近年流行しているスミッシング詐欺とは

SMSを悪用してあたかも正規サイトから連絡が来たかのように見せかけ、悪意のあるサイトへ誘導するフィッシング詐欺のことを指します。

標的となった人の携帯電話番号にフィッシングサイトのURLを送付し、リンクをクリックするように誘導するというのが手口の概要です。

この手口、一見すると「簡単に見分けられるのではないか？」と思ってしまうのですが、意外と引っかかる人が多いようです。

SMS詐欺の被害が増加している背景

IT業界では「金銭が関わる処理をWeb上で行う際、ID/パスワードの認証だけでは危険である」と言われています。

そんな中、ここ数年のうちにECサイトで物品を購入したりWeb上で決済をする人が増えており、ID/パスワード以外にSMSを合わせた仕組みでのサービス提供が一般的になりました。

利用者はSMSを普段使わない人が多く、本物の企業から届いているメッセージか否かを正確に見抜ける人は少ないのではないかと思います。

悪意のある人物からすればSMSを悪用するのは好都合で、「利用者が多いと分かっているサービス名を使えば、騙される人も相対的に増えるだろう」と推測するでしょう。

メールよりも情報が少ないことなどからメッセージを送りやすく、見抜かれにくいというおまけまで付いてくるわけです。

それではなぜSMS詐欺に騙されてしまう人が多いのか、具体的な手口を交えつつ重要なポイントについて確認していきましょう。

具体的な手口について

SMS詐欺の大きな特徴は３つあります。メールよりも特徴は少ないですが、全て騙されやすいポイントなので注意してみていきましょう。

発信者名の偽装

海外には、発信者名(displayName)を指定して発信できるサービスがあります。この仕組を悪用して、大手通信キャリアや運送会社などに偽装するケースがあるようです。

例の場合だと、〇〇運輸と記載することで、本当にその企業からメッセージが来ていると信じさせたい意図が伝わってきます。

実際に届きそうな文面

運送会社や金融機関、通信キャリアなどを装った文面でメッセージが送付される傾向にあります。これは、利用者に正規の企業であると錯覚させるための意図であると考えられます。

画像のケースではとある運送会社を騙る文面になっており、自分宛てに届いた荷物なら気になってしまうことがあると思います。そんなヒトの心理を利用したメッセージで誘導し、外部サイトへアクセスさせようとします。

URLのリンク先

SMSではメッセージにhtml形式でリンクを埋め込むことはできません。URLの見た目を偽装することはできないので、悪意のある人物が誘導したいサイトのURLをそのまま記載することになります。

画像の例であれば運輸会社の公式サイトではなさそうということが分かると思います。しかし、公式サイトによく似たドメインでSMSを送付してくる場合もあり、一目見ただけでは見抜けない人もいると思います。

見抜けないのであれば、自分で判断せずに周囲の有識者に聞くか、企業の問い合わせ窓口に連絡をすることをお勧めします。

不審なSMSが届いた時の対応方法

先ほど紹介したいかにも怪しいSMSが届いた場合、その後どうすればいいのか迷ってしまいますよね。

それでは、不審なSMSが届いた時の対応方法を紹介していきます。

絶対にURLを開かない

絶対に本文内のURLは開かないようにしましょう。スミッシングを見抜けている場合・見抜けなかった場合にかかわらず、SMSで届くURLは不用意に開かないほうがよいです。

過去に様々なWebサービスでSMSによる二要素認証を見てきましたが、どのサービスもメッセージ内にURLを含めているものはありませんでした。

一部のサービスではURLを含めたメッセージ送信が行われているかもしれませんが、SMSによるスミッシング詐欺が流行している現代において、対策が取られてないサービスは危険とも言えます。

二要素認証の基本は「ID/パスワード以外の一時的な認証情報を、別の通知手段で本人に送付する」というものなので、URLが記載されているメッセージは無視しましょう。

また、運送会社・宅配業者の不在通知を装ったメッセージの場合ですが、基本的にSMSで通知すること自体が考えられません。

不在の場合、確認するために電話をかけたり、配達先に受取人がいない場合は不在票をポストに入れます。SMSでの不在連絡は考えにくいことを理解していれば、URLを開く必要もないことが分かるかと思います。

SMSの送信元に返信しない

SMSはメッセージを送受信できるサービスのため、送信元に対して返信をしてしまう人もいるようです。

「商品の注文はしてないんですが、何かの間違いではないですか？」

「電話で不在確認はされてますか？」

といった返事をしても、その後の返信はないと思ってください。

悪意のある人物であれば、『お、この電話番号は騙しやすい人のものだな』と注目することになり、「騙しやすい人リスト」に仲間入りすることとなるでしょう。

リスト化された人たちの電話番号はまとめて業者に売却されたりすることも考えられ、クレジットカード番号やWebサイトのログイン情報を奪われる可能性が高くなります。

メッセージに返信しなければこのような被害は回避できるので、安易にSMSへの返信をしないよう慎重に見極めていきましょう。

SMS送信元の番号に電話しない

SMSを送ってきた番号にはもちろん電話をかけないでください。

メッセージ送信元の電話番号はすぐに確認できますが、メッセージを返信した場合と同様に別の被害にあう可能性があります。また、番号を確認せずに電話をすると「国際電話」になる可能性があり、長時間無言のまま国際電話料金のみが膨れ上がっていく可能性を秘めています。

SMSをきっかけに電話をするケースはほとんどないと思いますが、むやみに電話をかけないよう気を付けましょう。

企業に別の手段で問い合わせる

SMSの内容が特定の企業を騙るものであれば、その企業情報をインターネットで検索して直接問い合わせてみましょう。

大きな企業であれば、たいていは企業情報が書かれたサイトを用意しています。そのサイトから受付窓口に連絡して、利用者にSMSを送付するケースはあるか確認してください。

場合によっては電話だけでなく、メールでSMSの画像を送ってほしいなど依頼があるかもしれません。詐欺撲滅のためにも、できる限り情報提供いただけたらと思います。

まとめ

いかがでしたでしょうか。今回はスミッシング詐欺の具体的な手口と対策方法について紹介しました。

大手企業を騙ったメッセージであれば、私たちはついつい反応したくなるものです。しかし、悪意のある人物が騙そうとしているという事実もあると理解いただけたかと思います。

SMSによるスミッシング詐欺については、安易にアクションを起こさず、不安な場合は企業のお問い合わせ窓口に連絡することをお勧めします。