日本の宅配業者のウェブサイトを装った偽サイトが見つかったことを、株式会社カスペルスキーが同社公式ブログで報告し、注意を呼び掛けている。荷物の不在通知を装ったSMS（ショートメッセージサービス）で送られてくる短縮URLをクリックすることで偽サイトに誘導され、そこで偽アプリをインストールさせる手口だ。カスペルスキーの調査によれば、この偽アプリはインストール時に台湾と通信し、端末のIMEIや電話番号などの情報を送っていたという。

　偽サイトは佐川急便のウェブサイトを装ったもので、同社テレビCMに起用されている俳優・織田裕二さんのイメージ画像なども上部に表示される。「gnway.cc」ドメインで開設されており、正規サイトの「co.jp」とは異なるが、スマートフォンの小さな画面で見ると、一見しただけでは偽サイトと判別するのは難しいとカスペルスキーでは指摘している。

佐川急便の偽サイト。「貨物追跡サービス」の箇所には、正規サイトであれば「お問い合せ送り状No.」の入力ボックスがあるはずだが、偽サイトでは、そこだけ違和感のあるフォントの「貨物追跡」ボタンが設置されている

　一方で、「貨物追跡サービス」の箇所には、正規サイトとは異なる「貨物追跡」ボタンがあり、それをタップすることで偽アプリ「sagawa.apk」がダウンロードされる仕組みだ。偽サイト下部も正規サイトとは異なり、Androidで「提供元不明のアプリ」のインストールを許可する際の手順を「インストール方法」として案内している。また、インストール時には、連絡先の読み取りやSMSの受信・読み取りなどの権限を要求してくるという。

　カスペルスキーでは、この偽アプリはSMSや連絡先リストといった情報を外部へ送信するものだと説明。カスペルスキー製品では「HEUR:Trojan.AndroidOS.Piom.qcd」「HEUR:Trojan-Spy.AndroidOS.Agent.qa」という名称で、マルウェアとして検知・ブロックするとしている。

　カスペルスキーの公式ブログ記事は1月12日付のものだが、偽サイトへ誘導する短縮URL（Google URL Shortner）のデータによると、その短縮URLは同記事執筆から11日前に作成されていたものであり、日本からのアクセスが大多数を占めており、3万件を超えている。このサイトは一時的にアクセスできなくなっていたが、同記事執筆時点で活動を再開しているという。疑わしいURLにはアクセスしないこと、また、疑わしいアプリに十分注意するようカスペルスキーでは呼び掛けている。

Google URL Shortenerによる短縮URLの解析結果（カスペルスキー公式ブログの該当記事執筆時点のもの。カスペルスキー公式ブログより画像転載）

　なお、佐川急便を装う迷惑メールは以前より出回っており、佐川急便株式会社でも、確認された具体的な文面をウェブサイトで公表。「このような迷惑メールに記載されているアドレスにアクセスしたり、添付ファイルを開いたりされますとコンピューターウィルスに感染する恐れがございますのでご注意ください」と呼び掛けていた。

　直近では2017年12月28日に、文面の最新事例を更新。不在通知を装うSMSでGoogleの短縮URL（goo.gl）が届き、偽サイトに誘導される事例を新たに公表している。そのSMSの文面は以下の通り。