スマートフォンのSMSで、宅配業者を装ったニセのメッセージが送信される事例が増えています。今回は、こうしたメッセージの狙いは何か、受信するとどのようなトラブルが発生しうるのかなどについてご紹介します。

宅配業者を装ったニセのSMSとは？

特徴は「不在通知やお届け予告、決済トラブルの通知を装う」、「URLをクリックさせようとする」

宅配業者を装ったSMSは「お荷物のお届けにあがりましたが、不在のため持ち帰りました」といった不在通知や、配達前のお届け予告、通信販売などの決済トラブル通知など、宅配でありがちな通知内容を騙る文言がよく見られます。また、「詳細は下記よりご確認ください」などと、URLをクリックするように誘導することが多いのも特徴です。

迷惑メールより“開封されやすい”ので狙われている

宅配業者を装うものに限らず、こうしたニセの通知は迷惑メールの定番でもあります。しかし、電話番号を利用するSMSは、ランダムに生成した番号でも日常的に利用されているスマートフォンに届きやすく、迷惑メールよりも開封されやすいため、最近特に狙われている手口なのです。

何を狙っている？「迷惑メッセージを無料で拡散」

クリックしてURLを開くと不正アプリをダウンロード

宅配業者を装ったSMSの狙いは、大きく2つに分けられます。ひとつは「迷惑メッセージを無料で拡散する」もの。このパターンでは、URLを開くと、被害者のスマートフォンへ自動的に不正アプリがダウンロードされてしまいます。

不正アプリが被害者のSMSから迷惑メッセージを大量発信！

ダウンロードされた不正アプリは自動的にインストールされ、被害者のSMSを発信元として、大量の迷惑メッセージを発信します。その内容はもちろん「宅配業者を装った」もの。こうして被害者のスマートフォンを利用しながら、さらに被害を拡大させようとするのです。

大量発信した通信料金の請求は被害者へ……

このように被害者の通信環境を利用して被害を拡大させる手法は「踏み台」と呼ばれ、迷惑メールでも見られます。しかしSMSが特に厄介なのは「メッセージを1通発信するごとに通信費がかかる」こと。つまり、踏み台にされてしまった被害者には、多額の通信料金が課せられてしまうのです。

何を狙っている？「個人情報やパスワードを盗む」「決済手段を悪用」

URLを開くと本物そっくりのログインページが登場

宅配業者を装ったSMSの狙い、もうひとつのパターンは「個人情報やパスワードなどの情報を盗む」ものです。情報収集そのものが狙いのケースと、その情報を利用して決済手段にアクセスし悪用するケースが見られます。

このパターンでは、URLを開くと宅配業者や金融機関、携帯電話キャリアなどの実際のWebサイトを模した、そっくりなログインページが現れます。

ID・パスワード・個人情報・決済情報・口座情報などを入力させて盗む

本物のログインページだと信じてしまった被害者は、荷物の再配達依頼や決済情報の修正に見せかけて、アカウントのID・パスワード、名前や住所などの個人情報、クレジットカードの番号やセキュリティコード、銀行の口座情報などを入力させられてしまいます。もちろん、ここで入力された情報は、不正に収集されてしまうのです。

認証コードを入力させてキャリア決済を悪用することも

スマートフォンに特有の被害として、携帯電話キャリアの認証コードを入力させて盗み、キャリア決済を悪用するといったものも見られます。身に覚えのない高額の携帯電話料金を請求されて、初めて被害に気付くことも珍しくないのです。

「宅配業者を装ったSMS」の被害を防ぐには？

主な宅配業者は「SMSでの通知」を行っていない

SMSの文言や、実際のWebサイトを模したログインページなどは年々巧妙に、本物らしくなっています。しかし、実はそもそも「宅配業者によるSMS」自体、本物はほぼ存在しないのです。

主な宅配業者は、「ショートメッセージ（SMS）を使った不在通知やお届け予告は実施していない」ことを公表し、詐欺行為への注意を促しています。つまり「主な宅配業者からSMSで届く通知はニセモノ」と心得ておくと、迷うこともないでしょう。

「宅配業者を装ったSMS」が届いたら「開封せずに削除」する

こちらが心得ていても、「宅配業者を装ったSMS」が届く可能性があります。受信してしまった時は慌てず、まずはそのSMSを開封しないように注意します。そして、インターネットブラウザなどでその宅配業者がSMSを利用した通知を行っているか、確認しましょう。SMSを利用した通知が行われていない場合はニセの通知ですから、今後うっかり開封したりしないよう、未開封のまま削除してしまいましょう。心当たりの荷物がある場合でも、できれば別の手段で配送状況を確認するようにします。

うっかり開封しても「URLを開かない」、「情報を入力しない」

削除の手順を間違えたり内容を勘違いしたりして、うっかりSMSを開封してしまっても、それだけであれば今のところ被害のリスクは少ないと言えます。この場合、とにかく本文内のURLを開かないこと、もし開いてしまった場合は、ログインページで情報を入力しないことを心がけましょう。

不正ソフトは「機内モードにして削除・初期化」、入力した情報は「すぐに変更する」

URLを開いたり、情報を入力してしまったりした場合は、起きている状況によって対策も違ってきます。

不正ソフトがインストールされ、いわゆる踏み台にされているのであれば、まずスマートフォンを機内モードにして通信を切り、不正ソフトを探してアンインストールします。スマートフォンそのものに影響が出ている可能性も否定できないので、できれば初期化するのがおすすめです。

ニセのログインページなどに情報を入力してしまったのであれば、すぐにID・パスワードなどをできるだけ複雑なものへ変更し、それ以降悪用できないようにしましょう。また、クレジットカードや携帯電話料金などの請求額もチェックして、被害が出ていればサービス提供会社へ問い合わせてください。

ここでは2021年6月現在の防止策や対策法をお伝えしましたが、コロナ禍で宅配の利用が増えていることもあり、SMSによる詐欺も増加傾向にあるといわれます。今後、さらに巧妙な手口が登場することも考えられますから、現状の対策に加え、新しい情報にもアンテナを張って備えましょう。

参考：

国民生活センター「宅配便業者を装った「不在通知」の偽SMSに注意しましょう－URLにはアクセスしない、ID・パスワードを入力しない！－」

http://www.kokusen.go.jp/news/data/n-20201126_2.html別ウィンドウで開く