不在通知の偽SMSで新たな手口!? 安易に本人確認書類の写真送信は要注意!-IPA
IPA情報セキュリティ安心相談窓口には、2018年より宅配便業者をかたる偽ショートメッセージ(以下SMS)の手口に関する相談が継続して多数(約4,500件)寄せられており、注意喚起を繰り返し行っている。
これまで確認されてきた手口は主に、Android向けには「不審アプリをインストールさせる手口」、iPhoneやiPadなどのiOS(以下iPhone)向けには「フィッシングサイトにApple IDとパスワードや電話番号を入力させる手口」であった。
しかしながら、2021年5月初旬頃からは上記の従来の手口に加えて、宅配便業者の再配達受付サイトを装った偽サイトで運転免許証等の本人確認書類の写真を詐取する新たな手口に関する相談がセキュリティ安心相談窓口に増加している。
この手口に関する相談は今年の4月から6月22日時点の間に約50件寄せられている。
このような背景もあり、これまでに確認した手口、影響と対処、被害にあわないための対策について解説する。
尚、新たな手口だけでなく、従来の手口も継続して確認されている為、引き続き注意が必要である。
図1:これまでの手口と新たな手口の違い(イメージ)
この記事の目次
1.新たな手口とは
以下の2ステップで実施されることが多いので、覚えておこう。
- 偽不在通知SMSを受信する
- URLをタップして偽サイトにアクセスし、情報を入力してしまう
1-1. 偽不在通知SMSを受信する
まずは下記の様な宅配便の不在通知を装った偽SMSを受信するところから始まる。
図2:宅配便の不在通知を装った偽SMSの事例
1-2.URLをタップして偽サイトにアクセスし、情報を入力してしまう
偽SMSに記載されているURLをタップすると、佐川急便を装った再配達受付の偽サイトに誘導される。
偽サイトに記載されている指示にしたがい「電話番号」、「本人確認書類(マイナンバーカード、運転免許証、パスポート)の写真」、「メールアドレス」を入力すると、それらの情報が相手に伝わってしうことになる。そしてこの仕組みの巧妙なところは、最後まで入力を進めると、最終的には正規の佐川急便のサイトへ誘導されるところにあるといえよう。
なお、2021年6月23日時点では、Android及びiPhoneともに同じ手口内容となっている。
図3:再配達受付を装った偽サイトの事例
2.謝って入力/送信してしまった!その影響と対処方法
2-1. 電話番号、メールアドレスを入力したことの影響と対処
影響としては、直接的には入力した電話番号やメールアドレス宛に、不審なSMSや迷惑メールが届く可能性が考えられる。また俗にいう”名簿屋”に売られていれば、営業メールなどが届くこともあるでしょう。その程度ならまだかわいいと言えるだろうが、例えばダークWeb上で取引された場合は、フィッシング詐欺やブルートフォース攻撃などの材料にされてしまうことが考えられる。
では、これらにどう対処できるのだろうか?
対処としては、不審な電話、メールには対応しないというのが第一である。入力してしまった電話番号やメールアドレスを使い捨てることができれば、アクセスされないので最も安全といえるが、長年使ってきたとなるとそう簡単にはいかないであろう。
まずは以下に注意して行動すべきである。
- 添付ファイルを開かない
- 記載のURLからウェブサイトにアクセスしない
- 記載の電話番号に電話をしない
- 返信しない
2-2. 本人確認書類の写真を送信したことの影響と対処
情報を搾取された影響だが、運転免許証、マイナンバーカード、パスポートの写真が悪意ある第三者に渡った場合、起こりえる影響や被害は計り知れないものがある。
特に顔写真のある運転免許証とマイナンバーカードは公的証明としての能力が高く、様々なシステムがIT化された現状では詐取された写真データでOKとなってしまうものも多いことだろう。もちろん、物品購入の際には別途支払い情報や送り先住所なども必要となるため、この情報だけでどうにかなることは少ないかもしれないが、違法行為をするための一要素として使われる可能性は大いにある。(借金や飛ばしケータイの購入、公的書類のなりすましなど)
どのような対処が必要かは、以下の窓口等に相談することを検討すべきではないだろうか。
- 運転免許証:お住まいの地域の警察署
- マイナンバーカード、パスポート:交付元の各自治体
尚、信用情報機関に対する本人確認書類の盗難等の「本人申告」については下記の各機関のページをご参照し、必要に応じて相談してください。
3.被害に逢わないためには
3-1. 本手口への対策
今回の手口にある佐川急便ではSMSでの不在通知連絡を行っていない。そのためSMSのURLをタップして偽サイトにアクセスしてはならない。
佐川急便の正規のWeb再配達受付サービスでは、電話番号や本人確認書類の入力や提出は求めていない。(不在通知表で確認しましょう!)
万が一、偽サイトにアクセスした場合でも、電話番号や本人確認書類の入力、提出をしてはいけません。
■佐川急便株式会社による注意喚起
佐川急便を装った迷惑メールにご注意ください
このようなケースは佐川急便だけでなく、ヤマト運輸やAmazon、楽天などを語ったものもあると考えられる。心当たりのないものはまず疑ってかかることが大事ではないだろうか。
3-2. 日頃の対策
それ以外の手口も含めて被害に遭わないために、日頃から次のような対策をすることをおススメする。
手口を知る
- 知らない危険を避けることは困難です。不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知り、今回の事例だけでなく、今後類似の事例が出現した場合にも備えておこう。
SMSやメール内のURLを安易にタップしない
- リンク機能は便利であるが、不審なサイトへの誘導にも使われることを忘れないようにすべきである。これまでに見たことのないSMSやメールが届いたら、URLをタップする前に、公式サイトなど確かな情報源を使って真偽を確認しよう。
提供元不明のアプリのインストールをするときは、細心の注意を払う(Androidの場合)
- Androidでは、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」という。そのようなアプリの中には残念ながら危険なものもある。そのため、提供元不明のアプリをインストールするときは、細心の注意が必要である。
パスワードや認証コード等を安易に入力しない
- 電話番号やパスワード、認証コードなど、重要な情報は安易に入力しない習慣をつけてる必要がある。
口が酸っぱくなるほど繰り返しになりますが、『君子危うきに近寄らず』が、この手の危機から身を守る最善の策なのです。
本内容は、IPA様の発表内容を元に作成しております。
ソース:https://www.ipa.go.jp/security/anshin/mgdayori20210623.html