povo2.0のSIM宛に謎SMS「お客様が不在の為お荷物を持ち帰りました。」が届いた話。

「お客様が不在の為お荷物を持ち帰りました。」とは。

まず初めに電話番号「080-XXXX-XXXX」というのは発信側の情報だった。

私は日本通信とPovoと楽天モバイルで音声SIMを契約しているが、日本通信以外はデータ通信専用のため割り当てられた電話番号など覚えていなかった。

そもそも普段からSMSはログイン関連くらいにしか使っていない。

これについて誰かの電話番号が無作為に選ばれている可能性もあったので画像では伏せている。

また、この電話番号に対して発信したりテキストを返信する勇気もない。

では何故、このメッセージを「怪しい」と思ったのか。

それは楽天市場やAmazon.co.jpなど通販サイトに登録しているのは昔から使ってきて現在は日本通信にMNPしている電話番号、ただ1つだけだから。

つまり配達の連絡が届くことなんて「ありえない」のだ。

タップしてプレビューという箇所を押してみるも無反応、記載されているURLへアクセスしたが存在しないページだという。

フィッシングサイトだろうなと思っていたが、サイトも表示しないということは「電話番号の存在確認」で総当たりをしているのだろうか。

それで反応があれば絞り込んでフィッシング詐欺サイトへ誘導するといったところかもしれない。

上図のとおり、よく見れば不思議な日本語となっていて「荷物（にもつ）」が「何物（なにもの）」となっているなど笑わせにもきている。

「お客様」を「お客★様」としているあたり今年のヒットアニメ「推しの子」を意識しているのか、SMSフィルタリングのワード検索に引っかからないようにしているのか判断を難しくしている（えっ！？）。

いずれにしても契約者本人とpovoアプリを開いても把握できないpovo2.0の電話番号へSMSを送信したのは凄いなと、変なところで感心してしまった。

とりあえず記事タイトルにある日本語に脳内変換した「お客様が不在の為お荷物を持ち帰りました。」で検索した。

新聞記事にもなっていたSMS。

ーーーーすると、東京新聞の2023年2月17日掲載記事がヒット。

やはり「偽サイト誘導SMS」のようだ。

記事によれば国内通信大手三社は去年春から偽サイトのURLを含めて不正と判断したSMS配信の自動拒否システムを導入したという。

その一方でソフトバンク担当者は機械学習により高確率で遮断できるものの、次々と作られては消えるイタチゴッコで完全な遮断は難しいとコメント。

手口としては偽サイトへアクセスさせて公式アプリと勘違いしてしまいそうな不正アプリのインストールさせてログイン情報を取得するといった内容。

ユーザー側の対策としてiOSであればApple Store以外からアプリをインストールしないように、Android OSでは有名な「不明なアプリのインストール」を無効にするといったことが推奨されている。

私の場合、気に入っているPIxel7aはコンデジ＋モバイルルーター＋Androidゲーム端末として用途を限定しているため問題ない。

もう1台のメインはiPhone。

私がiPhoneを手放せない理由の1つとして良くも悪くも融通が効かないことが挙げられる。

一見すると不便だが銀行アプリや決済アプリ、ショッピングアプリのほか、銀行などのログインは（Macと共有できるから）Safari限定といった具合に、重要な作業は全てiOSに集約しやすいという側面もある。

やはり高いセキュリティを求めるとクローズドな世界は心地よい。

WindowsとAndroidは自由度が高くフランクに付き合えるもののスポンジボブみたいにズボンがしか…、そこいら中に穴が空いていてはセキュリティ上のリスクが高く、それに対する手間・コストも大きい。

本件によって、macOSとiOSのようにセキュリティが確保されている不自由な端末は常時ネット接続時代には重要だと再認識できた。

それにBlackberryやARM版Windowsが近づけばと期待していたけれどもーーーー。

話は外れてしまったが、メインSIMを高セキュリティ端末にしていること自体がファイアウォールとなり、今回の悪質SMSからは完全に遮断できた。

仮に偽サイトのURLが生きていたとしてもiPhoneのブラウザでしかパスワードを入力しないという「基準」があるのでPixel7aに如何なる手口が来ようとも問題にならない。

Pixel7aはAndroidという自由OSなのでモバイルルーターやコンデジ化、スマート家電の自動化などツールとして使っていて優秀だが、信頼はしていない。

この習慣が役に立ったようだ。