メールやSMSを使って偽サイトに誘導し、IDやパスワードを入力させて情報を盗み取る「フィッシング詐欺」の被害が増えています。中でもSMSを使った「スミッシング」の被害が増えているため、身に覚えのない請求や緊急の連絡がSMSで届いたとしても安易に返信したりURLにアクセスしたりしてはいけません。
本記事では、フィッシング詐欺・スミッシングの手口や増加した背景、詐欺の被害に合わないための対処法を解説します。また、企業から顧客への連絡にSMSを活用するシーンが増えている中で、詐欺だと疑われずに安心してSMSを活用するための対策も紹介しているので、ぜひ参考にしてください。
- フィッシング詐欺とはメールやSMSを使って正規のサイトを装った偽サイトに誘導し、IDやパスワード、個人情報などを不正に入手する詐欺行為のこと
- スミッシングの手口として、宅配業者・通信業者・ショッピングサイト・銀行・カード会社などになりすますものが多い
- スミッシングの被害に合わないために「対応を急かすSMSに注意する」「送信元やURLが正規のものか確認する」「不安な場合は公式に問い合わせる」といった対策が必要
目次
「つながらない!」「伝わらない!」のお悩みに特効薬
業種別SMS活用術
劇的な向上に役立つSMS 活用術をご紹介!
フィッシング詐欺とは
フィッシング詐欺とは、メールやSMSなどを使った詐欺行為のことです。実在する企業やサービスを装ってメールやSMSを送り、記載されているURLへ誘導してユーザーのクレジットカード情報や個人情報を騙し取る、までが一連の流れです。
フィッシングのメッセージやリンク先のWebページは巧妙に作られており、企業やサービスから送られてくる正規のものとほぼ同じで、注視しないと虚偽とは気づきにくい場合がほとんどです。メールを使ったケースが一般的ですが、近年は短縮URLが記載されたSMSによる手口も増加しています。
なお、フィッシングは英語で「Phishing」と書きますが、これは魚釣り(fishing)と洗練(sophisticated)から作られた造語と言われています。
企業のSMS活用において重要なフィッシング詐欺の対策については、下記記事で解説していますのであわせてご覧ください。
関連記事:フィッシング詐欺被害を防ぐ対策方法とは?消費者向け/企業向けに詳しく解説!
フィッシング詐欺が行われる理由
フィッシング詐欺が行われる理由は、個人情報や各種ID・パスワードを入手するためです。例えば、インターネットバンキングのログイン画面を装った虚偽サイトにIDやパスワードを入力してしまうと、悪意のある第三者にID・パスワードが知られてしまいます。
こうして入手したID・パスワードを使って正規のサイトに不正アクセスし、「お金を不正に引き出す」「クレジットカードを不正利用する」「住所などの個人情報を盗んで販売する」といった悪用をするのがフィッシング詐欺の目的です。
SMSを利用したフィッシング詐欺「スミッシング」
SMSを利用したフィッシング詐欺は「スミッシング(SMS とフィッシングの造語)」と呼ばれ、近年特に増加傾向にあります。SMSで偽のメッセージを送り、個人情報やクレジットカード番号などを抜き取るフィッシングサイトに誘導する詐欺手法です。
携帯電話番号宛に送信できるSMSは、メールに比べて届きやすい上、開封率も高いという特徴があります。言い換えると、宛先にランダムな数字を設定するだけで不特定多数の人にメッセージを送信できてしまうのです。
また、SMSは携帯電話に標準装備されており、通知はデフォルトでONに設定されているため、届くとすぐに確認する人が多い傾向があります。本人認証や情報の通達といった早急なアクセスが必要なメッセージを悪用し、危機感を煽って詐欺サイトへ誘導するケースが多く見られます。
フィッシング詐欺増加の背景とは?
