スミッシングとは?対策方法や被害に遭わないためのポイントを解説

コラム
#IT基礎知識
#セキュリティ

今回は、SMSを利用して行われるフィッシング詐欺の一種「スミッシング」の概要を詳しく解説します。

最近では、巧妙な手口で個人情報や金銭を狙う詐欺が増えており、被害に遭うリスクも高まっている現状です。

スミッシングには、事前にできる対策方法がいくつか存在します。本記事では、スミッシングの被害を防ぐための具体的なポイントを徹底解説。安心してスマートフォンを使うための対策として、ぜひ参考にしてください。

スミッシングの基礎知識

スミッシングの基礎知識として、以下の3つの項目に分けて解説します。

  • スミッシングとは
  • スミッシングの手口や手法
  • スミッシング詐欺による被害

ここからは、上記3つをそれぞれ見ていきましょう。

スミッシングとは

スミッシングとは、SMSを使ったフィッシング詐欺のこと。英語では「Smishing」と表記されます。

通常、メールを使った詐欺を「フィッシングメール」と呼ぶのに対し、SMSメッセージを悪用する手口を、スミッシングと呼び区別しています。

スミッシングの手口や手法

スミッシングは、SMS(ショートメッセージサービス)を利用して行われるフィッシング詐欺で、電話番号宛に悪意のあるメッセージを送る手口です。

一般的なフィッシングメールやフィッシングサイトと同じような手法が使われます。例えば、以下のような手口があります。

  • マルウェアを含んだアプリをインストールさせる
  • インストール後、そのアプリがSMSや連絡先情報を盗む
  • 盗んだ電話番号を使ってさらにSMSを送信する

また、スミッシングの手法の一つには、盗んだ携帯番号のリストをもとに、ユーザーがクリックしやすい内容のメッセージと共にURLを送信する方法もあります。

実際、配送業者を装って「不在通知」の内容を含むSMSが送られ、URLを誤ってクリックした結果、スマートフォンが乗っ取られる被害が報告されています。

スミッシング詐欺による被害

スミッシングによる被害として、以下のようなものが挙げられます。

  • スマートフォンの不正操作や乗っ取り
  • スマートフォン内の個人データの盗み見や収集
  • 悪意のあるURLへの誘導
  • そのURLを通じて不正な課金が発生する
  • 他のマルウェアや危険なアプリがインストールされる

これらのリスクは、すべてスマートフォンでの簡単なタップ操作だけで引き起こされる可能性があります。普段使い慣れたスマートフォンが、突然、サイバー攻撃の対象となるため、十分な注意と対策が必要です。

スミッシングで狙われる情報

スミッシングの目的には、以下のような情報の取得が考えられます。

  • アカウントの「ログイン情報」
  • クレジットカード情報
  • 「なりすまし」に利用される「個人情報」

攻撃者は、ログイン情報を盗んで不正利用や企業への侵入を試みます。クレジットカード情報が手に入れば、不正購入や詐欺に使われる可能性が高いでしょう。

また、個人情報はなりすましやダークウェブでの取引に悪用され、多くの攻撃者の標的に。なりすましが進行すると、詐欺や誤認逮捕などの重大なリスクが生じます。

スミッシングがおこなわれる順序

スミッシング攻撃は、以下の手順で行われるのが一般的です。

  1. 宅配業者や有名なECサイトを偽装し、ランダムにSMSを送信する
  2. メッセージ内のURLをクリックするようユーザーに誘導する
  3. ユーザーがURLをタップすると、攻撃者が仕掛けた偽のWebサイトが表示される
  4. 偽サイトで個人情報を入力させる

攻撃者は、宅配業者や銀行などを名乗り、「不正アクセスの可能性があるため、以下のリンクからIDやパスワードを変更してください」など、ユーザーがクリックしたくなるような内容のメッセージを送信します。

URLをクリックすると、本物に似た偽のサイトに誘導され、個人情報が盗まれてしまう流れです。

スミッシングへの対策方法

スミッシングへの対策方法として、以下の6つが挙げられます。

  • 公式サイトから直接問い合わせる
  • 公式のURLかチェックする
  • スミッシングの手口やその対策に関する情報を周知する
  • 個人の判断に委ねずセキュリティ担当や情報システム部へ報告する仕組みを整備する
  • スミッシングに限らずフィッシングにも警戒する
  • 基本的に不審でなくてもURLのタップは避ける

それぞれ詳しく見ていきましょう。

公式サイトから直接問い合わせる

 
URLが正しいか不安な場合は、SMSに記載されたリンクにアクセスするのではなく、公式サイトから直接問い合わせ先を探し、確認するのが重要です。

SMSに返信したり、記載されたURLの問い合わせ窓口を使うのは、なるべく避けるべき。悪意のある第三者に情報が流れ、偽装された返信を受け取る危険もあるでしょう。

また、SMSが知人や家族からのものであっても、内容が不審であったり金銭に関わるものであったりする場合は、別の方法で確認を取ることで被害を防げます。

公式のURLかチェックする

 
スミッシングでは、企業や組織、サービス名を偽ってメッセージが送られてきます。URLも公式のものに見せかけていることが多いため、安易にクリックせず、まずはそのURLが本物かどうかを確認しましょう。

