宅配便の不在通知がメールやSMSで来たからURLを開いた

　いつも使っているネットショップで買い物をして待っていたところ、スマホや携帯電話のSMS（ショートメッセージ）やメールに不在通知が届く。確かに、昼間食事に出ていたな、とメッセージを開き、記載されているURLをクリックすると宅配便業者のウェブサイトが開く。そこで、再配達アプリをインストールするように促されたり、会員登録して再配達を促される。わざわざ電話しなくて済むようになるならITサービスを活用しようと、指示に従ってしまうと……ネット詐欺にひっかかってしまう。

このようなメッセージが届いたら、はやく荷物を受け取りたくなるのは仕方がない

　宅配便の不在票という、ユーザーの申し訳ない感じと早く受け取りたいという心理の隙を絶妙に突いているのが流石だ。詐欺の方法は数パターンあるので、それぞれ解説していきたい。

　まずは、アプリをインストールさせようとするパターン。URLは短縮URLが使われており、元のURLは表示されていない。指示通りにリンクを開くと、「sagawa.apk」というアプリファイルをインストールさせようとしてくる。しかも、タイトルは「佐川急便」となっている。インストールしてももちろん、再配達の指示などはできない。そして、影で電話番号や電話帳に登録しているデータを海外に送信したり、別の不正なアプリを影でダウンロードしてしまう。件名や文面、送信者などはさまざまで、佐川急便のウェブサイトでは23種類もの事例が公開されている。なお、“野良アプリ”をインストールするため、被害に遭う可能性があるのはAndroid端末のみとなる。iPhoneにはApp Store以外からアプリをインストールできないためだ。

本物そっくりの偽サイト。手続きをしようとすると、アプリのインストールを促される（本誌2018年1月15日付記事『荷物の不在通知を装ったSMSに注意！　端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す』より）

アプリをインストールする際、本当の不在通知アプリだとしても、不要なはずのアクセス権限まで求められている。もちろん、「キャンセル」をタップしよう（「トレンドマイクロセキュリティブログ」2018年1月15日付記事『実例で学ぶネットの危険：「通知　お客様宛にお荷物のお届きました」』より）

　対応策としては、まず、記載されているURLや送られてきたメールアドレスをチェックすること。このURLやメールアドレスに使われているドメインが、フリーメールだったり数字の羅列だったりすると怪しい。また、ワンランク上の相手だと、正規の企業のドメインに似た文字列を使ってくる。例えば、インプレスのドメインは「impress.co.jp」だが、「impresshuzaituuti.com」（※一例／現時点で存在しないドメイン）のようにごまかしてくるのだ。

　Androidスマホ向けのセキュリティソフトを利用するのもお勧めしたい。定番のセキュリティ企業の製品なら、広範囲にばらまかれるマルウェアにはいち早く対応するので、インストールする際に警告してくれる。また、セキュリティの設定から、「提供元不明のアプリ」をインストールできないようにしておくと安心だ。

Androidの設定画面で、“野良アプリ”をインストールさせないようにしておく

　ほかには、IDとパスワードを入力させるようなウェブページが表示され、アカウントを持っていないなら登録させようとするパターン。URLが不正なので注意すれば分かるのだが、正規のウェブサイトそっくりに作られていると、なかなか気が付かないもの。CMに登場する芸能人ががっつり表示されていても、そう簡単に信用してはいけないのだ。

　この手のネット詐欺は、完璧な防止法というものはない。最も効果があるのは、この手のネット詐欺が存在するということを知ること。本連載の読者であれば、一目見て詐欺であることが分かるが、知らなければ引っかかってしまう可能性がある。ぜひ、デジタルリテラシーの低い家族や友人がいる場合は、教えてあげて欲しい。それが何よりの防止策となるし、いざというときに相談しやすい空気の醸成にもなる。

DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援する団体で、現在、NPO法人の申請中です。今後は、媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行う予定となっています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。