スミッシングとは、携帯電話のショートメール(SMS)を使って偽サイトへ誘導するフィッシング詐欺のひとつです。
本記事では、スミッシングにまつわる下記の内容を解説します。
- スミッシングの概要
- スミッシングの目的
- スミッシングの手口と被害事例
- スミッシングの被害を防ぐ対策
スミッシングについて網羅的にまとめていますので、ぜひ最後までご覧ください。
目次
スミッシングとは「SMS」を使ったフィッシング詐欺
スミッシングとは、SMS(携帯電話のショートメール)を使ったフィッシング詐欺のひとつです。
言葉の由来は「SMS phishing」で、フィッシングサイト(偽サイト)に誘導するサイバー攻撃を指します。
スミッシングの主な特徴は、有名な企業や公的機関などを装ってメッセージを送り、個人情報を抜き出そうとすることです。
そのほかの特徴として、
- 電話をかけるように誘導することがある(電話をかけさせるのが比較的容易なため)
- 海外から送信されるものも多い
などが挙げられます。
携帯電話という身近なもので詐欺を仕掛けてくることもあり、つい添付のURLをクリックしてしまいがちですが、まずはSMSの内容を疑うことが大切です。
具体的な対策は、後ほど「【個人向け】スミッシングの被害を防ぐ5つの対策」で解説します。
なお、サイバー攻撃関連でよく聞く言葉に「フィッシング」がありますが、今回解説するスミッシングはフィッシングの一種です。
フィッシングは「SNSや電子メールなどを悪用して偽サイトへ誘導する」ものを指しますが、スミッシングは「SMSを経由して偽サイトに誘導する」ものです。
フィッシングについてさらに詳しく知りたい方は、下記の記事をご覧ください。
スミッシングの被害に遭うリスク。主な3つの目的とは
悪用者がスミッシングをおこなう主な目的は、次の3つです。
- 個人情報を手に入れるため
- アカウント情報を手に入れるため
- クレジットカード情報を手に入れるため
スミッシングの被害に遭うと、個人の機密情報が詐取されるだけではなく、不正利用のリスクが発生してしまいます。
【目的1】個人情報を手に入れるため
目的の1つ目は、個人情報を手に入れるためです。
個人情報とは、次の例のように「特定の個人を識別できるもの」を指します。
- 住所
- 氏名
- 生年月日
- 電話番号
- SMS認証コード
これらを手に入れ、マルウェアを仕込んだアプリをインストールさせたり個人情報を不正に売買したりすることが、スミッシングの本当の目的です。
個人情報の売買についてさらに詳しく知りたい方は、下記の記事をご覧ください。
【目的2】アカウント情報を手に入れるため
スミッシングの目的の2つ目は、アカウント情報を手に入れるためです。
たとえば、ネットショップなどのオンラインサービスのログインIDやパスワードといったアカウント情報を手に入れ、サイト利用者になりすまして高額な買い物をしようとします。
もし複数のサイトで同じIDやパスワードを使い回していた場合、なりすましによる不正利用が複数のサイトで実行され、被害が広がってしまう恐れがあります。
ここでいう「なりすましによる不正利用」とは、アカウント情報に基づいた決算手段(キャリア決済、〇〇Payなど)を不正に利用されることです。
なりすましについて詳しく解説した記事がありますので、気になる方はご一読ください。
【目的3】クレジットカード情報を手に入れるため
スミッシングの目的の3つ目は、クレジットカード情報を手に入れるためです。
クレジットカード情報とは
などを指します。
不正入手したクレジットカードを使い、ECサイトで不正に利用したり、ダークウェブで売買したりすることが目的です。
実際に、2022年のクレジットカード不正利用額は、2021年に比べて106億円も増えています。
※引用:一般社団法人日本クレジット協会
最新のクレジットカード不正利用による実態や対策に関しては、下記記事で解説していますのでご参照ください。
スミッシング詐欺の5つの手口を被害事例とともに紹介
スミッシングによる不正行為は、日々増えているのが現状です。
誰もが知る業種や業者の名前を次々と変えてアタックしてくるため、不正の手口を知らないと悪用者の思うままに個人情報を入力してしまう可能性があります。
そこで本章では、スミッシングの5つの手口を被害事例とともに紹介します。
【手口1】知名度が高いECサイトを装う
※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ
1つ目は、Amazonや楽天など知名度が高いECサイトを装ってメールを送ってくる手口です。
