「端末ID」を表示〜迷惑メールの悪質な手口

[杉浦正武＆斎藤健二，ITmedia]

　迷惑メールの手口が年々進化している。最近では、端末シリアル番号を表示して「あなたの個人情報は手にとるように分かっている」と見せかけ、法外な額の料金振り込みを迫る業者も存在するようだ。

　業者の手順は、以下のとおり。まず、無作為にメールを配信し、本文中に記載されたURLにユーザーがアクセスするのを待つ。当該URLでは、トップページにいくつかのリンクが用意されている。いずれかをクリックすると、「あなたの端末情報は認証された」旨の文章と共に、ユーザーの機種情報や端末シリアル番号が表示される。

同様の手法を採用したサイトの1つにアクセスしてみた。トップページからほかにジャンプした瞬間、個人情報が表示される

　メールのURLはユーザーごとにひもづけられているから、業者はどのユーザーがアクセスしたかが分かる。そこで、ユーザーのアドレス宛に再度「あなたは会員登録を行ったから、料金振込みを行うように」とのメールを配信するという手法だ。

　相手の要求が不当だと感じれば、無視するか拒否すればよいだけのことだが（5月25日の記事参照）、シリアル番号が割れているだけに「こちらの個人情報が筒抜けなのでは」との恐怖感を抱きやすい。

某業者から実際に届いたメール。メール下部に、機種情報および端末IDが表示されている。これを見て、「もう逃れられない」と勘違いしてしまうユーザーもいるようだ

　こうした悪質業者の手口には、既に一定数のユーザーが被害にあっているようだ。ドコモやボーダフォンがそれぞれ注意を促す案内を出している。

各キャリアとも端末情報は通知する

　機種情報は、Web上でコンテンツを正しく表示させるため、端末側が接続先ウェブサイトに通知している情報。端末のシリアル番号は端末ごとに与えられている番号で、ユーザーごとにカスタマイズされたサービスなどを提供するのに使われている。もっとも、これが分かったからといってユーザーの電話番号や、住所などが分かるわけではない。

　ドコモのFOMA端末の場合、Webアクセス時に製造番号と機種名をサーバに通知させることができる（ドコモサイト参照）。ただし、情報送信の前には確認画面が表示され、ユーザーが承諾しなければ情報は送信されない。いくつかの公式コンテンツサイトでは、情報の通知を促すダイアログが表示されるので、見たことがある人もいるだろう。

　KDDIによると、au端末では製造番号ではなくユーザーの契約者情報に基づいたサブスクライバ（契約者）IDが送付される。ただし、このIDから契約者の住所や電話番号などの個人情報を知ることはできない。

　ボーダフォンのパケット対応端末および3G端末では、端末の設定で「ユーザーID通知」がオンになっている時だけ、端末シリアル番号が通知される（ウェブ設定−セキュリティ設定−ユーザーID通知）。通知設定をオフにすれば端末シリアル番号をWebサイトに通知しないことも可能だ。

　ただし通知をオフにすると、公式サイトにのみ通知されているユーザーID（UID）も送信されなくなるため、「MyVodafone」や有料コンテンツの購入が行えなくなる。

※ボーダフォンのユーザーID通知について補足しました（9月9日付記）