不正アクセス

  •  PR 

【事業者向け】フィッシングSMS(スミッシング)による不正アクセスとその対策を徹底解説

多くの人が送られた経験のあるフィッシングSMS(スミッシング)。

フィッシングの件数が大きく増加傾向にあることから、フィッシングSMSも同様に大きく増加していると考えられます。

また、フィッシングSMS詐欺を経由するとワンタイムパスワードも盗まれて、これまで防げていた不正アクセス対策では防げないケースが出てきています。

そこで本記事では、フィッシングSMSについて以下を中心に解説します。

  • フィッシングSMS詐欺により想定される事業者への被害
  • フィッシングSMS詐欺の最新事例とその対策
  • 事業者ができるフィッシングSMSを経由した不正アクセスの対策

フィッシングSMS(スミッシング)による被害を防ぐことに興味のある方は、ぜひ最後までご一読下さい。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

フィッシングSMS(スミッシング)とは

フィッシングSMS(スミッシング)とは、SMSを用いたフィッシング詐欺の手口の1つです。

不正者はユーザーの携帯電話番号宛に、特定のサービスや公的機関をかたったSMSを送信します。

フィッシングSMSの例

SMSに記載された偽のサイトへ誘導することで、ユーザーの個人情報やクレジットカード情報を盗み取ろうと試みます。

金銭的な被害があるだけでなく、盗まれた個人情報が他の詐欺事件に転用されるなど、その被害は大きくなります。

フィッシング詐欺についてご興味のある方は、ぜひこちらの記事をご覧ください。

フィッシングSMS(スミッシング)の手口

フィッシングSMSの手口は、3つのステップに分けることができ、非常に単純だといえます。

  1. 特定の事業者を騙ってSMSを送付する
  2. SMSに記載された偽のサイトに誘導し個人情報を盗み取る
  3. 盗み出した個人報を悪用する

フィッシングSMSの手口

その手口自体は単純なものの、一方で近年では、偽サイトがより精巧なものに変化して見分けが付きづらくなっており、被害は絶えません。

フィッシングSMSの最新の手口

フィッシングSMSの危険性が認識され事業者側の対策が進んだ一方で、個人情報を盗み取る手口が巧妙になってきており、二要素認証を突破するケースも存在します。

フィッシングSMSの最新のケース

この手口では、ユーザーのワンタイムパスワードの入力までも、偽サイト上で完結することにより、不正ログインを可能にしています。

つまり、二要素認証の導入など、ログイン認証を強化した場合であっても、不正者に突破されてしまいます。

しかし、「不正検知システム」では、この最新の手口を防ぐことができます。

O-MOTIONを利用したフィッシング対策

\期間限定トライアル受付中/
O-MOTIONの詳細を見る
▲無料の資料請求はこちら

また、盗まれた個人情報は転売されるだけでなく、他の詐欺でも利用されることもあり、フィッシングSMSが個人に与える被害は非常に大きいです。

さて、ここからは、フィッシングSMS(スミッシング)が事業者に与える被害についてご紹介します。

フィッシングSMSにより想定される事業者への4つの被害

フィッシングSMSはユーザーだけでなく、名前を利用される事業者にも大きな被害を与えます。

ここでは以下の4つの被害に分けてご説明します。

  • サービスへの不正ログインが行われる
  • サービス利用者の個人情報漏洩が起こる
  • 被害に遭ったサービス利用者への対応が必要になる
  • サービスへの信頼が毀損される

