不正検知・ノウハウ

  •  PR 

スミッシングとは?主な3つの目的や手口、対策をまとめて解説

スミッシングとは、携帯電話のショートメール(SMS)を使って偽サイトへ誘導するフィッシング詐欺のひとつです。

本記事では、スミッシングにまつわる下記の内容を解説します。

  • スミッシングの概要
  • スミッシングの目的
  • スミッシングの手口と被害事例
  • スミッシングの被害を防ぐ対策

スミッシングについて網羅的にまとめていますので、ぜひ最後までご覧ください。

スミッシングとは「SMS」を使ったフィッシング詐欺

スミッシングとは、SMS(携帯電話のショートメール)を使ったフィッシング詐欺のひとつです。

言葉の由来は「SMS phishing」で、フィッシングサイト(偽サイト)に誘導するサイバー攻撃を指します。

スミッシングの主な特徴は、有名な企業や公的機関などを装ってメッセージを送り、個人情報を抜き出そうとすることです。

そのほかの特徴として、

  • 電話をかけるように誘導することがある(電話をかけさせるのが比較的容易なため)
  • 海外から送信されるものも多い

などが挙げられます。

携帯電話という身近なもので詐欺を仕掛けてくることもあり、つい添付のURLをクリックしてしまいがちですが、まずはSMSの内容を疑うことが大切です。

具体的な対策は、後ほど「【個人向け】スミッシングの被害を防ぐ5つの対策」で解説します。

なお、サイバー攻撃関連でよく聞く言葉に「フィッシング」がありますが、今回解説するスミッシングはフィッシングの一種です。

フィッシングは「SNSや電子メールなどを悪用して偽サイトへ誘導する」ものを指しますが、スミッシングは「SMSを経由して偽サイトに誘導する」ものです。

フィッシングについてさらに詳しく知りたい方は、下記の記事をご覧ください。

スミッシングの被害に遭うリスク。主な3つの目的とは

悪用者がスミッシングをおこなう主な目的は、次の3つです。

  1. 個人情報を手に入れるため
  2. アカウント情報を手に入れるため
  3. クレジットカード情報を手に入れるため

スミッシングの被害に遭うと、個人の機密情報が詐取されるだけではなく、不正利用のリスクが発生してしまいます

【目的1】個人情報を手に入れるため

目的の1つ目は、個人情報を手に入れるためです。

個人情報とは、次の例のように「特定の個人を識別できるもの」を指します。

  • 住所
  • 氏名
  • 生年月日
  • 電話番号
  • SMS認証コード

これらを手に入れ、マルウェアを仕込んだアプリをインストールさせたり個人情報を不正に売買したりすることが、スミッシングの本当の目的です。

個人情報の売買についてさらに詳しく知りたい方は、下記の記事をご覧ください。

【目的2】アカウント情報を手に入れるため

スミッシングの目的の2つ目は、アカウント情報を手に入れるためです。

たとえば、ネットショップなどのオンラインサービスのログインIDやパスワードといったアカウント情報を手に入れ、サイト利用者になりすまして高額な買い物をしようとします。

