オンラインでの個人情報やカード情報の抜き取り・悪用といったフィッシング詐欺が増加しており、個人や企業に影響が及んでいます。中でもSMSによる詐欺は「スミッシング」とも呼ばれ、見に覚えのない請求や緊急連絡が届く事例が増加しており、注意が必要です。
本記事では、SMSを利用したスミッシングの手法や被害に遭わないための対策法などについて解説します。本人確認やログイン認証でSMSが広く活用されている今、企業側がSMSの安全な活用を促すために重要な対策も紹介するため、ぜひご覧ください。
目次
フィッシング詐欺とは
フィッシング詐欺とは、メールやSMSなどを使った詐欺行為のことです。実在する企業やサービスを装ってメールやSMSを送り、記載されているURLへ誘導してユーザーのクレジットカード情報や個人情報を騙し取る、までが一連の流れです。
フィッシングのメッセージやリンク先のWebページは巧妙に作られており、企業やサービスから送られてくる正規のものとほぼ同じで、注視しないと虚偽とは気づきにくい場合がほとんどです。メールを使ったケースが一般的ですが、近年は短縮URLが記載されたSMSによる手口も増加しています。
なお、フィッシングは英語で「Phishing」と書きますが、これは魚釣り(fishing)と洗練(sophisticated)から作られた造語と言われています。
企業のSMS活用において重要なフィッシング詐欺の対策については、下記記事で解説していますのであわせてご覧ください。
フィッシング詐欺被害を防ぐ対策方法とは?消費者向け/企業向けに詳しく解説!
SMSを利用したフィッシング詐欺「スミッシング」
SMSを利用したフィッシング詐欺は「スミッシング(SMS とフィッシングの造語)」と呼ばれ、近年特に増加傾向にあります。SMSで偽のメッセージを送り、個人情報やクレジットカード番号などを抜き取るフィッシングサイトに誘導する詐欺手法です。
携帯電話番号宛に送信できるSMSは、メールに比べて届きやすい上、開封率も高いという特徴があります。言い換えると、宛先にランダムな数字を設定するだけで不特定多数の人にメッセージを送信できてしまうのです。
また、SMSは携帯電話に標準装備されており、通知はデフォルトでONに設定されているため、届くとすぐに確認する人が多い傾向があります。本人認証や情報の通達といった早急なアクセスが必要なメッセージを悪用し、危機感を煽って詐欺サイトへ誘導するケースが多く見られます。
スミッシングの代表的な手口
スミッシングのSMS内容は、アカウントの不正アクセスやサービスの料金請求、宅配業者からの不在通知などが定番ですが、他にもさまざまな手口が報告されています。ここでは、スミッシングの代表的な4つの手口を紹介します。
宅配業者になりすました例
宅配業者になりすまし、不在通知や再配達の手続きを求める事例は典型的なスミッシングの手口の1つです。「不在のため持ち帰りました」「お荷物投函のお知らせ」といったメッセージとともにフィッシングサイトのURLが添付されており、アクセスを誘導してきます。
リンク先は危険性の高いアプリダウンロードや偽のログインページなどさまざまで、個人情報やログイン情報などの入力を要求させるものが多く見られます。送信元や件名、本文は宅配業者からの正式なメッセージと酷似していますが、ヤマト運輸や佐川急便などはSMSでの集配案内は行っていないことを公表しています。
ホームページ上で、注意喚起とともに実際に報告のあったフィッシング事例について掲載されていますので、参照しておくと安心です。
通信業者になりすました例
通信業者になりすましたスミッシングも増加しています。携帯キャリアや格安SIM業者の名前で、「利用停止予告」「利用料金の未払い」といったメッセージを送り、URLへ誘導するケースです。
携帯電話が生活に必要不可欠である現代、「何か不具合が起きるかもしれない」「通信が止まるかもしれない」など不安を煽ぐようなメッセージが使われています。また、台風や地震などの災害発生時に寄付や義援金を募る内容が送られてくる場合もあります。
こうしたスミッシングは2021年ごろより件数が目立つようになり、各通信業者からも注意喚起が出ています。
ショッピングサイトになりすました例
Amazonや楽天市場などのショッピングサイトを装う偽メールは、詐欺の典型パターンでしたが、近年はSMSでも使われています。【重要】といった文言が付けられ、「本人確認」「アカウント無効」「情報を更新してください」などの内容とともにリンクが送られてくるケースです。
SMSでは画像や添付ファイルは使えないため、メールのようにサイトのロゴが表示されない分、偽物かどうかの判断が難しいかもしれません。リンク先のフィッシングサイトも本物同様に作り込まれており、誤って情報を入力してしまい情報漏えいや詐欺被害に遭うケースが増えています。
銀行やカード会社になりすました例
銀行やカード会社になりすましたスミッシングも少なくありません。メガバンクや国際カードブランド企業などを装い、SMSで情報更新やセキュリティ強化といった口実でURLに誘導するケースが見られます。
前提として、金融機関やクレジットカード会社がSMSを利用して口座番号やカード番号、ネットバンキング用の暗証番号などを確認することはなく、各金融機関やカード会社から正式に注意喚起が出ています。
スミッシング被害にあわないための対策方法
