「心当たりのない怪しいSMS(ショートメッセージ)が届いた」
「実際に使っているサービスの名前でSMS(ショートメッセージ)が届いたけど本物?」
最近、個人を狙ったフィッシング件数が急増しており、それに伴いSMSを使ったフィッシング(スミッシング)詐欺の件数も増加しています。
この記事では以下についてわかりやすく説明します。
- SMSを使ったフィッシングの事例
- SMSを使ったフィッシング詐欺の被害に遭わないためにでやるべきこと
SMSを使ったフィッシングの被害を未然に防ぐために、そして今後被害に遭わないために、どのようなことが起きているのかご興味ある方はぜひ最後までご一読ください。
目次
SMSを使ったフィッシング(スミッシング)とは
SMSを使ったフィッシングとは、個人を狙ったフィッシング詐欺の手口の1つで「スミッシング」とも呼ばれます。
不正者はあなたの携帯電話番号宛に、特定のサービスや公的機関をかたったSMSを送信します。
SMSに記載された偽のサイトへ誘導することであなたの個人情報やクレジットカード情報を盗み取ろうと試みます。
フィッシング詐欺について詳しく知りたい方はこちらの記事をご覧ください。
それでは、実際にSMSを使ったフィッシングにどのような事例があるのかご紹介します。
フィッシングSMS(スミッシング)の事例
不正者はあなたを騙そうとさまざまなサービスになりすまし、フィッシングSMSを送信します。
ここでは実際に送信されたフィッシングSMSを、以下の5つの事例に分けてご紹介します。
- 事例1. ECサイト
- 事例2. 宅配業者
- 事例3. 金融機関
- 事例4. 携帯会社
- 事例5. 公的機関
フィッシングSMSは、ブランド企業や宅配業者になりすましていることが多く、騙されてしまう人が多いので注意してください。
それでは詳しく紹介していきます。
事例1. ECサイト
まず1つ目の事例としてAmazonや楽天に代表されるECサイトが挙げられます。
Amazonを装ったフィッシングSMSでは以下のようなメッセージが送られます。
「支払い方法に問題がある」「ログインの制限」などの表現を用いて利用者を焦らせることで、偽のECサイトへのアクセスを促します。
ここで取り上げたSMSの他にも、以下のような内容があります。
- 未納料金の請求
- 登録情報の更新依頼
- サービスを装った偽サイトへのリンク
※参考:amazon公式サイト
多くの人が利用するECサイトを騙ったフィッシングSMSに騙されないように気をつけましょう。
また、偽のECサイトについて詳しく知りたい方はこちらの記事をご覧ください。
事例2. 運送会社
2つ目に、日本郵便やヤマト運輸、佐川急便などの運送会社を名乗る事例が挙げられます。
運送会社を装ったフィッシングSMSでは以下のようなメッセージが送られます。
運送会社を名乗り「宛先が不明であった」「不在のため持ち帰った」といった趣旨の連絡を行います。
日本郵便、ヤマト通運、佐川急便の運送会社大手3社は公式HPにて「荷物の集配についてSMSを用いた連絡を行っていない」と表明しているため、運送会社から届く集配に関わるSMSは全て偽物であるといえます。
事例3. 金融機関
3つ目に、三菱UFJ銀行やゆうちょ銀行などの金融機関を名乗る事例が挙げられます。
三菱UFJ銀行を装ったフィッシングSMSでは以下のようなメッセージが送られました。
「決済サービスが一時停止された」「口座の利用を停止した」といった旨のSMSが送られます。
銀行では本人確認のためにSMSを利用するケースが多く、本物の連絡との見分けがつきづらいと考えられます。
SMSが届いた場合は、後述する対処方法を参考に騙されないように気をつけましょう。
事例4. 携帯キャリア
4つ目に、auやdocomo、softbankなどのキャリアを名乗る事例が挙げられます。
実際にauを装ったフィッシングSMSでは以下のようなメッセージが送られました。
「料金未払い・支払い期限が過ぎた」「料金が設定金額を超過した」「IDが停止された」といった旨のSMSが送られます。
キャリアではさまざまな連絡でSMSを多用するケースがあり、本物の連絡と見分けがつきづらいと考えられます。
SMSが届いた場合は、後述する対処方法を参考に騙されないように気をつけましょう。
事例5. 公的機関
最後に、国税庁や税務署をはじめとした公的機関を名乗る事例が挙げられます。
実際に国税庁を装ったフィッシングSMSでは以下のようなメッセージが送られました。
他にも警察を装うケースが存在するなど、さまざまな手口で騙そうとします。
なお、国税庁からのSMSについては、全て偽物と判断することができます。
国税庁のSMSについて詳しく知りたい方は、こちらの記事をご確認ください。
ここまでフィッシングSMSについて事例を交えながら解説しました。
なぜ不正者は個人にフィッシングSMSを送るのか
ここからは、不正者がフィッシングSMSを個人に送る目的・理由について解説します。
不正者がフィッシングSMSを送る目的として大きく分けて3つ考えられます。
- 目的1. 個人情報を入手するため
- 目的2. クレジットカード情報を入手するため
- 目的3. ログイン情報を入手するため
それぞれ詳しく見ていきましょう。
目的1. 個人情報を入手するため
不正者は、個人情報の収集を目的にフィッシング詐欺を行います。
手に入れた個人情報は他の詐欺に転用されたり、ダークウェブで販売されるなどさまざまな形で悪用されます。
ダークウェブについて詳しく知りたい方はこちらの記事をご覧ください。
目的2. クレジットカード情報を入手するため