もし複数のサイトで同じIDやパスワードを使い回していた場合、なりすましによる不正利用が複数のサイトで実行され、被害が広がってしまう恐れがあります。

ここでいう「なりすましによる不正利用」とは、アカウント情報に基づいた決算手段(キャリア決済、〇〇Payなど)を不正に利用されることです。

なりすましについて詳しく解説した記事がありますので、気になる方はご一読ください。

【目的3】クレジットカード情報を手に入れるため

スミッシングの目的の3つ目は、クレジットカード情報を手に入れるためです。

クレジットカード情報とは

などを指します。

不正入手したクレジットカードを使い、ECサイトで不正に利用したり、ダークウェブで売買したりすることが目的です。

実際に、2022年のクレジットカード不正利用額は、2021年に比べて106億円も増えています

※引用:一般社団法人日本クレジット協会

最新のクレジットカード不正利用による実態や対策に関しては、下記記事で解説していますのでご参照ください。

スミッシング詐欺の5つの手口を被害事例とともに紹介

スミッシングによる不正行為は、日々増えているのが現状です。

誰もが知る業種や業者の名前を次々と変えてアタックしてくるため、不正の手口を知らないと悪用者の思うままに個人情報を入力してしまう可能性があります。

そこで本章では、スミッシングの5つの手口を被害事例とともに紹介します。

  1. 知名度が高いECサイトを装う
  2. 宅配業者を装う
  3. 携帯キャリアを装う
  4. 公的機関を装う
  5. 金融機関を装う

【手口1】知名度が高いECサイトを装う

※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ

1つ目は、Amazonや楽天など知名度が高いECサイトを装ってメールを送ってくる手口です。

よくある手口は、普段使い慣れているサイトを名乗り、相手が油断しているところに不安な言葉を投げかけて手続きを促し、URLをクリックさせようとするものです。

たとえば、下記のような文面でメールが送られてきます。

  • アカウントの支払い方法を確認できず、注文をキャンセルできません
  • アカウントの支払い方法を確認できず、注文を出荷できません
  • 情報の有効期限が切れ、アカウントの使用が停止されました

そして、URLをクリックした先でアカウント情報などを含む個人情報が盗まれてしまい、個人情報を悪用される被害が相次いでいます。

【過去にあった事例】

  • 通販サイトから「支払い方法に問題がある」とのSMS が届き、クレジットカード番号を入力したら合計4万円程の身に覚えのない決済がおこなわれていた

【手口2】宅配業者を装う

※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ

宅配便関連の不在通知を装った文面も、スミッシングに多い手口のひとつです。

実際に2018年度以降、国民生活センターへも不在通知のSMSに関する相談が多く寄せられています。

※参考:国民生活センター

宅配業者を装ったスミッシングの文面の例は、次のとおりです。

  • ご本人様不在通・知為お荷・物を持ち帰りました再配・達受付サービス
  • ご本人様不在通知為お荷物を持ち帰りました。ご確認ください

※日本語がおかしいこともある

  • 情報の有効期限が切れ、アカウントの使用が停止されました

※参考:佐川急便

佐川急便・ヤマト運輸・日本郵政は、「荷物の集配についてショートメール(SMS)による案内はおこなっていない」と公式サイト上に明記しています。

したがって、SMSでこれらの業者を名乗る不在宅配の連絡がきても、焦らずに削除するようにしましょう。

※参考:佐川急便ヤマト運輸日本郵便

【過去にあった事例】

  • 偽サイトにアクセスして不正なアプリをインストールした結果、消費者のスマートフォンから同じ内容の偽SMSが多数送信され、身に覚えのない通信料が発生した
  • 偽サイトにアクセスしてID・パスワードなどを入力した結果、キャリア決済などを不正利用されて身に覚えのない請求を受けた

※参考:国民生活センター

【手口3】携帯キャリアを装う

※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ

携帯キャリアを装う手口では、【重要】などと目を引く言葉を使い、下記のような文面のメールが届くことがあります。

  • 【重要】通信サービスは停止される場合がございますので必ずご確認ください
  • 【重要なお知らせ】未払い料金お支払いのお願い

ほかにも、「電話料金が高額になっている」「未払いがある」などと伝えて

  • 個人ID
  • パスワード
  • 暗証番号

などの入力を促し、情報を不正入手した後に通販サイトでキャリア決済が不正利用された事例などが報告されています。

【過去にあった事例】

  • 「携帯電話会社の会員限定でプレゼントがある」と伝えられ、クリックしたURLのサイト上で個人情報を入力したら、オンラインゲーム関連で計16万円が不正利用された

※参考:国民生活センター

【手口4】公的機関を装う

※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ

厚生労働省やマイナポイント事務局など、公的機関を装った手口も発生しています。

過去には、ワクチン接種やマイナポイントといった、時事性の高いトピックに関連した悪質な事例もみられました。

公的機関を装ったスミッシングの文面の例は、次のとおりです。

  • 督促状で指定した期限までに未納の国民健康保険料が納付されない場合、財産の差押えを行います
  • 【〇〇省】重要なお知らせ、必ずお読みください
  • 【マイナンバーカード】マイナポイント第2弾で獲得した累計110,000円ポイントはまもなく失効します

なお、省庁が督促状や納付のお知らせなどを、ショートメッセージで直接お知らせすることはありません

公的機関を名乗るショートメッセージが届くと焦ってしまうかもしれませんが、添付されているURLを安易にクリックしないようにしましょう。

【過去にあった事例】

  • 日本年金機構を名乗り、「個人電子年金情報の更新」などの件名で任意のホームページに誘導して個人情報を入力させようとする
  • 厚生労働省を名乗り、Vプリカ発行コード番号などの入力を促す

