一昨日私のiPhoneXの電話番号にテキストメッセージで宅配便(社名はなし)の不在通知が届き、メッセージにあったURLをクリックしました。ちょうどアマゾンで発注していたものがあり、その不在通知と思ったためです。ところがクリックした後に画面に何も出ませんでした。すぐに不正メールだと思い、メッセージを削除しました。Googleで検索すると2019年9月の朝日新聞にこのような場合、クリックしただけで、Paypayが不正に使用された、あるいは日経XTECHのサイトに「クリックするだけでもウィルスに感染するケース(Bofra)が掲載されていました。①私のこのケースでウィルスに感染した可能性はあるのでしょうか?②もし感染した可能性があるとすればどのように対処すれば良いのでしょうか?
このようなケースの対応にお詳しい方がいらっしゃれば、お教えいただけましたら大変ありがたいです。よろしくお願いいたします。
iPhone X, iOS 13
クリックだけで不正使用されることはないです。
ただ、騙されて口座情報を入力したりすれば話は別。
ネット利用の詐欺は年々巧妙さを増していますし、コロナ問題でネットで行う作業が増えてきている昨今は、かなり注意してないとコロッと騙されかねません。最近は2ファクタ認証とかワンタイムパスワードなど、単純なパスワード奪取だけではアカウントを乗っ取れない工夫がなされていますが、これですら、巧妙に騙して2段回目をクリアする(2段階認証すらも偽装する)といった手口がすでに存在します。
Hit-C様
大変よくわかりました。URLをクリックしましたら何も出てきませんでしたので口座情報などは尋ねられませんでした。
私も用心のため2ファクター認証とワンタイムパスワードはいつも使用していますが、それでも巧妙に騙す手法がある時代になったのは知りませんでした。
今海外に滞在していることもあり、今回初めてこのような形で「コミュニティ」でご相談させていただきましたが、このような重要で役にたつ情報をすぐに得られるのは、非常にありがたいことです。心から感謝いたします。
支払いはされてないと予想するけど、支払い履歴は確認済みですか。
iPhoneのウィルスは報告されていないと思います。
Hit-C様
詳しいご説明をありがとうございました。大変役に立ちました。
このような問題はほとんど知識がないので確認のためにお伺いいたしたいのですが、ウィルス感染がないとすれば、今回誤ってURLをクリックしたことによって、オンラインバンキングが不正使用されることはないと考えてよろしいのでしょうか?結構頻繁にiPhoneXを使ってオンラインバンキングをいたしますので。
さらにお手数をおかけして恐縮なのですがどうぞよろしくお願いいたします。
Borfaの件理解いたしました。
記事のケースはAndroid、それともiPhone。
この記事ではAndroidかiPhoneかは記載していません。
実際にPaypayをお使いなのでしょうか?
Paypayに登録したクレジットカードからは引き落としはありませんでした。
Paypay以外の、例えばAmazonなどに登録したクレジットカードなども不正使用されるのか?あるいは、オンラインバンキングもiPhoneXですることが多いのでこちらの不正使用もあるのか心配しています。
このひと月は海外にいるので使っていませんが、それ以前に日本にいた時は頻繁に使っていました。
そうですか。情報ありがとうございます。
>今回誤ってURLをクリックしたことによって、オンラインバンキングが不正使用されることはないと考えてよろしいのでしょうか?
今回は、無いだろうけど、次回はどうなんでしょ。
銀行口座絡みのフィッシングメールも多いし。
xy様
貴重なご助言をありがとうございました。
>私のこのケースでウィルスに感染した可能性はあるのでしょうか?
ないです。iPhoneはその程度でウィルス感染することは原理的にありません(ウィルスというのは、システムの一部を改変して入り込み、悪意ある動作を行うマルウェアの一種ですが、iOSはいかなるアプリもシステム領域に直接アクセスはできない構造になっていますので、アプリでどのような操作をしようともウィルス感染はしません)。
ただし、マルウェアはウィルスだけではありません。現在出回っているもののほとんどはウィルスではなく、今回のような詐欺です。詐欺はシステムの脆弱性を突くものではなく、ユーザの脆弱性を突く(ユーザを騙して情報を得る)ものです。
今回の件でいえば、SMSで詐欺が届いていますから、その中のURLをクリックすれば、最低でもクリックした人の電話番号は先方に伝えることが可能です。つまり、その電話番号の持ち主は、安易にSMS内のURLをクリックする人であることが伝わります。そうとなれば、より高度な詐欺を仕掛けることで、もっと重要な情報(Apple IDとパスワードとかクレカの番号とか)を引き出せるチャンスがあります。闇の世界では、このような引っかかりやすい人(電話番号やメールアドレス)リストが高値で売買されていたりしますので、今後も詐欺が続く可能性があります。十分に注意してください。
>クリックしただけで、Paypayが不正に使用された
PayPayは使ってないので、正確な知識はありませんが、電話番号がわかってその端末を手にしているだけでPayPay支払いができるのであれば、原理的には可能なのでしょう。ただ、普通に考えればそれは重大なセキュリティーホールなので、PayPay側がすぐに対応策を講じているはずです。また、これはPayPayの支払い履歴をチェックすれば、すぐにわかることです。
Apple Payであれば、支払いの都度再認証を必要としますので、その時点でユーザが異常に気づくはずです(これが面倒という人もいるのですが、これがなければ知らないうちに勝手に支払われるリスクが生じますので、省くことができない手順です)。
なお、BorfaはInternet Explorerの脆弱性を利用するものですので、iPhoneでは機能しません。
https://xtech.nikkei.com/it/free/ITPro/NEWS/20041202/153384/
銀行系をブラウザから利用する場合、ブックマークから行く方法以外は全て危険と考えた方がいいかも。
ワンタイムパスワードも無力なので。
宅配不正メールのURLをクリックしてしまいました。
