宅配便を装う偽SMS。アクセスしたらどうなるの? ~被害者に聞いた、アカウント乗っ取り事例~

特集記事

偽SMS

自分のスマートフォンに「ご不在のため持ち帰りました。再配達はこちらから」という宅配便業者のようなメッセージが来たことはありませんか?これは2018年頃から急増し、以降も継続して被害が確認されている偽SMS(ショートメッセージサービス)です。

この内容に従ってしまうとどんなことが起こるのでしょうか?今回はこのメッセージを実際に受信し、URLにアクセスしてしまった人の話を聞いてみました。

Aさんの場合

今回偽SMSに騙されてしまい、アカウントを乗っ取られる被害にあってしまいました。

Aさんのプロフィール
・男性
・50代
・東北在住
・今までフィッシング詐欺に遭った経験なし

① 宅配便の会社からのSMS。再配達にはAppleIDが必要?

その日、Aさんには宅配便で荷物が届く予定がありました。
お昼頃に外出先で自分のiPhoneを確認すると、SMSで「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。」というURLつきのメッセージが届いていました。

今日中に受け取りたい荷物だったのですぐに再配達の依頼をすることにしたAさん。URLリンクをタップした先のサイトで入力を要求されたのは、AppleIDとパスワードでした。 ネットで再配達の依頼をするのは初めてだったので、特に不審に思うこともなく入力してしまいました。

200228_3.png

ポイント
Aさんはメッセージの内容に心当たりがあったため、すぐにURLにアクセスしてしまいました。しかし偽SMSは数打てば当たる方式で送られているため、たまたま信じやすいタイミングで見てしまうこともあります。よく確認せずに飛びついてしまうと危険です。本当に宅配便会社が提供しているサービスかどうか、公式サイトの案内などを確認しましょう。

② ポップアップと二段階認証

AppleIDとパスワードを入れると、「千代田区でサインインするために使用されています」という通知が出ました。しかし東北在住のAさんにとって千代田区は全く関係のない地域です。誤作動かと思い、入力を続けてしまいました。

200228_3.png

しばらくすると、Appleから六桁の番号が送られてきました。そしてリンク先のサイトからも認証コードとしてその番号の入力を求められたので指示に従って入力しました。

ポイント
別の場所からのサインインの通知は、Aさんが入力したIDとパスワードを使って攻撃者側がサインインを試みている可能性が示しています。サインインが成功した場合、攻撃者はアカウントを乗っ取るためにパスワードの変更をするでしょう。
パスワードの変更等の重要な操作には二段階認証(※六桁の番号の入力)で本人確認が必要ですが、Aさんはその番号も攻撃者側に伝えてしてしまったのでアカウントが乗っ取られてしまいました。

アカウントの二段階認証って何?~セキュじいと学ぶ、セキュリティ基礎知識~

https://www.onlinesecurity.jp/feature/210527.html
二段階認証

③ アカウント乗っ取りが発覚

数時間後、Aさんのところに「このAppleIDはサインインするために使用されています」というメールが正規のAppleサポートから届きました。

身に覚えがないメールだったため、確認するためにAさんは自分のAppleIDのアカウントを確認しようとしました。その際にパスワードを求められたので入力したのですが、入れません。入力を間違えたのかと思い何度か試しましたが、全て失敗してしまいました。

この時点で既にAさんのアカウントを乗っ取った攻撃者側によってパスワードが変更されていたのです。正しいアカウントの持ち主であるにも関わらず、Aさんは新しいパスワードが分からずサインインすることもパスワードの変更もできません。

200228_3.png

④ Appleのサポートに連絡

異常に気付いたAさんは家族に相談し、Apple サポート(https://getsupport.apple.com/)でAppleIDについて問い合わせてみることにしました。 Appleサポートに事情を説明すると、Aさんがアカウントを乗っ取られている状況であることと、既にパスワードは攻撃者側によって変更されていることが分かりました。すぐにパスワードの再発行を依頼し、数日後に新しいパスワードが発行されてこの件は完了しました。幸いにもその後の不正ログインや金銭被害などはなかったようです。

Aさんのコメント

身に覚えのある宅配便の内容だったので疑わずに入力してしまいました。
自分は大丈夫だと思わずに、まず怪しいと思って調べたり人に相談したりすることが大事なんですね......。
その後も何度か怪しいSMSが来ましたが、今回の反省を生かしてアクセスする前にメッセージの文字をコピーして検索をかけるようになりました。そうすると検索結果にズラッと「これは詐欺です、注意してください」というような内容が出てくるので、おかげで今のところ騙されずに済んでいます。

他にもこんな事例

宅配便業者をかたる偽SMSには他にも多くの事例があり、Aさんのようにアカウントを乗っ取られるケースだけでなく不正アプリをインストールさせられたり不正請求をされたりするなど被害は様々なようです。

参考:宅配便業者をかたる偽ショートメッセージに引き続き注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200220.html

SMSやメール内のURLは安易にタップせず、それらしい内容のメッセージでも必ず公式サイトなどで確認しましょう。またフィッシング詐欺によるアカウントの乗っ取りが考えられる場合は、パスワードの変更やサービスを提供している企業への連絡・相談を迅速に行ってください。

まとめ

私達はもうIDやパスワードを入力することに慣れています。そして今後もインターネットを使ったサービスは増え、テレワークやネット通販などで生活のオンライン化は更に加速していくことが考えられます。この慣れや気の緩みからIDやパスワードが騙し取られてしまう、被害を受けてしまうということがないように、ネットで情報を入力する際にはより一層の注意が必要です。
今回はご紹介したのは偽SMSの身近な被害の一例です。実際に自分や身近な人に送られてきた時にどうするか、相談を受けたらどう対処すればいいのか、必ず来るその時に備えて今のうちに知識をつけておきましょう。

あわせて読みたい