※参考:厚生労働省フィッシング対策協議会

【手口5】金融機関を装う

※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ

5つ目は、金融機関を装った手口です。

銀行やカード会社を名乗り、「不正利用」「一時取引停止」などの不安を煽る言葉でURLのクリックを促す手口がよくみられます。

金融機関を装ったスミッシングの文面の例は、次のとおりです。

  • お客様の【○○銀行の口座】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの設定
  • 【○〇銀行】お客様がご利用の口座が不正利用されている可能性があります
  • 【〇〇カード】お客様のカードのご利用を一部制限しております

多くの場合、金融機関から送信するSMSにURLを記載することはありません。

また、多くのカード会社が公式サイト上で「弊社のメールからクレジットカード情報を聞くことはありません」といったメッセージを出しています。

したがって、金融機関を名乗る不審なメールが届いても、URLをクリックしたり遷移先のページで個人情報を入力したりすることがないように注意しましょう。

【過去にあった事例】

  • 大手カード会社から「不正利用の事例が多いので確認するように」とメールが届き、URLをクリックしてカード番号などを入力。その後、カード会社から「通信販売で不正な利用が確認された」と連絡があり、5万円ほどの買い物をされていた

※参考:国民生活センター

【個人向け】スミッシングの被害を防ぐ5つの対策

スミッシングの被害を防ぐために個人にできる対策は、下記の5つです。

【個人向け】スミッシングの被害を防ぐ5つの対策

  1. 発信元のURLやメッセージ内容を確認し、安易にクリックしない
  2. アプリは公式のアプリストアからダウンロードする
  3. セキュリティソフトを導入する
  4. 個人情報の入力や問い合わせは公式サイトから行う
  5. 携帯電話のOSを常に最新にアップデートしておく

本物と似たようなURLに偽装している場合もありますが、騙されてクリックすると悪用者の術中にはまってしまうため、安易にクリックしてはいけません。

お気に入り(ブックマーク)からWebサイトに訪問する癖をつける」などの対策をして、不審なメールに記載されているURLはクリックしないようにしましょう。

また、次の表に記載している例のように、自社の正規の電話番号やドメインを公式サイト上に掲載している企業も少なくありません。

Amazon09090097540、08021585817
01085264515445、05053704545
Amazon、TheDrop
楽天(ソフトバンク以外)0570666910、0570069101、0923035950、0923037857、05058173525、05058170000、0120691064
楽天(ソフトバンク)0032069000、32069000、21092
クロネコヤマト@kuronekoyamato.co.jp
@ml.kuronekoyamato.co.jp
@ml2.kuronekoyamato.co.jp
三井住友銀行(docomo・au)0120563143
0120050929
三井住友銀行(Softbank・Y!mobile)032069000
(※0032069000と表示される場合があります)
三菱UFJ信託銀行https://www.tr.mufg.jp/***(当社ホームページ/トップページ)
https://www.direct.tr.mufg.jp/***(当社ホームページ/三菱UFJ信託ダイレクト)
https://www.lifeplan.tr.mufg.jp/***(当社ホームページ/来店予約・資料請求等)

事前にメモしたり電話帳登録したりして、公式に問い合わせるための方法を確立しておくことをおすすめします。

スミッシングの被害に遭わないための対策は、下記記事でも詳しく解説していますのでご参照ください

もし、詐欺サイトを開いてしまったら

前提として、スミッシングのメールは「添付ファイルを開かない」「URLをクリックしない」が基本です。

しかし、もしURLをクリックして詐欺サイトを開いてしまったら、絶対に個人情報を入力しないようにしましょう。

誤って個人情報を入力してしまった場合、すぐに提供元へ連絡して対象サービスやカードなどの利用をストップしてもらってください。

日本クレジット協会が、怪しいWebサイトの個人情報を入力してしまった時の報告・相談先を公式サイト上に掲載していますので、ぜひ参考にしてください。

※引用:日本クレジット協会

【企業向け】EC事業者様にも求められる3つのスミッシング対策

スミッシングの被害でダメージを受けるのは、消費者だけではありません。

たとえば、不正者に自社の名前を悪用されてスミッシングの被害が発生したとします。

この時、たとえEC事業者様に過失がないとしても、自社のネガティブな情報がインターネット上に溢れて信用を損なったり、売上低下につながったりするリスクがあります。

さらに、企業が一度スミッシングの標的になると、その後狙われ続ける傾向がある点にも要注意です。

そのような事態を起こさないためにも、EC事業者様は次のような対策を講じることが大切です。

EC事業者様にも求められる3つのスミッシング対策

  1. 利用者に端末の安全と注意を促す
  2. ログイン認証を強化する
  3. 不正アクセス検知サービスを導入する

2022年に発表されたフィッシング対策ガイドラインでも、消費者だけでなくWebサイト運営者におけるフィッシング詐欺対策が求められています。

そのなかで、フィッシング詐欺被害の発生を迅速に検知するための対策として、フィッシング詐欺検知に有効なサービスを活用することが「必要に応じて」から「実施を推奨」に変更されました