公式サイトのURLを直接入力するか、検索エンジンで調べて正しいリンクかどうかを確認するのが大切です。

スミッシングの手口やその対策に関する情報を周知する

企業や組織も、個人と同様にスミッシングのリスクに対して警戒する必要があります。スミッシング攻撃により、マルウェアが含まれたアプリがインストールされると、社内のシステムやデバイスが乗っ取られ、被害が組織全体に広がる恐れがあります。

そのため、スミッシングの手口や方法について情報を共有し、SMSをターゲットにしたサイバー攻撃が存在することを従業員に十分に周知しておきましょう。

個人の判断に委ねずセキュリティ担当や情報システム部へ報告する仕組みを整備する

スミッシング対策で重要なのは、受け取った本人に判断を任せないことです。怪しいSMSを受け取った場合は、まずセキュリティ担当者や情報システム部門に報告する体制を整えておくのが良いでしょう。

スミッシングは冷静に対応すれば恐れる必要はありません。重要なのは、URLをクリックせず、SMSに返信しないこと。

したがって、急かすようなメッセージや不安を煽る内容が届いた際には、すぐに相談するという社内ルールを設けておくのをおすすめします。

スミッシングに限らずフィッシングにも警戒する

サイバー攻撃全般に対して警戒を怠らないようにしましょう。特定の攻撃手法にのみ注目するのではなく、スミッシングに気をつけていたとしても、他の手口、例えばフィッシング詐欺に引っ掛かるリスクを常に意識することが大切です。

また、セキュリティ対策も一つの手法に偏ることなく、幅広い範囲をカバーする統合的な管理が必要です。

企業や組織では、強固なセキュリティ体制を構築し運用するだけでなく、従業員にもサイバー攻撃に対する認識と知識をしっかりと共有し、全体としてセキュリティレベルを向上させることが不可欠です。

基本的に不審でなくてもURLのタップは避ける

業界や業種によっては異なる点もありますが、基本的にはSMSで送られてきたURLには触れないようにしましょう。

また、社内や組織内で業務連絡としてURLを送る場合には、Webフィルタリング機能が備わったデバイスや信頼できるメールアドレスにのみ送信するというルールを設けることで、さらに安全性が高まります。

スミッシングでなりすましの多い事例

ここからは、以下の5つの項目に分けて、スミッシングで多いなりすましの事例を紹介します。

  • 宅配業者
  • ECサイト
  • 金融機関
  • 公的機関
  • 通信機関

実際に上記を利用する際には、スミッシングのリスクがあるという点を、押さえておきましょう。

宅配業者

近頃では、ヤマト運輸や佐川急便などの大手宅配業者を名乗るスミッシングが増加しています。これらは、ECサイトからの配送情報や不在による再配達を装ってSMSで送られてくるのが一般的。

しかし、大手宅配業者は通常、配送状況などの情報をSMSで送ることはないため、そのようなSMSは詐欺であると考えるべきです。

ECサイト

最近急増しているのが、Amazonや楽天市場といったECサイトを装ったスミッシングです。特に新型コロナウイルスの影響で緊急事態宣言が出された2020年には、フィッシング詐欺の多くがECサイトを名乗っていました。

偽のメッセージにはさまざまな内容がありますが、主にアカウント情報の更新を求めたり、商品の配送状況について知らせる内容が多いです。

金融機関

三井住友銀行や三菱UFJ銀行、りそな銀行などの大手金融機関を名乗るスミッシングが増えています。

これらの詐欺は、セキュリティ強化やログイン情報の更新を求める内容で、偽のウェブサイトに誘導する手口です。

実際、金融機関はSMSを通じてセキュリティ強化や個人情報の更新を通知することは基本的にないため、こうしたメッセージを受け取った場合は、開かずに削除することをおすすめします。

公的機関

スミッシングの手口として、国税庁などの公的機関を装ってSMSを送る方法もあります。例えば、「【重要】必ずお読みください」や「未払い税金のお支払いのお願い」といった文面でメッセージが届きます。

リンクをクリックすると、偽のフィッシングサイトに誘導され、そこでプリペイドカードの番号やクレジットカード情報を入力するように求められます。

通信機関

スミッシングの手口の一つとして、NTTなどの通信会社を装い、SMSメッセージを送る方法があります。

これには、例えば「料金が高額になっていますのでご確認ください」や「未払いの料金がありますので確認をお願いします」といった内容で、利用者に不安を感じさせるメッセージが多く使われます。

まとめ

 今回は、スミッシングの概要と対策方法について詳しく解説しました。スミッシングの手口は巧妙化しており、今後も新たな脅威が出現する可能性があります。最新の情報を常に把握し、適切な対策を講じることが重要です。

不審なリンクはクリックしない、個人情報を安易に入力しないなど、基本的な対策方法を知っておきましょう。日頃から十分に注意を払い、安全なインターネットライフを送りましょう。

ダークウェブアイでは、ダークウェブを24時間監視。万が一漏えいしても被害が起きないようスムーズな対応をサポートします。

ダークウェブアイ紹介資料ダウンロード

また、メールアドレスを入力するだけで、漏えい状況をチェックできるので、ぜひ以下から確認してみてください。

メールアドレスを入力して漏えい状況を確認する

おすすめイベント・セミナー 一覧へ