「心当たりのない怪しいSMS(ショートメッセージ)が届いた」
「実際に使っているサービスの名前でSMS(ショートメッセージ)が届いたけど本物?」
最近、SMSで個人を狙った迷惑メールが急増しています。
これは、個人の電話番号を利用したフィッシング詐欺です。
この記事では以下についてわかりやすく説明します。
- SMSを使ったフィッシング詐欺の事例
- フィッシング詐欺に騙されない対策
SMSを使ったフィッシングの被害を未然に防ぐために、そして今後被害に遭わないために、どのようなことが起きているのかご興味ある方はぜひ最後までご一読ください。
\迷惑メール対策に必要なDMARCについて分かりやすく解説/
目次
急増するSMSでの迷惑メール
現在SMS(電話番号が分かれば送受信できるメッセージサービス)を使った迷惑メールが急増しています。
これは、個人を狙ったフィッシング詐欺の手口の1つで、不正者はあなたの携帯電話番号宛に、特定のサービスや公的機関をになりすましてSMSを送信します。
※引用:【要注意】国税庁・税務署からのSMSはフィッシング詐欺!届いた時の対処法や事後対応(-フセラボ-)
このように、国の機関や大手企業の名前になりすましてあなたにSMSを送信し、記載した偽のサイト(フィッシングサイト)へ誘導することであなたの個人情報やクレジットカード情報を盗み取ろうと試みます。
フィッシングサイトついて詳しく知りたい方は以下の記事をご覧ください。
SMSによる迷惑メール・フィッシング詐欺が急増している3つの理由
フィッシングの件数は大幅に急増しており、SMSによる迷惑メールの件数も同様に増加していると考えられます。
引用:フィッシング対策協議会
SMSを使ったフィッシング詐欺が増加している理由として以下の3つが挙げられます。
- 理由1. メールに比べてSMSへの信頼があった
- 理由2. メールに比べて違和感が少ない
- 理由3. メールアドレスに比べて到着率が高い
それぞれ解説します。
理由1. メールに比べてSMSへの信頼があった
1つ目に、メールに比べてSMSへの信頼があったことが挙げられます。
SMSは企業からの重要な連絡で利用されるケースが多く、信頼できるメッセージだと認識されています。
理由2. メールに比べて違和感が少ない
2つ目に、フィッシングメールに比べてフィッシングSMSの違和感が少ないことが挙げられます。
その背景として以下2つが考えられます。
- 送信元を偽装して送信することができる
- SMSにおいて短縮URLが一般に利用されている
SMSでは送信元の電話番号を偽装して送信することができるため、悪質なケースだと本物の企業が送信しているスレッドにフィッシングSMSが紛れ込んでしまいます。
またSMSでは文字数の制限があるため短縮URLが一般に利用されています。
そのため、URLが偽装されていても気付きづらいと考えられます。
理由3. メールアドレスに比べて到着率が高い
3つ目に、メールアドレスに比べて到着率が高いことが挙げられます。
つまり、「より多くの人に届き」「より多くの人が読む」といえます。
メールアドレスに比べて、番号のパターンが限られているためランダムに送信しても届く可能性が高いと考えられます。
また、先述した通り信頼性が高いため、より多くの人が読むと言えます。
それでは、実際にSMSを使ったフィッシング(迷惑メール)にどのような事例があるのかご紹介します。
SMSフィッシング(スミッシング)の事例5つ
SMSフィッシング(スミッシングとも呼ばれる)は、不正者はあなたを騙そうとさまざまな国の機関やサービス、大手企業になりすましSMSを送信します。
