宅配業者装うSMSに注意 スマホ乗っ取られ詐欺に悪用
愛知県警は5月、スマートフォン向けのQRコード決済サービス「PayPay(ペイペイ)」に他人のクレジットカード情報を登録して家電を購入したとして、栃木県の男(21)を詐欺容疑で逮捕した。
事件に使われた決済サービスは、東京都文京区の男性(35)の携帯番号で利用登録されていたが、男性には思い当たる節がなかったという。だが、男性の携帯電話は昨年12月、宅配便の「佐川急便」をかたる偽のSMSを受信。「お荷物のお届けに上がりましたが不在のため持ち帰りました」という内容だった。男性は「ご確認下さい」と記されているそばにあるURL(インターネットサイトのアドレス)にアクセスしていた。
県警によると、男性の携帯番号でサービスに登録されたのは、男性にSMSが届いた直後だった。その日のうちに、名古屋市内の家電店で決済サービスが不正利用されていた。
男性の携帯電話に、何が起きたのか。
県警は、男性がURLにアクセスした際に、男性の携帯電話に不正なアプリが導入されたとみている。独立行政法人「情報処理推進機構(IPA)」や捜査関係者によると、この不正なアプリはスマホに届くSMSの内容を画面上に表示させずに盗む機能があるという。
ペイペイを利用する際、利用者の電話に運営会社側から「認証コード」が送られてくる。利用手続きをする中で、この認証コードを入力させ、電話の所有者の確認をする仕組みだ。
県警は、犯人グループが、不正アプリを通して東京都の男性の携帯電話の番号などを不正取得し、この男性になりすまして決済サービスに登録。その上で、別ルートで入手した他人のクレジットカード情報を支払い用に登録し、栃木県の男に不正利用させていたとみている。
県警によると、栃木県の男は他に三つのアカウントも使い、計約1千万円相当の商品を購入していた。アカウントは埼玉県狭山市、川崎市、大阪府貝塚市に住む28~38歳の男性の電話番号で作られていた。県警は、少なくとも2人のスマホにも、同様の経緯で不正なアプリが導入されていたことを確認したという。
被害に遭わないための主な対策
・身に覚えがないSMS・メールが届いても、URLはクリックしない。佐川急便を連想させる「sagawa」の文字列が入っていても、偽サイトの可能性が高い
・(アンドロイドの場合)設定で「提供元不明のアプリ」を「オフ」にして、不正なアプリが導入されないようにする
・(アプリを導入してしまったら)スマホを機内モードにして、削除する
・スマホ向けのウイルス対策ソフトを導入する
(IPAやトレンドマイクロなどへの取材に基づく