近年、フィッシング詐欺が増加しています。これには、インターネットバンキングやECサイトなどのオンラインサービスが広く普及したことが背景にあります。これらのサービスはIDとパスワードがわかれば本人以外でもアクセスできるものも多く、ID・パスワードを入手するためのフィッシング詐欺が増えました。
また、先ほど紹介したとおりスミッシングが特に増加しています。これは、以前よりもサイトへのログインや企業からの連絡にSMSを用いるのが一般的になり、ユーザーの警戒心が和らいだことが要因だと考えられます。
実際に、正規のサービスからSMSでお知らせを受け取ったことがある人も多いでしょう。スミッシングは「企業からSMSで連絡が来ることもある」というユーザーの認識を悪用して、巧妙に企業や正規のサービスを装ったSMSを送ってくるため注意しなければなりません。
スミッシングの代表的な手口
スミッシングのSMS内容は、アカウントの不正アクセスやサービスの料金請求、宅配業者からの不在通知などが定番ですが、他にもさまざまな手口が報告されています。ここでは、スミッシングの代表的な4つの手口を紹介します。
宅配業者になりすました例
宅配業者になりすまし、不在通知や再配達の手続きを求める事例は典型的なスミッシングの手口の1つです。「不在のため持ち帰りました」「お荷物投函のお知らせ」といったメッセージとともにフィッシングサイトのURLが添付されており、アクセスを誘導してきます。
リンク先は危険性の高いアプリダウンロードや偽のログインページなどさまざまで、個人情報やログイン情報などの入力を要求させるものが多く見られます。送信元や件名、本文は宅配業者からの正式なメッセージと酷似していますが、ヤマト運輸や佐川急便などはSMSでの集配案内は行っていないことを公表しています。
ホームページ上で、注意喚起とともに実際に報告のあったフィッシング事例について掲載されていますので、参照しておくと安心です。
通信業者になりすました例
通信業者になりすましたスミッシングも増加しています。携帯キャリアや格安SIM業者の名前で、「利用停止予告」「利用料金の未払い」といったメッセージを送り、URLへ誘導するケースです。
携帯電話が生活に必要不可欠である現代、「何か不具合が起きるかもしれない」「通信が止まるかもしれない」など不安を煽ぐようなメッセージが使われています。また、台風や地震などの災害発生時に寄付や義援金を募る内容が送られてくる場合もあります。
こうしたスミッシングは2021年ごろより件数が目立つようになり、各通信業者からも注意喚起が出ています。
ショッピングサイトになりすました例
Amazonや楽天市場などのショッピングサイトを装う偽メールは、詐欺の典型パターンでしたが、近年はSMSでも使われています。【重要】といった文言が付けられ、「本人確認」「アカウント無効」「情報を更新してください」などの内容とともにリンクが送られてくるケースです。
SMSでは画像や添付ファイルは使えないため、メールのようにサイトのロゴが表示されない分、偽物かどうかの判断が難しいかもしれません。リンク先のフィッシングサイトも本物同様に作り込まれており、誤って情報を入力してしまい情報漏えいや詐欺被害に遭うケースが増えています。
銀行やカード会社になりすました例
銀行やカード会社になりすましたスミッシングも少なくありません。メガバンクや国際カードブランド企業などを装い、SMSで情報更新やセキュリティ強化といった口実でURLに誘導するケースが見られます。
前提として、金融機関やクレジットカード会社がSMSを利用して口座番号やカード番号、ネットバンキング用の暗証番号などを確認することはなく、各金融機関やカード会社から正式に注意喚起が出ています。
スミッシング被害にあわないための対策方法
スミッシングではさまざまな内容のSMSを使って、フィッシングサイトに誘導してきます。ここでは、スミッシングの具体的な対策方法について解説します。個人情報の悪用や不正請求といった被害に遭わないためにも、できる対策から取り入れることが大切です。
対応を急かすSMSには注意する
「緊急のお知らせ」「利用停止」など対応を急がせる内容のSMSには注意しましょう。スミッシングのSMSは、受信者を焦らせるようなメッセージを使うケースが多く見られます。
Webサイトへのアクセスやアプリのインストールを求めるようなメッセージが届いたら、すぐにURLをタップしないことが重要です。
発信元が不明なSMSのURLや電話番号はクリックしない
発信元が不明なSMSに掲載されているURLや電話番号は開かないよう気をつけましょう。URLをタップすると詐欺サイトへ誘導されて、個人情報やカード番号などが盗まれる可能性が高まります。
SMSはメールよりも発信元の信憑性を確認しにくい場合がありますが、公式のSMSに見える場合でも、すぐにURLを開くのは避けるべきです。リンク先が正しいかどうかを確認する必要は基本的にないので、少しでも不審に感じるものは無視しても問題ありません。
公式のURLか確認する