※引用:フィッシング対策ガイドライン2022年度版

かっこ株式会社の不正アクセス検知サービス「O-MOTION」は、Webサイトにアクセスしたユーザーのログイン時の挙動やアクセスした端末の情報などを分析し、他人のなりすまし・BOTによる不正ログインをリアルタイムで検知することができます。

また、Javascript埋め込みと不正アクセス発生時のリアルタイムメール通知機能により、システム開発をせずに不正アクセス対策を実現できることから、限られた予算内で効果を実感してみたい方にもおすすめです。

ID/パスワード盗難などによる怪しいログインを見抜ける「O-MOTION」について、ご興味がある方は下記をクリックのうえ詳細をご確認ください!

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

まとめ

スミッシングは、SMS(携帯電話のショートメール)を介した詐欺の手口であり、PCメールでのフィッシングに比べて利用者の元へ届きやすいのが特徴です。

悪用者がスミッシングを行う主な目的として、次の3点が挙げられます。

  1. 個人情報を手に入れるため
  2. アカウント情報(ID、パスワード)を手に入れるため
  3. クレジットカード情報を手に入れるため

有名サイトや大企業などを装ってメールを送付してきますので、下記のような対策をして被害を防ぐことが大切です。

【個人向け】スミッシングの被害を防ぐ5つの対策

  1. 発信元のURLやメッセージ内容を確認し、安易にクリックしない
  2. アプリは公式のアプリストアからダウンロードする
  3. セキュリティソフトを導入する
  4. 個人情報の入力や問い合わせは公式サイトから行う
  5. 携帯電話のOSを常に最新にアップデートしておく

また、事業者様が自社のフィッシングサイトを作られると、企業のイメージが低下したり売上が減少したりなどのダメージを受けるリスクがあります。

フィッシング対策は早期におこなうほど効果があるため、事業者様もできる対策から始めることが大切です。

下記記事では、フィッシングサイトを検知する3つの方法や、フィッシングサイトを作られることで企業が受ける被害例を紹介していますので、ぜひチェックしてみてください。

ピックアップ記事

  1. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  2. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすすめの不正検知システム…
  3. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

関連記事

  1. 不正検知・ノウハウ

    【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について

    後払いは、クレジットカード決済に代わる決済手段の1つとして、近年関心を…

  2. 【事業者向け】無断キャンセルの対応と対策は?損害を抑える方法も解説

    不正検知・ノウハウ

    【事業者向け】無断キャンセルの対応と対策は?損害を抑える方法も解説

    「予約を無断キャンセルされてしまった!どうしよう?」「無断キャンセ…

  3. クレジットカード 安全

    不正検知・ノウハウ

    【安全】セキュリティが充実しているクレジットカードの特徴と不正利用の対処法

    「セキュリティが整備されているクレジットカードの特徴は?」「カード…

  4. アイキャッチ

    消費者向け

    カフェで仕事をする時の5つの注意点!カフェ以外の仕事ができるおすすめの場所も紹介

    「カフェで仕事するとき何を注意したらいいの?」「カフェで仕事ってし…

  5. 情報漏洩後 安全性

    不正検知・ノウハウ

    過去に個人情報漏洩があった企業・サービスは大丈夫?安全性から見る利用の判断

    「情報漏洩した企業やサービスって安全に使えるの?」「企業に情報漏洩…

  6. 不正検知・ノウハウ

    サイバー攻撃への対策5選!被害事例や対処法も解説

    サイバー攻撃とは、サーバーやPCなどのコンピューターシステムに対し、ネ…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正検知・ノウハウ

    レピュテーションリスクの7つの種類とは?早めに検知して対策しよう
  2. 不正検知・ノウハウ

    DMARCとは?仕組みやメリット・デメリット、設定方法を解説
  3. Cybersecurity Concept with Virtual Padlock on Abstract Background

    不正検知・ノウハウ

    二要素認証の導入費用の相場は?費用に影響のある3つの要素も解説!
  4. 不正検知・ノウハウ

    フィッシングサイトを検知する3つの方法!企業が受ける被害例も紹介
  5. 不正アクセス

    不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
PAGE TOP