知って防ごう! スミッシング詐欺
NTTコムオンラインの専門家が解説
注文した覚えがないのになんで不在通知が…? SMSを悪用する「スミッシング」のよくある手口
2023年8月22日 07:14
フィッシング詐欺のなかでもSMSを悪用した 「スミッシング」 詐欺が増加しています。例えば身に覚えがないのに、宅配便の受け取りや料金の支払いを要求してくるようなSMSを受信したことはないでしょうか? まるで本物の企業から送られてきたようなメッセージがつづられたものや、絶妙なタイミングで送られてくるもの、メッセージを受け取った人をドキッとさせるような仕掛けのあるものなど、つい引っ掛かってしまうような巧妙なSMSが増えつつある状況です。
では具体的にどのようなSMSがどれだけ拡散していて、私達はどのようなことに注意すればよいでしょうか。連載第1回目に当たる今回は、「こんなSMSがきたら要注意!」という事例をいくつかピックアップして紹介します。
右肩上がりで増え続けるSMS送信数、2026年には年間約100億通に!
まずはSMSを取り巻く変化について確認をしておきましょう。デロイト トーマツ ミック経済研究所株式会社の調査によると、2016年度のSMS国内総送信数は1億6460万通でした。しかし、2023年度は2016年度の約23倍に当たる38億6000万通のSMSが送信されると予測されています。3年後の2026年度には実に100億通を超える見通しになっています。今後もSMSが、急速に拡大していくと見込まれていることが分かります。
こうしたSMSの急増に伴い増えているのが、SMSを悪用したスミッシング詐欺です。スミッシングとは、SMSとPhishing(フィッシング)を組み合わせた造語で、「企業などを装って送信されたSMSを受け取り、そこに記載されたURLをタップするとフィッシングサイトに誘導されてしまう」というタイプの詐欺のことを指しています。
「メールではなくSMSを起点とするところ」「ほぼスマホをタップするだけで完結してしまうところ」が特徴で、SMSが身近で使いやすいことも相まって、その気軽さや簡単さから被害が増えつつある状況です。
代表的なスミッシング詐欺事例3選
では、具体的にどのようなSMSが拡散しているのでしょうか? 近年、話題になった代表的なスミッシング詐欺の事例を3つピックアップして紹介します。文面や、その特徴をしっかり把握しておきましょう。
1. 運送系企業を装ったスミッシング
最近増えている事例がこちら。宅配業者をかたるSMSから「荷物を届けたが不在のため持ち帰った」「連絡がほしい」というメッセージが届き、記載されているURLをタップすると、突然、なぜか銀行を装ったポップアップが開き「不正アクセスを検知した」と通知が入るというものです。
ポップアップを閉じると銀行を装ったフィッシングサイトに誘導され、個人情報やパスワードなどの入力を促されてしまいます。このスミッシング詐欺のポイントは「突然、ポップアップが開く」というところです。ユーザーを慌てさせ、冷静な判断ができない状況にして混乱のなかで重大な情報を抜き取ります。ポップアップや情報の入力を促すサイトには十分注意しましょう。
2. 通信サービス事業者を装ったスミッシング
通信サービス事業者を装ったケースでは「ご利用料金のお支払い確認が取れていません」などのメッセージが届き、記載されたURLをタップすると不正アプリがインストールされてしまうという事例も報告されています。
少し前まではAndroidのみで確認されていた手口だったのですが、最近ではiPhoneでも、同様の手口が横行しているということが分かりました。「正規のウェブサイト以外からアプリをダウンロードしない」「iPhoneの場合は、『構成プロファイルのダウンロード』という表示が出てきた際に『許可』をタップしないようにする」などの対策で不正アプリのインストールが回避できます。
3. 国税庁を装ったスミッシング
2022年7月 、国税庁をかたるスミッシング詐欺のSMSが出回っていることが確認されました。国税の納付を求めるものや、差し押さえの執行を予告するものなどいくつかの文面が確認されており、いずれも比較的重い内容で、これに驚いて記載されたURLをタップするとフィッシングサイトに誘導されてしまう……という流れになります。
