大和哲
「佐川急便より荷物のお届けに上がりましたが宛先不明のため持ち帰りました」。スマホに届いたこんなSMSがきっかけで、クレジットカードの番号が流出したり、友人に同じSMSを送りつけたり、といった宅配便SMS詐欺が流行している。正しい不在通知を見分けるポイントはどこか、引っかからないためのポイントを紹介しよう。(ITライター 大和 哲)
■受け取る側も送る側も便利な「宅配便&郵便」アプリ
一昔前に比べると、宅配便や郵便の不在通知はシステム化され、ずいぶん便利になった。不在のときにはプッシュ通知で教えてくれるし、そのまま再配達日の指定などもできる。荷物を送る側としても、送った荷物の追跡ができるのは安心感がある。なので筆者も、宅配便業者や郵便のアプリはスマホにインストールしている。
また、筆者の場合は、ヤマト運輸の「クロネコメンバーズ」にも登録しており、「eお知らせ設定」で自分宛に宅急便がいつ送られてくるかが分かるようにしているほか、家におらず荷物を受け取れなかった場合は不在連絡がEメールでも送られてくるようになっている。これは非常に便利で、直接受け渡しでなくポストに投函するような簡易な荷物でも、「ポストに10時43分に投函しました」などとメールで教えてくれる。
こうした運送会社のサービスはありがたいのだが、慣れてくるとユーザーにも油断が出てきてしまうのかもしれない。いつもならアプリのプッシュ通知や、スマホにメールで届くはずの不在通知が、今日はSMSで届いた(ショートメッセージサービスの略。後述するがSMSで不在通知は届かない)。そこでおかしいと気が付かずにうっかりクリックして開いてしまう。
「あれ、ちょっといつもと様子が違うような……?」
ちょっと違和感を覚えながらも、開いたページに書いてある指示通りに操作してしまう。これが大きなセキュリティー事故のもとになるのだ。
■ニセの宅配便アプリをインストールされる
最近多いのが、運送会社を名乗るSMSによる被害である。最初にAndroidスマートフォン、次にiPhoneの例を紹介する。
まず、こんなSMSがスマートフォンに着信する。写真のように「佐川急便より荷物のお届けに上がりましたが宛先不明のため持ち帰りました http://xxxxxx.duckdns.org/」といったメッセージが書かれ、リンクが貼られている。
メッセージに表記されているURLを選択すると、件の運送会社のホームページそっくりなページが表示され、「……sagawa2.x.x.apkを保存しますか?」とファイルをダウンロードする画面が表示される。
「apk」とは、「Android用アプリケーションパッケージ」の略で、簡単に言うと、プログラムを動かすために一連のファイルがまとめられたパッケージだ。通常、Android用アプリをインストールするにはGooglePlayなどのアプリストアからダウンロードすると思うが、実はapkファイルをスマートフォンやタブレットに保存して展開しても、アプリをインストールすることができるのだ。
この例で言うと、画面のメッセージは「『SAgawa』という名前のバージョン2.x.xというアプリを動かすためのパッケージ一式をダウンロードするか?」という意味になる。
ここで「OK」を選ぶと、ファイルがダウンロードされ、アプリケーションがインストールされる。そして場合によっては実行もされる。
あなたならどうする? 「OK」を押してアプリをインストールするだろうか。それともここで画面を閉じるだろうか。
春風亭一之輔
石井志昂
ラリー遠田