よくある手口は、普段使い慣れているサイトを名乗り、相手が油断しているところに不安な言葉を投げかけて手続きを促し、URLをクリックさせようとするものです。
たとえば、下記のような文面でメールが送られてきます。
|
そして、URLをクリックした先でアカウント情報などを含む個人情報が盗まれてしまい、個人情報を悪用される被害が相次いでいます。
【過去にあった事例】
|
【手口2】宅配業者を装う
※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ
宅配便関連の不在通知を装った文面も、スミッシングに多い手口のひとつです。
実際に2018年度以降、国民生活センターへも不在通知のSMSに関する相談が多く寄せられています。
※参考:国民生活センター
宅配業者を装ったスミッシングの文面の例は、次のとおりです。
※日本語がおかしいこともある
※参考:佐川急便 |
佐川急便・ヤマト運輸・日本郵政は、「荷物の集配についてショートメール(SMS)による案内はおこなっていない」と公式サイト上に明記しています。
したがって、SMSでこれらの業者を名乗る不在宅配の連絡がきても、焦らずに削除するようにしましょう。
【過去にあった事例】
※参考:国民生活センター |
【手口3】携帯キャリアを装う
※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ
携帯キャリアを装う手口では、【重要】などと目を引く言葉を使い、下記のような文面のメールが届くことがあります。
|
ほかにも、「電話料金が高額になっている」「未払いがある」などと伝えて
- 個人ID
- パスワード
- 暗証番号
などの入力を促し、情報を不正入手した後に通販サイトでキャリア決済が不正利用された事例などが報告されています。
【過去にあった事例】
※参考:国民生活センター |
【手口4】公的機関を装う
※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ
厚生労働省やマイナポイント事務局など、公的機関を装った手口も発生しています。
過去には、ワクチン接種やマイナポイントといった、時事性の高いトピックに関連した悪質な事例もみられました。
公的機関を装ったスミッシングの文面の例は、次のとおりです。
|
なお、省庁が督促状や納付のお知らせなどを、ショートメッセージで直接お知らせすることはありません。
公的機関を名乗るショートメッセージが届くと焦ってしまうかもしれませんが、添付されているURLを安易にクリックしないようにしましょう。
【過去にあった事例】
※参考:厚生労働省・フィッシング対策協議会 |
【手口5】金融機関を装う
※当サイトの運営担当者の個人携帯宛に実際に届いたメッセージ
5つ目は、金融機関を装った手口です。
銀行やカード会社を名乗り、「不正利用」「一時取引停止」などの不安を煽る言葉でURLのクリックを促す手口がよくみられます。
金融機関を装ったスミッシングの文面の例は、次のとおりです。
|
多くの場合、金融機関から送信するSMSにURLを記載することはありません。
また、多くのカード会社が公式サイト上で「弊社のメールからクレジットカード情報を聞くことはありません」といったメッセージを出しています。
したがって、金融機関を名乗る不審なメールが届いても、URLをクリックしたり遷移先のページで個人情報を入力したりすることがないように注意しましょう。
【過去にあった事例】
※参考:国民生活センター |
【個人向け】スミッシングの被害を防ぐ5つの対策
スミッシングの被害を防ぐために個人にできる対策は、下記の5つです。
【個人向け】スミッシングの被害を防ぐ5つの対策
|
本物と似たようなURLに偽装している場合もありますが、騙されてクリックすると悪用者の術中にはまってしまうため、安易にクリックしてはいけません。
「お気に入り(ブックマーク)からWebサイトに訪問する癖をつける」などの対策をして、不審なメールに記載されているURLはクリックしないようにしましょう。
また、次の表に記載している例のように、自社の正規の電話番号やドメインを公式サイト上に掲載している企業も少なくありません。
| Amazon | 09090097540、08021585817 01085264515445、05053704545 Amazon、TheDrop |
|---|---|
| 楽天(ソフトバンク以外) | 0570666910、0570069101、0923035950、0923037857、05058173525、05058170000、0120691064 |
| 楽天(ソフトバンク) | 0032069000、32069000、21092 |