国税庁は、そもそもSMSで税金の納付を求めたり差し押さえの予告をするということをしていません。まずは慌てず、冷静に。「不審なSMSはスルーする」「気になる場合はインターネットで検索する」などして公式サイトにアクセスし、正しい情報を確認するなど、基本的な対処をしっかりと行いましょう。
送信元に注目! 実際に届いた巧妙なスミッシング詐欺事例3選
ここからは、私が実際に受け取ったスミッシング詐欺のSMSについて紹介します。いずれも巧妙で、特に送信元に特徴があり、ややもすると引っ掛かってしまいそうなものばかり。特徴や注意すべきポイントなどについて解説します。
1. 公式とまったく同じ送信元! Instagramを装ったスパム的スミッシング
ある日突然、Instagramから「インスタグラムでいいねするだけのアルバイト」「日給1万円も可能」「LINEを追加してください」というSMSが届きました。内容からすぐに「スパム的なスミッシングだな」と判断できたのですが、困ったのが、Instagram公式とスミッシングの送信元アカウントがまったく同じという点でした。
これは「国際SMS」と呼ばれる仕組みを悪用して送信元を偽装する手口のもので、公式のスレッド内に偽装したSMSが紛れ込むかたちで表示されてしまう点が問題になっています。公式のフリをして、公式のスレッドに紛れ込んでくるため、見分けがつきにくく、非常に悪質だと言えるでしょう。見分ける方法は、現在のところ内容をよく読むことぐらいだと言われています。「内容がおかしい」「いつもと違う」と思ったらURLをタップしないよう注意しましょう。なお、現在、このような発信元の偽装に関しては、各キャリア側でも対策が進められています。
2. マルウェアに感染? 電話番号から送信される不在通知スミッシング
次は、代表的な事例として紹介した「運送系企業を装った不在通知のSMS」です。注目してほしいのが、送信元が電話番号であるところ。詐欺師が電話番号を使ってSMSを送信しているだけというケースもありますが、悪意のない第三者の携帯電話がマルウェアに感染して踏み台にされている可能性もあり得ます。
URLを踏んだ瞬間に感染し連絡帳のデータが抜き取られ、さらに連絡帳の登録先に一気に同様のフィッシングSMSが送信されて、家族や友達などにも被害が拡大してしまう危険性も……。十分に注意したい事例です。
3. iMessageで送信! 証券会社を装ったスパム的フィッシング
証券会社をかたるパターンも確認されており、送信元はiMessageになっています。恐らくiPhoneからスミッシング詐欺のSMSをばら撒いているのでしょう。iPhone同士で使うメッセージ機能であるiMessageは、当然ながら、Androidにメッセージを送信することができません。制限があるため企業がユーザーへの連絡目的で使用しているケースは多くなく、iMessageという形式で企業から連絡がきた時点で警戒する必要がありそうです。
被害を避けるにはどうすればいい? ドメイン名と公式サイトに注目しよう
スミッシングに引っ掛からないようにするためには、 「送信元を確認する」「記載されているURLを確認する」 ことが欠かせません。送信元やURLが明らかにおかしな文字列で構成されていたり、例えばドメイン名「example.jp」が「example.jp.▲▲▲▲.com」になっているなど公式と微妙に異なる綴りになっていることが多いので、ここをしっかりとチェックしてリスクヘッジするクセをつけておくとよいでしょう。
また、企業の公式サイトでフィッシング/スミッシング詐欺に関する情報をチェックすることも大切です。ヤマト運輸や佐川急便は公式サイトで「SMSでの不在通知やお届け予定通知は行わない」旨を明言しています。ほかに、詐欺メールやSMSが出回るたびに公式サイトで注意喚起を行う企業も少なくありません。
うかつにURLをタップせず、ドメイン名を確認し、公式サイトで正しい情報を入手する。この3つの事柄を意識して、被害に遭わないよう十分注意してください。
次回は、「SMSを使ったフィッシングが急増するワケ」をご紹介します。
【記事訂正 2023年8月25日 14時40分】
記事初出時、ドメイン名に関する説明に誤りがありました。お詫びして訂正いたします。
黒田 和宏(くろだ かずひろ)。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。音声プラットフォーム「Voicy」の「絶対連絡取りたいラジオ」チャンネルにてSMS情報を発信中。