ここでは実際に送信されたSMSフィッシングの内容を、以下の5つの事例に分けてご紹介します。
- 事例1. ECサイト
- 事例2. 宅配業者
- 事例3. 金融機関
- 事例4. 携帯会社
- 事例5. 公的機関
フィッシングSMSは、ブランド企業や宅配業者になりすましていることが多く、騙されてしまう人が多いので注意してください。
それでは詳しく紹介していきます。
事例1. ECサイト
まずSMSの迷惑メールの事例として、Amazonや楽天に代表されるECサイトのなりすましが挙げられます。
例えば、Amazonを装ったフィッシングSMSでは以下のようなメッセージが送られます。
「支払い方法に問題がある」「ログインの制限」などの表現を用いて利用者を焦らせることで、偽のECサイトへのアクセスを促します。
ここで取り上げた内容の他にも、ECサイトになりすました迷惑メールには以下のような内容があります。
- 未納料金の請求
- 登録情報の更新依頼
- サービスを装った偽サイトへのリンク
多くの人が利用するECサイトを騙ったSMSフィッシングに騙されないように気をつけましょう。
ここで解説した内容は以下の記事でも詳しく説明しています。
事例2. 運送会社
2つ目に、日本郵便やヤマト運輸、佐川急便などの運送会社を名乗る事例が挙げられます。
運送会社を装ったフィッシングSMSでは以下のようなメッセージが送られます。
運送会社を名乗り「宛先が不明であった」「不在のため持ち帰った」といった趣旨の連絡を行います。
日本郵便、ヤマト通運、佐川急便の運送会社大手3社は公式HPにて「荷物の集配についてSMSを用いた連絡を行っていない」と表明しているため、運送会社から届く集配に関わるSMSは全て偽物であるといえます。
事例3. 金融機関
3つ目に、三菱UFJ銀行やゆうちょ銀行などの金融機関を名乗る事例が挙げられます。
三菱UFJ銀行を装ったフィッシングSMSでは以下のようなメッセージが送られました。
「決済サービスが一時停止された」「口座の利用を停止した」といった旨のSMSが送られます。
銀行では本人確認のためにSMSを利用するケースが多く、本物の連絡との見分けがつきづらいと考えられます。
SMSが届いた場合は、後述する対処方法を参考に騙されないように気をつけましょう。
事例4. 携帯キャリア
4つ目に、auやdocomo、softbankなどのキャリアを名乗る事例が挙げられます。
実際にauを装ったフィッシングSMSでは以下のようなメッセージが送られました。
「料金未払い・支払い期限が過ぎた」「料金が設定金額を超過した」「IDが停止された」といった旨のSMSが送られます。
キャリアではさまざまな連絡でSMSを多用するケースがあり、本物の連絡と見分けがつきづらいと考えられます。
SMSが届いた場合は、後述する対処方法を参考に騙されないように気をつけましょう。
事例5. 公的機関
最後に、国税庁や税務署をはじめとした公的機関を名乗る事例が挙げられます。
実際に国税庁を装ったフィッシングSMSでは以下のようなメッセージが送られました。
他にも警察を装うケースが存在するなど、さまざまな手口で騙そうとします。
なお、国税庁からのSMSについては、全て偽物と判断することができます。
国税庁のSMSについて詳しく知りたい方は、こちらの記事をご確認ください。
他にも、「えきねっと」になりすましたSMSでの迷惑メールが、多くの人が騙されてしまった事例になります。
なぜ不正者は個人にフィッシングSMSを送るのか?