| クロネコヤマト | @kuronekoyamato.co.jp @ml.kuronekoyamato.co.jp @ml2.kuronekoyamato.co.jp |
| 三井住友銀行(docomo・au) | 0120563143 0120050929 |
| 三井住友銀行(Softbank・Y!mobile) | 032069000 (※0032069000と表示される場合があります) |
| 三菱UFJ信託銀行 | https://www.tr.mufg.jp/***(当社ホームページ/トップページ) https://www.direct.tr.mufg.jp/***(当社ホームページ/三菱UFJ信託ダイレクト) https://www.lifeplan.tr.mufg.jp/***(当社ホームページ/来店予約・資料請求等) |
事前にメモしたり電話帳登録したりして、公式に問い合わせるための方法を確立しておくことをおすすめします。
スミッシングの被害に遭わないための対策は、下記記事でも詳しく解説していますのでご参照ください
もし、詐欺サイトを開いてしまったら
前提として、スミッシングのメールは「添付ファイルを開かない」「URLをクリックしない」が基本です。
しかし、もしURLをクリックして詐欺サイトを開いてしまったら、絶対に個人情報を入力しないようにしましょう。
誤って個人情報を入力してしまった場合、すぐに提供元へ連絡して対象サービスやカードなどの利用をストップしてもらってください。
日本クレジット協会が、怪しいWebサイトの個人情報を入力してしまった時の報告・相談先を公式サイト上に掲載していますので、ぜひ参考にしてください。
※引用:日本クレジット協会
【企業向け】EC事業者様にも求められる3つのスミッシング対策
スミッシングの被害でダメージを受けるのは、消費者だけではありません。
たとえば、不正者に自社の名前を悪用されてスミッシングの被害が発生したとします。
この時、たとえEC事業者様に過失がないとしても、自社のネガティブな情報がインターネット上に溢れて信用を損なったり、売上低下につながったりするリスクがあります。
さらに、企業が一度スミッシングの標的になると、その後狙われ続ける傾向がある点にも要注意です。
そのような事態を起こさないためにも、EC事業者様は次のような対策を講じることが大切です。
EC事業者様にも求められる3つのスミッシング対策
|
2022年に発表されたフィッシング対策ガイドラインでも、消費者だけでなくWebサイト運営者におけるフィッシング詐欺対策が求められています。
そのなかで、フィッシング詐欺被害の発生を迅速に検知するための対策として、フィッシング詐欺検知に有効なサービスを活用することが「必要に応じて」から「実施を推奨」に変更されました。
かっこ株式会社の不正アクセス検知サービス「O-MOTION」は、Webサイトにアクセスしたユーザーのログイン時の挙動やアクセスした端末の情報などを分析し、他人のなりすまし・BOTによる不正ログインをリアルタイムで検知することができます。
また、Javascript埋め込みと不正アクセス発生時のリアルタイムメール通知機能により、システム開発をせずに不正アクセス対策を実現できることから、限られた予算内で効果を実感してみたい方にもおすすめです。
ID/パスワード盗難などによる怪しいログインを見抜ける「O-MOTION」について、ご興味がある方は下記をクリックのうえ詳細をご確認ください!
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ
スミッシングは、SMS(携帯電話のショートメール)を介した詐欺の手口であり、PCメールでのフィッシングに比べて利用者の元へ届きやすいのが特徴です。
悪用者がスミッシングを行う主な目的として、次の3点が挙げられます。
- 個人情報を手に入れるため
- アカウント情報(ID、パスワード)を手に入れるため
- クレジットカード情報を手に入れるため
有名サイトや大企業などを装ってメールを送付してきますので、下記のような対策をして被害を防ぐことが大切です。
【個人向け】スミッシングの被害を防ぐ5つの対策
|
また、事業者様が自社のフィッシングサイトを作られると、企業のイメージが低下したり売上が減少したりなどのダメージを受けるリスクがあります。
フィッシング対策は早期におこなうほど効果があるため、事業者様もできる対策から始めることが大切です。
下記記事では、フィッシングサイトを検知する3つの方法や、フィッシングサイトを作られることで企業が受ける被害例を紹介していますので、ぜひチェックしてみてください。
