あんしんセキュリティ

インフラ会社を装ったサイバー攻撃はAndroidスマホと日本人が標的だった!

インフラ会社を装ったサイバー攻撃はAndroidスマホと日本人が標的だった!

30秒でわかる!

  • 日本の電力会社や水道局、通信キャリアなどを騙ったスミッシング(SMSを使ったフィッシング詐欺)が近年増加。
  • 偽アプリを導入(インストール)させて、スマホ内の連絡先やSMSメッセージ、Gmailなどの情報を盗み出す手口。
  • 対策は、アプリのインストール時に要求される権限をよく確認して、過大な要求だったら拒否してインストールしないこと。また、セキュリティ対策サービスを利用していれば、SMSのURLをタップした瞬間に警告表示が出るので安心。

日本を狙った攻撃の実例

さまざまな組織・団体を騙って被害者を偽Webサイトに誘導し、クレジットカード情報などを含む個人情報を入力させてそのまま盗み取る犯罪、いわゆるフィッシング詐欺の被害が止まりません。フィッシング対策協議会の発表によると、2023年は報告があったものだけで100万件を大きく超えています。

そのなかでもショートメッセージサービス(SMS)を使ったフィッシング詐欺は「スミッシング」と呼ばれ、ここ数年増加中。特に、宅配便を装って再配達の手続きに見せかけ、個人情報を窃取する手口が知られています。

2023年6月、日本のインフラ会社を装うスミッシングが急増しました。これは電力会社や水道局からのSMSに見せかけたもので、“送電停止前通知:料金のお支払いに支障があります”“水道局給水停止前通知:未納の料金があります”といった文面がURLと共に届きます。URLをタップすると、電力会社や水道局の公式アプリを導入(インストール)するよう促されます。

しかしこのアプリにはSpyNoteと呼ばれるウイルスが仕込まれており、インストールしてしまうとスマホ内の情報にアクセスできる権限を悪用して、位置情報や連絡先、送受信されるSMSメッセージ、さらにはGmailやFacebookなどの膨大な情報を遠隔操作で盗み出します。加えて別のウイルスを勝手にインストールする可能性まであるのです。

アプリの機能と無関係の権限を渡してはいけません

この手口の厄介なところは、電力会社や水道局もそれぞれ公式アプリを公開していること。偽アプリのアイコンも本物そっくりで真偽を見分けるのは困難です。しかも最近は公共料金の請求書や利用料金確認が紙の明細からWebサービス・専用アプリに切り替わっているため、あまり疑問を持たずにインストールしてしまいがちです。

対策は、まず届いたSMS自体を疑うこと。ライフラインを司る組織が給水停止など命にかかわる通知をSMSのみで済ませるとは思えません。もしあなたのもとに届いたら、メッセージ内のURLや電話番号は使わずに、ご自分で検索した公式サイトから問い合わせることをおすすめします。

次に注意すべきことはアプリのインストール時に、アプリに許可する権限をきちんと確認することです。たとえば、ゲームアプリがSMSや連絡先へのアクセス許可を求めてくることは不自然でしょう。あまりに過大な権限を要求するアプリは、たとえ公式に見えても拒否してインストールを中止しましょう。

また、セキュリティ対策サービスを利用していれば、怪しいURLをタップした瞬間に警告画面が表示されますし、仮にウイルス入りアプリをインストールしてしまっても、不審なプログラムが動いていることを検知してくれます。

※この記事は、マカフィー×ASCII.jp「せきゅラボ」掲載記事を元に制作されました。