先日、「WhatsApp」を名乗る差出人から「アカウントに異常が検出されました」という内容のSMSが届きました。
一見すると本物のようですが、巧妙な詐欺メッセージでした。
受信したメッセージの内容(スケアウェア)
届いたSMSは2通でした。
メッセージには、
お客様のWhatsAppアカウントは異常が検出されました。
24時間以内に本人確認をお願いします
システムはお客様のアカウントに不審な利用を検出しました。
24時間以内に情報を確認しない場合、利用が制限されます
などと書かれ、緊急性を煽る文章になっています。
両方のメッセージに共通するのは「24時間以内に」という期限の設定です。これは「スケアウェア(scareware)」と呼ばれる手法で1、受信者に焦りを感じさせて冷静な判断を妨げることを狙っています。
実際のサービス停止や制限措置では、もっと長い猶予期間が設けられるのが一般的です。また、重要な通知であれば複数の方法で連絡があり、一度のSMSだけで済ませることはありません。
偽URLのタイポスクワッティング
詐欺メッセージは、「a-whatsapp.com」や「wha1topp.com」というURLが含まれていて、正規のWhatsAppは「whatsapp.com」と似たような文字列を使用しています。
これは「タイポスクワッティング(typosquatting)」と呼ばれる手法で2、文字を似たような記号や数字で置き換えて正規サイトに似せる技術です。急いでいる時や注意深く見ない場合、本物と錯覚しやすい作りになっています。
SMSの送信者偽装(SMSスプーフィング)
メッセージの送信者名は「WhatsApp」と表示されていました。
これは「SMSスプーフィング(SMS Spoofing)」という技術を使った偽装です3。
SMSでは送信者名を自由に設定できるため、実際の送信者とは全く異なる名前を表示させることが可能です。
本物のWhatsAppからの通知であれば、通常はアプリ内通知やメール経由で届きます。重要なセキュリティ関連の通知をSMSで送ることは基本的にありません。この点も不審な要素の一つです。
偽サイトへのアクセス結果
URLにアクセスすると、WhatsAppのページが表示され、「Security Verification」という見出しで、「アプリを開く」ボタンが設置されています。
このボタンを押すと、ブラウザから「このサイトは別のアプリケーションを開こうとしています」という警告が表示されました。
どうも、WhatsAppで、「+1 〜 〜 〜」という電話番号のアカウントとメッセージをやり取りするようになっています。
正規サービスとの見分け方
本物のWhatsAppからの重要な通知は、主にアプリ内で行われます。また、アカウントの問題があった場合は、アプリを開いた際に直接表示されるのが通常です。SMSでURLクリックを求める通知は、ほぼ100%詐欺と考えて問題ありません。正規のサービスであれば、公式アプリや公式サイトから直接ログインして状況を確認できます。
また、正規のセキュリティ通知では、具体的な問題の内容や発生時刻が明記されることが多いです。今回のメッセージのように「異常が検出されました」という曖昧な表現は、詐欺の典型的な特徴です。
疑わしいメッセージを受信した場合は、送信者をブロックし、メッセージを削除することをお勧めします。また、家族や友人にも同様のメッセージについて注意喚起することで、被害の拡大を防げます。
まとめ
今回分析したWhatsApp詐欺SMSは、ドメイン偽装、送信者スプーフィング、心理的操作といった複数の技術と手法を組み合わせた極めて巧妙な攻撃でした。日本語の自然さや緊急性の演出により、多くの人が騙される可能性があります。重要なのは、SMSのURLリンクには絶対にアクセスせず、公式チャンネルから情報を確認することです。
- 詐欺師は緊急性を演出することで、受信者の判断力を低下させる心理的操作を行う。「24時間以内」などの期限設定は典型的な手法 – The 7 most common WhatsApp scams and how to avoid them
- タイポスクワッティングは、ユーザーがURLを誤入力した際に偽サイトに誘導する手法。文字の省略、置換、挿入などの技術が使われる – Typosquatting – Wikipedia
- SMSでは送信者名を自由に設定できるため、実際の送信者とは全く異なる名前を表示させることが可能。詐欺師は銀行やPayPalなどの金融機関名を偽装することが多い – SMS Spoofing: Protecting Your Business and Personal Information