SMS詐欺スミッシングとは？具体的な事例と有効な予防策

スマートフォンの電話番号宛に送られてくるSMS（ショートメッセージサービス）に覚えのない請求や、配送などに関するメッセージが届く事例が増加しています。これはスミッシングという詐欺メッセージで、SMSに記載されているURLをタップすると偽のサイトが表示されます。そのサイトの指示に従ってパスワードなどの入力やアプリのインストールなどをすることによって、個人情報を抜き取られてしまうリスクがあります。

スミッシングは偽サイトにアクセスして個人情報を入力させるために、思わず指示に従ってしまいそうな巧妙な手口で誘導します。

SMSに怪しいメッセージ、本物なのか疑わしいメッセージが届いて不安を感じている方は、本記事で解説するスミッシングの事例や対処法などを参考にして、冷静に対処してください。

1.SMSを利用した詐欺の手口「スミッシング」の仕組み

スミッシングに正しく対処するために、手口の仕組みについて知っておきましょう。

1-1.スミッシングとは

スミッシングとはSMSとフィッシング(Phishing)詐欺を結び付けた造語で、SMSを悪用して個人情報を抜き取るフィッシングサイトに誘導するメッセージを送る詐欺の手口です。

なお、フィッシングとは偽のサイトに誘導してIDやパスワードなどの情報を盗み取る手口のことなので、こうしたフィッシング詐欺のSMS版ともいえます。フィッシング詐欺についても手口や注意点を知っておくことでスミッシング被害抑止に役立つので、以下の記事もぜひご参照ください。

【参考】フィッシング詐欺とは? | 被害・実例・対策 

1-2.スミッシングの仕組み

スミッシングは「アカウントが凍結されているので更新してください」など本物の企業がメッセージを送っているように見せかけて、SMSに記載しているURLをタップするように誘導します。

そうしてリンク先を表示すると正規サイトとよく似ている、または正規サイトのデータをコピーして作成した見た目が同一のフィッシングサイトが表示され、個人情報やクレジットカード番号などを記入させることでそれらの情報を盗み取ります。

1-3.なぜスミッシングが増えているのか

ネットショッピングや銀行との取引などネットを介した手続きが普及したため、セキュリティ向上のためにSMS認証と組み合わせた二要素認証が浸透しました。

二要素認証を利用する際にはSMSに認証用コードが届く場合があります。これにより以前よりも目に触れる機会が多くなったSMSを利用し、正規の企業を装いフィッシングサイトに誘導する詐欺メッセージが届くようになったといえます。また、スマートフォンの普及によってSMSとフィッシングサイトを表示するためのブラウザとの連携が簡単に行えることも、スミッシングが増加した要因であると考えられます。

一般的にEメールは十分な迷惑メール対策がなされていることが多い上に、無視されやすく、他にも迷惑メールを送る攻撃者にとっての「競合他社」が数多く存在しています。SMSはEメールと比較して無視されにくく、電話番号さえ分かればメッセージが送れるうえに、電話番号は適当な番号の組み合わせでもメッセージを送信できることがあるために、メールよりもフィッシング詐欺を仕掛けやすいという側面があります。

2.スミッシングの事例

スミッシングは個人情報を抜き取るために金融機関やECサイト、宅配サービスなど実際にある企業を装うケースが多く報告されています。
以下にスミッシングの具体的な事例をご紹介しますので、ぜひ参考にしてください。

2-1.金融機関を装った手口

スミッシングには三井住友銀行やりそな銀行など実在する大手の金融機関を装って、セキュリティ強化や更新手続きなどを口実にリンクをタップさせようとする手口が増えています。

金融機関から連絡があるとつい焦ってリンク先を表示させたくなるかもしれませんが、まずは一呼吸置きましょう。各金融機関が公式にスミッシングの注意喚起をしているので、 添付URLをタップさせようとするSMSが届いたらURL先に飛ばず金融機関の情報を確認することを推奨します。

【参考】三井住友銀行「フィッシング詐欺」

【参考】りそな銀行「当社を騙った不審なメールの発生について」

2-2.宅配業者の不在通知を装った手口

佐川急便やヤマト運輸などの宅配業者を装ったスミッシングが増加していますが、宅配業者は基本的にSMSによる集配の案内は行っていません。宅配業者側もこのことを明記して注意喚起を行っています。

