佐川急便、ヤマト運輸から不在通知がのSMSメッセージで来たら注意!詐欺・マルウェア攻撃の可能性

1/4配信開始!放置しててもキャラが育つ放置系RPG

筆者の元に1通のSMSメッセージが届きました。「090-2965-8166」知らない番号ですが、内容は佐川急便から送られてきたもの。配達員からの通知かと思っていましたが実のところ、これは不正なアプリをインストールさせようという攻撃だったのです。そしてこの案件の後、ヤマト運輸からもSMSが送られてくる攻撃が確認されています。

スポンサーリンク


佐川急便から送られてくるSMS不在通知

筆者の元に届いたメッセージはこのようなものでした。

SMSメッセージ

「お客様宛にお荷物のお届けに上がりましたが不在のため持ち帰りました。下記よりご確認ください」
「佐川急便株式会社<SGホールディングスグループ> sagawa-kk.com」

知らない番号からのものでしたが、配達員の携帯番号であれば知らなくても当然。荷物には自分の電話番号が記載されているため知っていることでしょう。「sagawa-kk.com」という表記に特に不信感は感じませんでした。

しかし佐川急便のURLは「www.sagawa.exp.co.jp」これは調べてみないとわかりません。SMSに記載されているリンクを開いてみるとこのようなページが表示されます。

偽の佐川急便サイト

佐川急便と思われるよく出来たサイトです。ひとつだけ異なるのは、荷物追跡番号を入力する欄が、「貨物追跡」というボタンになっていること。これは気づかないのではないでしょうか。この「貨物追跡」ボタンをクリックすると不正なアプリがインストールされる攻撃だったのです。

スポンサーリンク

ヤマト運輸から送られてくるSMS不在通知

そして近頃になってヤマト運輸からのSMS不在通知攻撃も送られていることが独立行政法人・情報処理推進機構(IPA)で確認されています。送られてくるメッセージはこのようなものです。

お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください。http://kuronekoyamrto.com

これはリンク先がヤマト運輸ではなく誤認するようなURLが使われています。

佐川急便とヤマト運輸のSMS不在通知攻撃はどのようなものか

佐川急便をかたった攻撃の場合、画面をタップすると「sagawa.apk」というアプリがダウンロードされます。これはAndroid用のアプリで「提供元不明のアプリ」をインストールできる設定変更をしないとインストールできないものですが、このアプリをインストールする手順までが案内されます。

インストール時には連絡先の読み取りやSMSの受信および読み取りなどの許可が要求されます。アプリの正体は「バックドア」型の不正アプリで、攻撃者が遠隔でAndroidスマートフォンの操作を実行できるようになります。

現在のところ具体的な攻撃は確認されていないようです。しかし攻撃者が遠隔でスマートフォンを操作できるため「スマホを使えないようにして身代金を要求する」「連絡先などのデータを盗む」「他の不正アプリをインストールする」などの攻撃が可能になります。

ヤマト運輸のSMS不在通知攻撃も同様にAndroid用の不正なファイル「koyamato.apk」をダウンロードさせようとします。

ヤマト運輸SMS不正攻撃イメージ

急拡大をみせる佐川急便・ヤマト運輸SMS不在通知攻撃

不正なアプリをインストールさせようという攻撃はiPhoneの場合には機能しません。

もし自分がAndroid端末で、アプリをインストールしてしまったらどうしたら良いか。まず偽の佐川急便サイトからインストールしたアプリを削除する必要があります。それに加えて「ウィルスバスターモバイル」の体験版をインストールしてウィルス検索を実行すると良いと思われます。

ウィルスバスターの提供元トレンドマイクロはこの攻撃を確認しており、不正アプリを「AndroidOS_Wroba.U」として検出するようになっています。

今回の攻撃は2018年1月から確認されていますが、攻撃の種類が佐川急便だけだったものからヤマト運輸にも拡大しています。またSMSメッセージで送られてきたリンクにiPhoneでアクセスした場合、なぜかApple IDの入力を求められる攻撃のバリエーションもあるようです。いずれにせよ、佐川急便・ヤマト運輸共にSMSでの不在通知は行なっていないため、SMSでの通知は不正なものであることに注意してください。

参考URL:Internet Watch, Internet Watch