　実はこの攻撃、その後も手法を変化させながら攻撃が継続しています。特に注意したいのは、AndroidだけでなくiOSも対象となっていること。Androidはこれまでのようにアプリをインストールさせるという手法で、iOSは「Apple IDの情報と認証コードを取得しようと試みる」という手法で攻撃が行われています。

佐川急便の偽サイト（スクリーンショットは筆者）

佐川急便かたるSMSに新たな手口　iPhoneユーザー標的か　携帯番号・認証コード詐取

　佐川急便を対象にした攻撃に限らず、携帯キャリアのアカウントを奪うことでキャリア決済を使った換金が狙われています。Androidだから危険、iOSは安全などということはありませんので、まずは「提供元不明のアプリのインストールを許可する」という設定をオフにすることで対抗しつつ、最新の情報をチェックすることが重要です。

連載：ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

「フィッシング」に対抗するもう一つの方法

　このようなフィッシングに対しては「個別の端末でできる対策を行う」「情報を集めて身構える」ということ以外にも、もう一つの対策方法があります。それは「フィッシングサイトが作られる兆候をつかみ、事前にストップさせる」こと。実は日本でも、このような手法で私たちがフィッシングサイトにだまされないよう、事前の策を打ってくれている人たちがいます。

　通常、企業をまねたフィッシングサイトを作成するためには、「似たようなドメイン」を取得し、「サーバを設定」するというステップを踏みます。もしこのサイトができてしまうと、ドメインを止めるか、レンタルサーバや踏み台になっているサーバを止めることで、フィッシングサイトをテイクダウン（停止措置）します。

　同時に、Webブラウザが「危険」と判断するように、フィッシング情報を登録、浸透させれば、万が一URLを開いても、赤く、危険だと表示されるようになります。

　ところが、ドメインレジストラ（ドメインを登録する事業者）に申請し、その利用を止めること、さらにホスティングプロバイダの利用を止めるというのは、かなり時間のかかる作業です。フィッシングにおいては、そのタイムラグが命取り。

　そこで、日本のコミュニティーは「特定のブランド名が入ったドメイン名が取得されたタイミング」に注目しています。そのドメインが明らかに企業による取得でなければ、フィッシングとして悪用される可能性が高いからです。

　この取り組みは有志によって行われており、例えばにゃんたくさん（@taku888infinity）をはじめ、多数の方がリアルタイムにTwitterにて情報を展開してくれています。ここでドメイン登録が成されたものが、しばらくすると実際のフィッシングサイトになり、攻撃が仕掛けられていくわけです。この時点で把握しておけば、フィッシングにも対抗できますね。