ある日、スマホに一件のSMSが着信してました。
お客様が不在の為お荷物を持ち帰りました。
こちらにてご確認下さい
http://XXXX.com
どうやら宅配便の不在連絡のようで、再配達の依頼をサイトからする感じに見えました。
はて、何か通販で頼んでたかな。それとも何か優待でも?
この時点で特に心当たりはなかったので、帰宅後に確認してみることにしました。
しかし帰宅後、ポストを見ても不在票が入っていません。
もう一度メッセージを確認してみて、不審な点に気づきました。
ん?メッセージで指定されてるサイト、運送会社のものじゃないな。
今どきHTTPプロトコルだし、ドメインも.jpじゃないし、なんか変だぞ。
メッセージで指定されてたサイトURLは、http://XXXX.comという形であり、今どきの大手運送会社としては考えにくいものです。
そこで、不在連絡を装った不審メッセージの手口が思い当たりました。
折角なので、どのような挙動になるのかを検証してみることにしました。
指定URLの先は郵便局HP?
まず、指定のURLにPCの仮想環境で動かしたブラウザを用いてアクセスしてみました。仮想環境内で発生した物事は全て無かったことにできるので、こういった実験をするにはもってこいです。
しかし、この環境においては指定のURLにアクセスしようにもできませんでした。
そこで、権限を全てオフにしたAndroid環境を用意し、そこから改めてアクセスしてみました。
アクセスして出てきたのはみたところ普通の郵便局のHPのようでした。しかし次の瞬間…
XXXX.comの内容
最新バージョンの日本郵便アプリをインストールしてください。
OK
日本郵便アプリ?
私のスマホに入れた覚えはないですけど。
そして、「japanpost.apk」というファイルのダウンロードをさせようとしてきました。
APKファイルとは、「Android Application Packageファイル」というもので、Android用のアプリインストーラーのようなものです。
Android端末を使う人は通常、Google Play Store経由でアプリのインストールを行っていますので、APKファイルを直接ダウンロードしてインストールをすることはありません。
おそらくこの後の流れは、APKファイルから端末にアプリをインストールさせて、端末内のデータを抜き出したりするものと思われます。
流石に今の試験環境ではインストール後の動作まで検証することはできないので、今回はここまででストップしました。
郵便局?HPの検証
さて、このメッセージの狙いがわかったところで、送られてきた郵便局?HPのつくりをあらためることにしてみました。
上の画像にもある通り、サイトの見た目は全く同じです。おそらく本物からデータをコピーしたのでしょう。
しかし、下記画像の部分が違います。
郵便局HPの正規のURLはhttps://www.post.japanpost.jpです。メッセージで書かれていたURLは全く別のものであり、末尾も.comで終わっていました。
なお、このサイトから郵便局の他のページにアクセスすると、本物の郵便局HPの該当ページへ誘導されました。
流石に全てのページを精密に再現してはいないようです。
また、郵便局?HPにおいてJavascriptの動作を拒否していると、当初現れたポップアップも出てきません。
結論、このサイトの目的はアクセスしてきた人にアプリをインストールさせることだったのでしょう。
後日談
あの後、特に同じ連絡先からの動きはありませんでしたが、別のところから似たようなメッセージは時々届くことがあります。
お客*様が不在のためお何$物を持ち帰りました。
こちらにてご確*認ください
(リンク先)
こりゃまたあからさまなメッセージを…
何だ?「お何物」って
不審なメッセージ、サイトへの対抗策
偽物のサイトに誘導して個人情報を窃取する手法のことを「フィッシング詐欺」といいます。
SMSを用いる場合は「スミッシング」と呼ばれることもあります。
ここからは、こういった不審なメッセージの対処法や、不審サイトへの対策を書いていきます。
届いたSMSは無視する
まず、大手運送会社ではSMSによる不在連絡は行っておりません。そのため、SMSでそのような連絡が届いた時点で怪しいと思いましょう。
本物の不在連絡であれば、運送担当者から直接電話が来るか、メールでその旨送信されてきます。
また、SMSに対して確認の返信もしないほうがいいでしょう。返信することで「この番号は生きている」と判断され、後に別の不審メッセージを誘引することになります。
本文に記載されているURLには注意する
メッセージを受け取った際、本文に記載されているURLには注意しましょう。上記の通り、正規のアドレスでない場合やBit.lyのような短縮URLを用いられている場合は、高確率で偽物です。
また、メールの場合は下リンクのように本文に書いてあるURLと実際に飛ばされるサイトを別に設定することも可能です。メールの場合は本当のリンク先がどこになっているのか注意しましょう。
例:https://www.google.co.jp/(このリンクは実際はYahoo! Japanに飛ばされます)
不安な場合は、正規のサイトに別の手段でアクセスし、ログインするという方法もアリです。
ページアクセス時もサイトのURL欄を確認する
ページにアクセスした際も、前章で説明しているとおり、URL欄に注目してみましょう。
大手会社や政府の公式サイトであれば、URLの末尾は.jpが用いられています。
また、URL欄の左右どちらかの端には鍵マークがついています。鍵マークがついていない、あるいは鍵マークが外れた警告マークが出ているサイトは、通信内容が暗号化されておらず、通信内容を第三者に読み取られる可能性があります。
そのようなサイトでカード番号等機微な情報を入力送信することは避けましょう。
正規のアプリストア以外でソフトをインストールしない
スマートフォンの場合、基本的にアプリの管理はGoogle PlayやApp Storeといったアプリストア経由で行われます。アプリストアに置かれているアプリはストアによって審査が行われているため、悪意のあるアプリをつかまされる可能性は低くなります。
アプリストアで管理されていないアプリは「野良アプリ」と呼ばれています。個人が実験用に開発したものや、正規アプリを改造し、機能を追加した便利なものもある一方で、悪意のある動作が仕組まれたものも多いです。スマホの使用に精通した人以外は手を出さないほうがいいでしょう。
アプリは正規のアプリストアで配信されているものを使うようにしましょう。
ただし、アプリストア経由であっても中には挙動のおかしなアプリもありますので、油断は禁物です。
必要以上のアプリはインストールしないことをオススメします。
スマホの普及によって便利な世の中になる一方で、こういった詐欺行為も高度化しています。被害にあったときの被害額も大きくなりがちです。
便利ということはその分注意が必要であることの裏返しです。自分は大丈夫と慢心することなく、気をつけてサービスを使うようにしましょう。
事実、私もメッセージが届いた直後は本物と勘違いしてしまったほどです。悪意のある行動はいつ、誰に対しても行われる可能性があると思ったほうがいいです。
今回の所はこの辺で。
コメント