不正者は、クレジットカード情報の収集を目的にフィッシング詐欺を行います。
クレジットカード情報はECサイトでの不正利用に用いられたり、個人情報と同様にダークウェブで販売されます。
目的3. ログイン情報を入手するため
不正者は、ログイン情報の収集を目的にフィッシング詐欺を行います。
不正に手に入れたログイン情報を用いてサービスへの不正アクセスが行われます。
また、多くの人が、別のサービス間でIDやパスワードを使い回しているため、他サービスへの不正アクセスも可能になります。
この不正アクセスの手法をパスワードリスト型攻撃と言います。
ここまでフィッシングSMSが送られる目的を解説しました。
フィッシングSMS(スミッシング)が急増している理由
フィッシングの件数は大幅に急増しており、SMSフィッシングの件数も同様に増加していると考えられます。
引用:フィッシング対策協議会
フィッシングSMSが増加している理由として以下の3つが挙げられます。
- 理由1. メールに比べてSMSへの信頼があった
- 理由2. メールに比べて違和感が少ない
- 理由3. メールアドレスに比べて到着率が高い
それぞれ解説します。
理由1. メールに比べてSMSへの信頼があった
1つ目に、メールに比べてSMSへの信頼があったことが挙げられます。
SMSは企業からの重要な連絡で利用されるケースが多く、信頼できるメッセージだと認識されています。
理由2. メールに比べて違和感が少ない
2つ目に、フィッシングメールに比べてフィッシングSMSの違和感が少ないことが挙げられます。
その背景として以下2つが考えられます。
- 送信元を偽装して送信することができる
- SMSにおいて短縮URLが一般に利用されている
SMSでは送信元の電話番号を偽装して送信することができるため、悪質なケースだと本物の企業が送信しているスレッドにフィッシングSMSが紛れ込んでしまいます。
またSMSでは文字数の制限があるため短縮URLが一般に利用されています。
そのため、URLが偽装されていても気付きづらいと考えられます。
理由3. メールアドレスに比べて到着率が高い
3つ目に、メールアドレスに比べて到着率が高いことが挙げられます。
つまり、「より多くの人に届き」「より多くの人が読む」といえます。
メールアドレスに比べて、番号のパターンが限られているためランダムに送信しても届く可能性が高いと考えられます。
また、先述した通り信頼性が高いため、より多くの人が読むと言えます。
フィッシングSMS(スミッシング)の被害に遭わないための4つの対策
これまでフィッシングSMSについて背景を解説しました。ここからはフィッシングSMSの被害に遭わないための対策についてご説明します。
身近に行える対策として4つ挙げられます。
- 対策1.心当たりのないSMSを鵜呑みにしない
- 対策2.記載URLを確認する
- 対策3.サービスは公式HPからアクセスする
- 対策4.サービスの提供元に事実を確認する
それぞれ詳しく解説します。
対策1. 心当たりのないSMSを鵜呑みにしない
まず1つ目の対策として、心当たりのないSMSを鵜呑みにしないことが挙げられます。
SMSは多くの企業が主に以下の目的で配信します。
- 2段階認証のコード送付
- 緊急性の高い連絡
- 通常サービスの連絡
フィッシングSMSでは、受け取り手に考える時間を与えないため、重要で緊急性の高い連絡を装います。
一度落ち着いて、SMSの文面を鵜呑みにしないことがフィッシング被害に遭わないために重要です。
対策2. 記載URLを確認する
2つ目の対策として、SMSに記載されたURLを確認することが挙げられます。
注意するポイントとして以下があります。
- ドメインが正しいか
- 通信が暗号化されているか
- 短縮URLサービスが使用されていないか
SMSでは正規サービスからの連絡であっても短縮URLが用いられることが多いため、違和感を抱きづらいですが十分注意しましょう。
対策3. サービスは公式HPからアクセスする
3つ目の対策として、サービス公式HPからアクセスすることが挙げられます。
どんな気になる内容のメール・SMSが送られてきても、メール・SMSにあるURLリンクからではなく、サービス名を検索して表示された公式HPからのアクセスがおすすめです。
えきねっとで発生したフィッシングメールでは一部事実が含まれていたため、信じてしまう人が多くいました。
記載されている内容が事実であっても、鵜呑みにせず公式HPからのアクセスを行うことで安心してサービスを利用することができるでしょう。
対策4. サービスの提供元に事実を確認する
4つ目の対策として、サービスの提供元に事実を確認することが挙げられます。
国税庁のフィッシングSMSのケースでは、公式HPにて国税庁がSMSを使った連絡はしないと公示されていました。
つまり、サービスの提供元に事実を確認することでフィッシングSMSかどうかを見分けることができます。
まとめ
この記事ではフィッシングSMSの事例を中心にその概要と背景、対策を解説しました。
今回の要点をまとめると以下のようになります。
- フィッシングSMSはさまざまなサービスを名乗る。
- フィッシングSMSの目的は情報の入手であり、他のさまざまな不正に転用される。
- フィッシングSMSが急増している理由は、SMSの特徴にある。
- 被害に遭わないために、フィッシングSMSへの対策は基本的だが重要である。
不正者はさまざまな手段を用いてあなたの情報を盗み出そうとします。
フィッシングSMSの被害に遭わないために、現在どのような不正が行われているかを知ることが重要です。
ぜひ当メディアの他記事もご覧ください。
