ)に設定してください。これにより、通信を無効化し、当該スマートフォンからSMSの送信を抑止することが可能です。また、当該スマートフォン内の情報が外部に送信されることもなくなります。
  2. 不正アプリのアンインストール
    機内モードの状態で、不正なアプリのアンインストールを実施してください。アンインストールすれば、これ以降新たにSMSは送信されません。アプリはスマートフォンのホーム画面には表示されませんので、設定アプリのアプリ一覧から探してアンインストールを実施してください。
  3. スマートフォンの初期化(推奨)
    不正なアプリのインストールによる、スマートフォン本体への影響範囲は不明です。そのため、情報処理推進機構(IPA)では、より安全な対処として、アプリのアンインストールだけではなく、スマートフォンの初期化を推奨しています。初期化の実施後にデータの復元を行う際は、不正なアプリをインストールした時点より前のバックアップデータを使用してください。初期化の操作方法はお使いのスマートフォンを契約している携帯電話会社等にお問い合わせください。
  4. アカウントのパスワード変更
    初期化後にGoogleアカウント、およびスマートフォンで利用しているSNS等のサービスのアカウントのパスワードを変更してください。各アカウントのパスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「2段階認証」や「ワンタイムパスワード」などの「多要素認証」が提供されている場合、利用することを推奨します。
  5. キャリア決済の請求確認
    身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。
  6. その他アカウントサービス等の不正使用確認
    不正アプリのインストール以降、携帯電話会社、フリーマーケットサービス、後払い決済サービス、その他のアカウントサービス等から登録や変更に関するメールやSMS等が届いていた場合は、当該サービス提供会社へ不正使用が発生していないか等を確認してください。
    ※SMSは初期化をすると消えてしまうため、初期化する前に上記を確認してください。
誘導されたフィッシングサイトに情報を入力した場合の対処
  1. アカウントのパスワード変更
    フィッシングサイトにアカウント情報(ID、パスワード)等を入力した場合は、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「2段階認証」や「ワンタイムパスワード」などの「多要素認証」が提供されている場合、利用することを推奨します。
  2. アカウントサービスでの不正使用確認
    入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。

iPhoneの場合

手口

  1. 偽不在通知SMSを受信し、記載のURLをタップして偽サイトにアクセス
  2. 偽サイトで、Apple ID、パスワード、電話番号等を入力
    ※偽サイトはフィッシングサイトであり、そこで情報を入力すると被害につながります。その後、次のように、認証コードの入力へ誘導されるケースも報告されています。
  3. 偽サイトで入力した後に、スマートフォン上の通知やSMS等で認証コードが届く
  4. 2の偽サイトで、認証コードを入力する
    ※認証コードを入力すると、2ファクタ認証等の多要素認証情報や、キャリア決済等のサービス利用時の本人確認情報を攻撃者に奪われます。

被害

フィッシングサイトに情報を入力した場合
  • アカウントの不正ログインや不正使用
    フィッシングサイトで情報を入力した場合、その情報を不正使用される可能性があります。特に、フィッシングサイトに認証コードを入力した場合は、被害につながる可能性が高くなります。
次のような相談事例が報告されています
  • Apple ID、パスワード、2ファクタ認証コードを入力したところ、不正ログインされた
  • 電話番号とキャリア決済サービスの認証コードを入力したところ、身に覚えのない請求が発生した
  • 電話番号と認証コードを入力したところ、フリーマーケットサービス等にアカウントを勝手に作成された

 対処方法

フィッシングサイトに情報を入力した場合の対処
  1. キャリア決済の請求確認
    フィッシングサイトに電話場号と認証コードを入力した場合、身に覚えのないキャリア決済の請求が発生していないか、使用している携帯電話会社に確認してください。
  2. アカウントのパスワード変更
    フィッシングサイトにIDとパスワードを入力した場合、パスワードを至急変更してください。パスワードはできるだけ「長く」、「複雑」なものとしてください。そして、それらのパスワードを「使い回さない」ようにしてください。また、「2ファクタ認証」や「ワンタイムパスワード」などの「多要素認証」が提供されている場合、利用することを推奨します。
  3. アカウントの不正使用の確認
    入力したアカウントサービスで不正使用が発生していないか、当該サービス提供会社へ確認してください。

被害に遭わないために

被害に遭わないために、日頃から次のような対策をしてください

  1. 手口を知る
    知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えてください。
  2. SMSやメール内のURLを安易にタップしない
    リンク機能は便利ですが、不審なサイトへの誘導にも使われます。これまで見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認してください。
  3. 提供元不明のアプリのインストールをするときは、細心の注意を払う(Androidの場合)
    Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には、今回の事例のように危険なものもあります。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要です。
  4. パスワードや認証コード等を安易に入力しない
    電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてください。

よくある質問(情報推進機構IPAホームページより抜粋)

質問1)サイトにアクセスしただけで何の操作も入力もせずに閉じた。なにか被害があるか?

回答1)偽サイトにアクセスしただけであれば被害にはつながりません。

質問2)Androidで不正アプリをダウンロードしたがインストールはしていない。なにか被害があるか?

回答2)不正アプリをダウンロードしただけでインストールしていなければ被害は発生しません。
念のため、スマートフォン内のダウンロードフォルダ等にある当該アプリのファイル(APKファイル)を削除してください。
※インストール作業であると知らずに操作を進め、被害に遭った事例もあります。操作内容が不明瞭で、インストールをしたかどうか分からない場合等は、SMSの大量送信やキャリア決済サービスの不正使用等の被害が出ていないかどうか、携帯電話会社に確認してください。

質問3)不正アプリをインストールしたが、電話番号を変更すれば勝手にSMSを送信されたり、スマホ内のデータを不正使用されたりすることはなくなるか?

回答3)電話番号を変更しても、それらの事象への対処にはなりません。初期化等を実施してください。

関連リンク

より良いホームページにするために、ページのご感想をお聞かせください。

このホームページ(本ページを含む)は、役に立ちましたか?

このページに関するお問い合わせ

伊勢市消費生活センター(商工労政課内)
〒516-8601
三重県伊勢市岩渕1丁目7番29号
東館3階
電話:0596-21-5717
ファクス:0596-22-5014
伊勢市消費生活センター(商工労政課内)へのお問い合わせは専用フォームをご利用ください。