スミッシングではさまざまな内容のSMSを使って、フィッシングサイトに誘導してきます。ここでは、スミッシングの具体的な対策方法について解説します。個人情報の悪用や不正請求といった被害に遭わないためにも、できる対策から取り入れることが大切です。
対応を急かすSMSには注意する
「緊急のお知らせ」「利用停止」など対応を急がせる内容のSMSには注意しましょう。スミッシングのSMSは、受信者を焦らせるようなメッセージを使うケースが多く見られます。
Webサイトへのアクセスやアプリのインストールを求めるようなメッセージが届いたら、すぐにURLをタップしないことが重要です。
発信元が不明なSMSのURLや電話番号はクリックしない
発信元が不明なSMSに掲載されているURLや電話番号は開かないよう気をつけましょう。URLをタップすると詐欺サイトへ誘導されて、個人情報やカード番号などが盗まれる可能性が高まります。
SMSはメールよりも発信元の信憑性を確認しにくい場合がありますが、公式のSMSに見える場合でも、すぐにURLを開くのは避けるべきです。リンク先が正しいかどうかを確認する必要は基本的にないので、少しでも不審に感じるものは無視しても問題ありません。
公式のURLか確認する
身に覚えのないSMSが届いた場合、添付されているURLをタップする前に、公式URLかどうかを確認することが重要です。よく利用する宅配業者やクレジットカード、商品を購入したサイトなどの名称があっても、リンク先が偽サイトである場合もあります。
少しでも不審に感じたら公式サイトにアクセスし、正しいURLや連絡先をチェックしましょう。また、届いたSMSのテキストを検索すると、詐欺かどうかの判断材料が得られる可能性があります。
個人情報やパスワードは絶対に入力しない
スミッシングに気づかずにSMS内に記載されたURLをタップしてしまっても、表示されたページでは個人情報やID、パスワードなどの情報を絶対に入力しないことが大切です。スミッシングに使われるWebサイトは巧妙に作り込まれており、実在するサイトやフォームとほとんど変わりません。
万が一情報を入力して送信してしまうと、カードの不正利用やアカウント乗っ取りといった被害に遭う可能性があります。すぐに情報を入力せず、まずは公式サイトかどうかを確認することが最優先です。
不安な場合はカスタマーサポートに問い合わせる
送られてきたSMSが公式かどうか、自分だけでは判断できない場合は、カスタマーサポートに問い合わせるのも有効です。スミッシングは本物そっくりのメッセージとサイトデザインを使うため、使用頻度が低いサービスなどでは公式かどうか判断しかねる場合もあります。
不安が残る中でURLをクリックする前に、企業やサービスの公式サイトに記載のあるカスタマーサポートへ連絡し、アドバイスを仰ぐことも有効な対策です。
OSを最新に保つ
スミッシングの被害を避けるために、デバイスのOSを最新にアップデートしておくことも大切です。SMS詐欺はOSやアプリの脆弱性を狙って仕掛けられるケースがよくあります。
また、古いOSやアプリはサイバー攻撃やハッキングのリスクが高まるため、最新の状態にアップデートして使うよう心がけましょう。
SMS拒否設定を利用する
スマホのSMS拒否設定によって、なりすましSMSの拒否や迷惑SMSフィルターを個別に設定することが可能です。
キャリアごとに拒否設定の条件や手順は異なりますが、非通知SMSや危険SMSの一括拒否や、個別番号の受信拒否を設定することで、スミッシングのリスク軽減につながります。
【法人向け】スミッシングに間違われないための注意点
顧客との連絡やコミュニケーションにSMSを活用する企業側は、受信するユーザー側にスミッシングだと誤解されないための対策が必要です。
誤解を避けるために、メッセージには宛先の名前や送信者情報を正しく明記しましょう。また、公式サイトにSMSに記載するURLや送信元番号を公開しておくことで、公式情報だとユーザーに周知できます。
メッセージにビジネスマナーのある正しい日本語を使うことも大切です。また、営利目的の場合、事前に承諾を得ることがルールなので、承諾を取った上でどんな連絡をするのかを事前に伝えておくとユーザー側も安心でしょう。
SMS送信サービスを使う際は、事業者が日本国内の携帯4キャリアと直接接続していることが重要です。携帯4キャリアと直接接続することで、企業が利用している固定電話やフリーダイヤルを発信者番号に指定できるため、受信したユーザー側も発信者番号が公式サイトに記載されていることを確認できれば安心できるでしょう。
この場合、電話番号での開通処理によってSMS送信を行うため、なりすまし送信のリスクも避けられます。
関連記事:第3回 SMS送信サービスは、国内の直収接続を利用するのが安心
スミッシング被害は事前の対策で防ごう
スミッシングはフィッシング詐欺の代表的な手法です。OSやスマホ機種などによって異なる誘導方法が使われるなど、年々手口が複雑化しており、被害も増加傾向にあります。スミッシング被害に遭わないために、SMS内のURLをタップしないこと、アクセスしてしまっても個人情報は入力しないよう徹底する必要があります。
マーケティングやユーザーとの業務連絡にSMSを活用している企業では、スミッシングと誤解されないための対策が重要です。NTTコム オンラインが提供する「空電プッシュ」は、日本国内の携帯4キャリアと直接接続しており、クローズドネットワークによる高い安全性を確保しています。API連携など幅広い機能に対応していますので、まずはお気軽にお問い合わせください。