【参考】佐川急便「佐川急便を装った迷惑メールにご注意ください」

【参考】ヤマト運輸「ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください」

こちらは実際に送られてきたスミッシングと疑われるSMSです。「お荷物のお届けにあがりましたが～」という文言から不在連絡を示唆していますが、下に表示されているURLは宅配業者とは全く無関係のものです。

2-3.大手サイトや自治体を装った手口

スミッシングには、大手ECサイトなどを装って架空請求を行う手口も確認されています。

覚えのない架空請求が来た時は正規サイトにアクセスして購入履歴を確認することや、カスタマーセンターに問い合わせるなど、冷静に対処することが重要です。

【参考】フィッシング対策協議会「グーグル装い「スミッシング」で詐欺」

【参考】神奈川県公式「ショートメッセージやハガキ等を使った、架空請求にご注意ください！」

2-4.スミッシング詐欺の共通点

スミッシングの事例は先に挙げたもの以外に通信業者を装ったものなど多々ありますが、どの手口も共通点があります。

それは、基本的にSMSは画像やファイルの添付ができないため、偽のURLをタップさせるために正規の企業を装って誘導するケースが多々あることです。このスミッシングの特徴を知っておけば、もしSMSに詐欺のメッセージが届いても冷静に対処しやすくなります。

3.スミッシング被害に遭わないための対策

先に挙げたスミッシング先の共通点から、以下に挙げる対策が有効だと考えられます。

3-1.SMSに記載されているURLや電話番号はタップしない

スミッシングの目的が偽装サイトのURLや電話番号をタップさせることならば、一番の対策はSMSに記載されているそれらのリンクをタップしないことです。

電話番号の場合、こちらから電話をしてしまうと電話番号が相手に知られてしまう可能性がありますが、URLの場合は、それタップしただけでは個人情報を抜き取られるような危険に晒される可能性は低いと思われます。

しかしリンク先の偽装サイトが本物と見分けがつかないほど精巧なもので、個人情報を入力してしまう可能性があることを考慮すると、原則としてタップしないことに越したことはありません。

以下は実際に送られてきたアマゾンカスタマーサービスを名乗る詐欺SMSです。

3-2.本物のURLなのか公式サイトを確認する

商品を購入した覚えがあるなど、SMSに記載されているURLをタップしたくなる場合もあるかもしれません。

たとえSMSの内容に心当たりがあったとしてもすぐにリンクをタップせずに、公式サイトでスミッシングに関する情報が公開されていないか確認し、本物かどうか判断するようにしましょう。

3-3.カスタマーサポートに問い合わせて確認する

公式サイトの情報を確認しても本物かどうか判断しかねる場合は、実際にカスタマーサポートやコールセンターに問い合わせるのも有効です。
もし怪しげなSMSに返信用のURLが記載されていても、それは偽物の可能性があるので使わないことを強く推奨します。

3-4.正規のURLであることを確認する

通信業者やECサイトの中には、ユーザーへのメッセージ送信などに使われる正規のURLを公開している企業もあります。

こういった情報はSMSに記載されているURLが本物かどうかか判断するための重要な材料となるので、企業の公開情報をしっかり確認してみてください。

【参考】NTTドコモ「ドコモを装ったフィッシングSMSにご注意ください！」

【参考】Amazon「Amazon.co.jpからの連絡とフィッシングの見分け方について」

3-5.発信元が分からないURLは無視する

以下に示すSMSのように公式サイトで正規のURLを確認してみて該当するものがない場合や、どこから発信されたものか分からない場合は、無視した方が無難です。

また、もしスミッシングの被害に遭っている可能性がある時は「フィッシング詐欺｜被害・実例・対策」に、不正に預金が引き出されたケースやアカウントを乗っ取られたケースなどに対する対処法を解説しているので、参考にしてみてください。

【参考】フィッシング詐欺とは?｜被害・実例・対策

4.まとめ

スミッシングはフィッシング詐欺と同様にソフトウェアなどの脆弱性を狙うのではなく、「人」に個人情報やパスワードなどを入力させて送信させる手口です。人が情報を入力して送信するという処理自体に不正な動きはないため、ウイルス対策ソフトだけで防ぐのは非常に困難です。

したがってスミッシング被害に遭わないためには、フィッシングおよびスミッシングに対する知識を身に付けて正しく対処することが重要です。そのためにも、本記事で解説したスミッシングの知識と対処法を、自分の身を守ることに役立ててください。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。