それぞれ詳しく見ていきましょう。

被害1. サービスへの不正ログインが行われる

まず一つ目の被害として、サービス利用者の認証情報が漏洩することによるサービスへの不正ログインが挙げられます。

サービス利用者はフィッシングSMS(スミッシング)で誘導された偽サイトにて、そのサービスで使用している認証情報(IDやパスワード)を入力します。

そこで盗み取られた認証情報を用いてサービスへの不正ログインが行われます。

被害2. サービス利用ユーザーの個人情報漏えいが起こる

二つ目の被害として、サービスへの不正ログインが行われることによるサービス利用者の個人情報漏えいが挙げられます。

サービスのマイページから個人情報を閲覧できるケースが多く、以下のようなユーザーの個人情報が漏えいする危険があります。

  • 氏名
  • メールアドレス
  • 電話番号
  • 住所
  • 注文内容

サービス利用者の個人情報漏えいは、サービス利用者全体の信頼に影響を及ぼすため、非常に大きな被害につながります。

被害3. 被害に遭ったサービス利用者への対応が必要になる

三つ目の被害として、フィッシングSMSの被害に遭ったサービス利用者への対応が必要になることが挙げられます。

ECサイトなどの購入を伴うサービスの場合、少なくとも以下のような対応が必要になります。

  • ユーザー情報の確認
  • クレジットカードの不正利用が行われていないかの確認
  • クレジットカードの不正利用が行われていた場合の注文取り消し

このように本来必要でない業務が増えるだけでなく、不正利用が商品の発送後に発覚した場合は、チャージバックなどの金銭的な被害が発生する可能性もあります。

チャージバックについて興味のある方はこちらの記事をご覧ください。

被害4. サービスへの信頼が毀損される

四つ目の被害として、サービスへの信頼が毀損されることが挙げられます。

長い時間をかけて醸成してきたユーザーとの信頼が、サービスへの不正ログインや、それに伴う個人情報の漏洩などが発生することで失われる可能性があります。

また、SNS等で不正ログインや個人情報漏洩について拡散されてしまうと、炎上や風評被害を受ける可能性もあります。

炎上や風評被害に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。

【事前に備えよう】炎上・風評被害対策についての無料資料DLはこちら

だからこそ、フィッシングSMSの被害に遭わないために、最新の手口とその対策を知ることが重要になります。

さて、ここからはフィッシングSMSの対策について説明します。

事業者が取りうるフィッシングSMSへの3つの対策

まず、フィッシングSMSの手口として、以下の手順があると整理できます。

  • 特定の事業者を騙ってSMSを送付する
  • SMSに記載された偽のサイトに誘導し個人情報を盗み取る
  • 盗み出した個人情報を悪用する

つまり、フィッシングSMSへの対策は、それぞれの手順に対応する形で以下が挙げられます。

  • Web上での注意喚起をする
  • ログイン認証を強化する
  • 不正検知システムを導入する

フィッシングSMSの手口と対策

それぞれ詳しく見ていきましょう。

対策1. Web上での注意喚起をする

まず一つ目の対策として、自社HPやSNS、会員ページ上でのフィッシングSMSについての注意喚起をすることが挙げられます。

より多くの人に「フィッシングSMS」の存在について事前に伝えることで、ユーザーはSMSの送付を受けた時点でフィッシングSMSだと気づくことができます。

また、「メールやSMS上で会員情報の確認を行うことはない」など、フィッシングSMSを受信したユーザーが情報の真偽を確認することができる状態が、被害を防ぐ上で非常に重要です。

対策2. ログイン認証を強化する

二つ目の対策としてログイン認証を強化することが挙げられます。

つまり、従来のID/パスワードのみの認証から、携帯電話番号などを用いた二要素認証の導入などログイン認証を強化することです。

ユーザーがフィッシングSMSの被害に遭い、ログイン情報が流出した場合でも、ログイン認証が強固であれば不正ログインや、個人情報の漏洩を一定以上防ぐことができます。

対策3. 不正検知システムを導入する

三つ目の対策として、不正検知システムを導入することが挙げられます。

不正検知システムでは、前述したようなフィッシングSMSの最新の手口であっても不正者のログインを防ぐことができます。

O-MOTIONを利用したフィッシング対策

不正検知システムでは、認証の際に、IDやパスワードなどの認証情報やワンタイムパスワードの正誤だけでなく、行動データや幅広い蓄積された情報を活用しているためです。

また、不正検知システムはこのようなシーン以外にも、他のサイトでユーザーの個人情報が漏洩した際のリスト攻撃が発生したようなシーンでも効果を発揮します。

不正検知システムについて興味のある方は、是非以下をご覧ください。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

まとめ:フィッシングSMS(スミッシング)は不正検知システムで対策できる。

この記事では、近年増加傾向にあるフィッシングSMS(スミッシング)を防ぐ方法についてご紹介しました。

本記事の内容は以下のようにまとめることができます。

  • フィッシングSMSの基本的な対策として注意喚起とログイン認証の強化がある
  • 最新の手法としてログイン認証を突破するケースも存在する
  • 不正検知システムはさまざまな情報をもとに認証の判断を行うため、最新の手法であっても防ぐことができる。

フィッシングSMS(スミッシング)では、事業者において金銭的な被害以上に、ユーザーからの信頼といった目に見えない被害が起こり得ます。

当サイトを運営するかっこ株式会社は、不正検知システム「O-MOTION」を提供しています。「O-MOTION」は、幅広いデータをもとに、不正取引や不正行為を検知できるシステムです。

興味のある方は、是非以下をご覧ください。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

ピックアップ記事

  1. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  2. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  3. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  4. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  5. 不正アクセスを検知する「不正検知システム」とは?

関連記事

  1. 不正アクセス

    【即解決】動画配信サービス(VOD)の乗っ取り・不正アクセス被害の対処法・対策法

    「使っている動画配信サービス(VOD)から見に覚えのないログイン通知が…

  2. 不正アクセス

    迷惑メールで個人情報が流出する?間違えて開いた・返信してしまった時の方法

    「間違えて迷惑メールを開いてしまった」「迷惑メール宛に個人情報を送…

  3. メタップス 情報漏洩
  4. 不正アクセス

    個人情報が漏洩!?事後対応の9ステップ・4つの質問を具体例で解説

    巧妙化する不正アクセスや人為的なミスにより、個人情報漏洩事故が後を絶ち…

  5. 不正アクセス

    メールアドレスの存在確認をする方法は3つ!おすすめの検証サービス3選も紹介

    「メールアドレスが存在しているか確認する方法が知りたい」「もし存在…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. ユニバ チケット アイキャッチ

    消費者向け

    ユニバのチケットの買い方を解説!関西でおすすめの遊園地6選も紹介
  2. 不正検知・ノウハウ

    メルカリでの転売を止める対策10個!運営を頼らずに自社商品を守る方法
  3. 後払いの自社審査とは

    EC構築・ノウハウ

    後払いの自社審査とは?自社で行うメリット・デメリットや向いているEC事業者の特徴…
  4. えきねっと 迷惑メール

    ニュース・業界動向

    【注意】えきねっとになりすました偽メールはフィッシング詐欺!公式通知との見分け方…
  5. ニュース・業界動向

    自作プログラムでIDを大量に不正取得。ヤフーポイント約9300万円相当の被害、詐…
PAGE TOP