いま話題の偽不在通知=「SMSフィッシング」が送られてきた

2020-08-30

スマホ ネット詐欺

 昨日、僕のスマホにこんなショートメッセージが届きました。




キターーーーーー!!


これこそ、いま巷で話題の「偽不在通知」です。不在通知を装って受信者の気を引き、表示されているリンクをクリックさせてフィッシングサイトへ誘導し、情報を詐取したり、不正アプリをインストールさせることが目的です。要するにフィッシングメールと同様の詐欺なのですが、用いるツールがメールでなくてSMSなので、「SMSフィッシング」などと呼ばれています。絶対にクリックしてはいけません。


URLが怪しい

もっとも、少し注意して見ると、そもそもリンク先のURLが怪しいです。いまどきまともな企業のサイトならSSL認証(https://~)になっているはずなのに「http://」です。さらにURLが「duckdns.org」というドメインのサブドメインになっています。日本郵便やクロネコヤマト、佐川急便などであれば、当然、自前のドメインを持っています(日本郵便ならjapanpost.jp、クロネコヤマトならkuronekoyamato.co.jpなど)。「duckdns.org」などというよそのドメインに間借りしているわけがありません。


ちなみに、「duckdns.org」というのは、ダイナミックDNSサービスの提供元で、フィッシングサイトがこのサービスを利用しているため、URLが「〇〇〇〇.duckdns.org」になっているわけです。「duckdns.org」自体は詐欺師の一味でもなんでもありません。


被害者が加害者になって拡散

今回、僕にこのショートメッセージを送ってきたのは、「070-○○○○-○○○○」の番号なのですが、この電話番号が詐欺師のものとは限りません。実は、上で述べたように、フィッシングサイトに誘導された被害者は不正なアプリをインストールさせられることがあるのですが、そのアプリには同様のフィッシングショートメッセージを勝手に他の人に送信する機能があるようなのです。被害者のデバイスを乗っ取って、それを拠点にさらに拡散していく、というネット上の詐欺の常套手段です。つまり、今回、僕にメッセージを送ってきたスマホもひょっとしたら、この詐欺の被害者かもしれないわけです。被害者を加害者に仕立てながら拡散していくため、真の犯人にたどり着くのは極めて困難になります。


送信元偽造も可能

今回、送信者は電話番号で表示されていましたが、実は、SMSの送信元は簡単に偽造できるそうなので、「日本郵便」とか「クロネコヤマト」などと送信元を偽造したメッセージが届く可能性もあり、実際、送信元が偽造されたショートメッセージもすでに出回っているようです。詐欺の技術は驚くべきスピードで進歩するので、残念ながら「これを確認すれば見抜ける」というポイントはないものと考えたほうがいいと思います。僕が上で述べた「怪しいポイント」も、詐欺師はいずれ修正してくるものと予想されます。なまじ、「怪しいポイント」にこだわっていると、詐欺師がそこを巧みに修正してきたときに、かえって足元をすくわれる可能性があります。


確実な対策としては、再配達依頼は、あくまで、ポストに投函された紙の不在通知に基づいておこない、メールやショートメッセージによる不在通知は基本的に無視する、ということになってしまうのかもしれません。まったく腹立たしい限りです。