近年、増加の一途をたどっているスマホを狙ったフィッシング詐欺。アマゾンなどのECサイトや宅配業者、クレジットカード会社などを騙り、偽のメッセージを送付するSMS詐欺も多い。いたちごっこのように新たな手口の詐欺が日々生まれてくる。そんななか、日本サイバー犯罪対策センター(JC3)は11月25日に、脅威情報としてサイト上でNTTドコモなど通信事業者を装ったフィッシング詐欺への警戒を呼びかけた。Android端末のユーザーだけでなく、iPhoneユーザーにも被害が確認されているという。その巧妙な手口と被害に遭わないための注意点を紹介する。
ドコモユーザーの被害総額、約1億円。覚えておきたい「構成プロファイル」とは
JC3はドコモなど通信事業者を装ったSMSのフィッシング被害がAndroid端末だけでなく、iPhoneでも確認されたと発表、その巧妙な手口を公表した。
iPhoneへのフィッシングの一例として挙げているのが「ドコモお客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です」といったメッセージとともにURLが貼られている、というSMS。このURLをクリックすると、それらしく作られた偽サイトへと飛び、表示に従って「構成プロファイル」とセキュリティアプリをインストールすると、気づかないうちに不正アプリがインストールされてしまうのだという。さらにそのアプリを起動するためにネットワーク暗証番号が求められ、入力するとその情報が盗まれてしまう恐れがあるというのだ。
iPhoneには携帯電話事業者などが設定を一括で行うために構成プロファイルという機能があるが、これはそれを悪用した手口。ドコモは2021年6月にSMSから不正アプリをインストールさせるフィッシング詐欺がAndroid端末で確認されていると注意を促していた。だがiPhoneでも構成プロファイルを悪用することにより、APP Storeを通さずに不正アプリをインストールさせることが可能になってしまうのだ。
ドコモによると、「ドコモオンラインショップにおいてApp Store & iTunesギフトカード等が不正に購入され、身に覚えのない決済による被害」が確認されているという。10月1日の時点で、被害にあったユーザーは1,200人、被害総額は1億円にも及ぶそうだ。