身に覚えのないSMSが届いた場合、記載されているURLをタップする前に、公式URLかどうかを確認することが重要です。よく利用する宅配業者やクレジットカード、商品を購入したサイトなどの名称があっても、リンク先が偽サイトである場合もあります。
少しでも不審に感じたら公式サイトにアクセスし、正しいURLや連絡先をチェックしましょう。また、届いたSMSのテキストを検索すると、詐欺かどうかの判断材料が得られる可能性があります。
個人情報やパスワードは絶対に入力しない
スミッシングに気づかずにSMS内に記載されたURLをタップしてしまっても、表示されたページでは個人情報やID、パスワードなどの情報を絶対に入力しないことが大切です。スミッシングに使われるWebサイトは巧妙に作り込まれており、実在するサイトやフォームとほとんど変わりません。
万が一情報を入力して送信してしまうと、カードの不正利用やアカウント乗っ取りといった被害に遭う可能性があります。すぐに情報を入力せず、まずは公式サイトかどうかを確認することが最優先です。
不安な場合はカスタマーサポートに問い合わせる
送られてきたSMSが公式かどうか、自分だけでは判断できない場合は、カスタマーサポートに問い合わせるのも有効です。スミッシングは本物そっくりのメッセージとサイトデザインを使うため、使用頻度が低いサービスなどでは公式かどうか判断しかねる場合もあります。
不安が残る中でURLをクリックする前に、企業やサービスの公式サイトに記載のあるカスタマーサポートへ連絡し、アドバイスを仰ぐことも有効な対策です。
OSを最新に保つ
スミッシングの被害を避けるために、デバイスのOSを最新にアップデートしておくことも大切です。SMS詐欺はOSやアプリの脆弱性を狙って仕掛けられるケースがよくあります。
また、古いOSやアプリはサイバー攻撃やハッキングのリスクが高まるため、最新の状態にアップデートして使うよう心がけましょう。
SMS拒否設定を利用する
スマホのSMS拒否設定によって、なりすましSMSの拒否や迷惑SMSフィルターを個別に設定することが可能です。
キャリアごとに拒否設定の条件や手順は異なりますが、非通知SMSや危険SMSの一括拒否や、個別番号の受信拒否を設定することで、スミッシングのリスク軽減につながります。
【法人向け】スミッシングに間違われないための注意点
顧客との連絡やコミュニケーションにSMSを活用する企業側は、受信するユーザー側にスミッシングだと誤解されないための対策が必要です。
誤解を避けるために、メッセージには宛先の名前や送信者情報を正しく明記しましょう。また、公式サイトにSMSに記載するURLや送信元番号を公開しておくことで、公式情報だとユーザーに周知できます。
メッセージにビジネスマナーのある正しい日本語を使うことも大切です。また、営利目的の場合、事前に承諾を得ることがルールなので、承諾を取った上でどんな連絡をするのかを事前に伝えておくとユーザー側も安心でしょう。
SMS送信サービスを使う際は、事業者が日本国内の携帯4キャリアと直接接続していることが重要です。携帯4キャリアと直接接続することで、企業が利用している固定電話やフリーダイヤルを発信者番号に指定できるため、受信したユーザー側も発信者番号が公式サイトに記載されていることを確認できれば安心できるでしょう。
この場合、電話番号での開通処理によってSMS送信を行うため、なりすまし送信のリスクも避けられます。
関連記事:第3回 SMS送信サービスは、国内の直収接続を利用するのが安心
【法人向け】キャリア共通番号の導入で企業と個人との安心・安全なSMSを実現
キャリア共通番号とは「0005」から始まる8〜10桁の番号で、NTTドコモ・KDDI・ソフトバンク・楽天モバイルの携帯キャリア4社による審査を通過した企業にのみ発行されます。そのため、キャリア共通番号が送信元になっているSMSは企業からの連絡だとひと目で判断できます。
顧客に対して「0005」から始まる番号で連絡することを案内しておけば、スミッシングに注意している顧客から詐欺だと誤解されるのを防ぎやすくなります。また、顧客側も「この企業から0005で始まる番号以外から連絡があったら詐欺の可能性が高い」と判断しやすくなるでしょう。
NTTコム オンラインが提供する「空電プッシュ」はキャリア共通番号を使った送信にも対応しているので、ぜひご活用ください。
関連記事:SMSのキャリア共通番号とは?メリット・デメリットと取得方法
スミッシング被害は事前の対策で防ごう
スミッシングはフィッシング詐欺の代表的な手法です。OSやスマホ機種などによって異なる誘導方法が使われるなど、年々手口が複雑化しており、被害も増加傾向にあります。スミッシング被害に遭わないために、SMS内のURLをタップしないこと、アクセスしてしまっても個人情報は入力しないよう徹底する必要があります。
マーケティングやユーザーとの業務連絡にSMSを活用している企業では、スミッシングと誤解されないための対策が重要です。NTTコム オンラインが提供する「空電プッシュ」は、日本国内の携帯4キャリアと直接接続しており、クローズドネットワークによる高い安全性を確保しています。API連携など幅広い機能に対応していますので、まずはお気軽にお問い合わせください。