ここからは、不正者がフィッシングSMSを個人に送る目的・理由について解説します。
不正者がフィッシングSMSを送る目的は、大きく分けて3つあります。
- 目的1. 個人情報を入手するため
- 目的2. クレジットカード情報を入手するため
- 目的3. ログイン情報を入手するため
それぞれ詳しく見ていきましょう。
目的1. 個人情報を入手するため
不正者は、個人情報の収集を目的にフィッシング詐欺を行います。
手に入れた個人情報は他の詐欺に転用されたり、ダークウェブで販売されるなどさまざまな形で悪用されます。
ダークウェブについて詳しく知りたい方はこちらの記事をご覧ください。
目的2. クレジットカード情報を入手するため
不正者は、クレジットカード情報の収集を目的にフィッシング詐欺を行います。
クレジットカード情報はECサイトでの不正利用に用いられたり、個人情報と同様にダークウェブで販売されます。
目的3. ログイン情報を入手するため
不正者は、ログイン情報の収集を目的にフィッシング詐欺を行います。
不正に手に入れたログイン情報を用いてサービスへの不正アクセスが行われます。
また、多くの人が、別のサービス間でIDやパスワードを使い回しているため、他サービスへの不正アクセスも可能になります。
この不正アクセスの手法をパスワードリスト型攻撃と言います。
SMSフィッシングの被害に遭わないための4つの対策
これまでSMSの迷惑メールが送られる理由や、フィッシングについて解説してきました。
ここからはフィッシングSMSの被害に遭わないための対策についてご説明します。
身近に行えるSMSフィッシングの対策は以下の4つです。
- 対策1.心当たりのないSMSを鵜呑みにしない
- 対策2.記載URLを確認する
- 対策3.サービスは公式HPからアクセスする
- 対策4.サービスの提供元に事実を確認する
それぞれ詳しく解説します。
対策1. 心当たりのないSMSを鵜呑みにしない
まず1つ目の対策は、心当たりのないSMSを鵜呑みにしないことです。
SMSは多くの企業が主に以下の目的で配信します。
- 2段階認証のコード送付
- 緊急性の高い連絡
- 通常サービスの連絡
フィッシングSMSでは、受け取り手に考える時間を与えないため、重要で緊急性の高い連絡を装います。
一度落ち着いて、SMSの文面を鵜呑みにしないことがフィッシング被害に遭わないために重要です。
対策2. 記載URLを確認する
2つ目の対策は、SMSに記載されたURLを確認することが挙です。
SMSの迷惑メールには、注意するポイントとして以下があります。
- 本当に公式からの連絡か
- ドメインが正しくない
- 通信が暗号化されていない
- 短縮URLサービスが使用されている
そもそも、公式のアカウントからSMSで連絡が来ることは、この時代ほとんどありません。
それでもSMSで連絡をするような事業者と取引をしている場合は、そのほかの注意点を確認してみてください。
対策3. サービスは公式HPからアクセスする
3つ目の対策として、サービス公式HPからアクセスすることが挙げられます。
どんな気になる内容のメール・SMSが送られてきても、メール・SMSにあるURLリンクからではなく、サービス名を検索して表示された公式HPからのアクセスがおすすめです。
えきねっとで発生したフィッシングメールでは一部事実が含まれていたため、信じてしまう人が多くいました。
記載されている内容が事実であっても、鵜呑みにせず公式HPからのアクセスを行うことで安心してサービスを利用することができるでしょう。
対策4. サービスの提供元に事実を確認する
4つ目の対策として、サービスの提供元に事実を確認することが挙げられます。
国税庁のフィッシングSMSのケースでは、公式HPにて国税庁がSMSを使った連絡はしないと公示されていました。
つまり、サービスの提供元に事実を確認することでフィッシングSMSかどうかを見分けることができます。
まとめ
この記事ではフィッシングSMSの事例を中心にその概要と背景、対策を解説しました。
今回の要点をまとめると以下のようになります。
- フィッシングSMSはさまざまなサービスを名乗る。
- フィッシングSMSの目的は情報の入手であり、他のさまざまな不正に転用される。
- フィッシングSMSが急増している理由は、SMSの特徴にある。
- 被害に遭わないために、フィッシングSMSへの対策は基本的だが重要である。
不正者はさまざまな手段を用いてあなたの情報を盗み出そうとします。
フィッシングSMSの被害に遭わないために、現在どのような不正が行われているかを知ることが重要です。
ぜひ不正対策のリテラシーを高めるために、他記事も参考にしてみてください。
事業者の方は、きちんとDMARCの設定をし、自社と利用者の安全を守りましょう。