知って防ごう! スミッシング詐欺

NTTコムオンラインの専門家が解説

サイバー犯罪者にとっては便利すぎる!? SMSを使ったフィッシングが急増するワケ

 「フィッシング詐欺といえばメール」、そんなイメージをお持ちの方も多いと思いますが、近年は、SMSを利用したフィッシング詐欺である 「スミッシング」 詐欺が目立つようになってきました。

 なぜメールでなくSMSなのか? SMSのどのような点が詐欺師に着目されているのか…? 今回は、SMSが悪用される背景や、スミッシング詐欺の脅威に対して企業が取り組む対策について解説します。

普及率が高く、便利だからこそ悪用されてしまう

 本連載の第1回目でご説明した通り、SMSの国内総送信数は右肩上がりで増加し続けています。2023年度は38億6000万通のSMSが送信されると予測されており、2026年度には100億通に達する見通しです。企業が顧客への通知などにSMSを利用するケースも増えており、例えば通信会社の利用料金案内や、飲食店のアンケート依頼など、多くのシチュエーションでSMSが使われるようになってきました。

 ここに着目したのが詐欺師たちです。SMSの配信数が増え、多くの企業が利用するようになり、そして、ユーザーにとって企業からSMSで情報を送信されてくることが当たり前になったタイミングで、時流に乗って、SMSを利用したフィッシング詐欺を行うようになりました。

 普及していて便利だからこそ、今、詐欺師たちがSMSを悪用しているのです。

詐欺師にとっても魅力的! SMSが悪用されてしまう4つのポイント

 では、具体的にSMSのどのような点が詐欺師に好まれているのでしょうか? 詐欺師がフィッシング詐欺にSMSを使う理由は、主に以下の4つのポイントが挙げられます。

1. メールよりもユーザーに読まれやすい

2. 11桁の数字の組み合わせで送信できる

3. なりすましが容易

4. ユーザーの電話番号が変わりづらい

 それぞれについて、詳しく見ていきましょう。

1. メールよりもユーザーに読まれやすい

 SMSの着眼率(受信者の目に触れる率)は90%以上だと言われています。海外では、「99%に到達した」というデータも報告されているようです。「アプリのインストールが不要」「ユーザーの手元にあるスマホに届く」「短文のため確認が容易」などの要因から多くの人に見てもらいやすく、この点が詐欺師にとっても好都合なのだと考えられます。

2. 11桁の数字の組み合わせで送信できる

 SMSは携帯電話番号宛に届きます。つまり数字を組み合わせて11桁にすれば、おおむねどこかに到達するのです。詐欺師が多数のユーザーに向けて手あたり次第にメッセージを発信しようとするとき、メールアドレスほど複雑な文字列でなく、携帯電話番号をランダムに入力したとしても、使われている番号であれば届いてしまう、という手軽さが好まれているようです。

3. なりすましが容易

 SMSで送信できる文字数は、数十文字~数百文字程度です。送れる文字数が少ないため、企業をはじめとする公式アカウントから届くメッセージも短く簡素なことが多く、詐欺師にとって「公式の真似をして文章をつくることが容易」というメリットを備えています。また、誤字・脱字、機械翻訳などで強引に訳したであろう不自然な日本語なども露呈しにくく、「短文ゆえにボロが出にくい」という性質も。さらに、配信元もなりすますことが可能です。

4. ユーザーの電話番号が変わりづらい

 メールアドレスは、「プロバイダーを変えた」「携帯キャリアを変えた」「新たなフリーアドレスを取得した」などの理由で変わりがちです。一方で携帯番号の場合は、ナンバーポータビリティ制度の普及もあり、一度取得したらなかなか変わらないものと思われます。番号が変わらないということは、「一度つながった番号ならそのあともつながる可能性が高い」ということ。つながる番号をリスト化して流用することも可能です。

 ここからは推測ですが、恐らく、オレオレ詐欺のように「詐欺にだまされやすい人の電話番号リスト」なども存在しているのではないでしょうか。情報を蓄積して悪用している詐欺師もいると推察できます。

 着眼率の高さや誘導しやすいことなどから企業に支持されやすく、配信数を伸ばし続けてきたSMSですが、一方で、こうしたことは詐欺師にとっても「利用しやすさ」になってしまっているのです。私たちが便利だと感じているところを、詐欺師たちは悪用してくる――これを頭の片隅に置いてSMSを受け取るようにすると、リスクの回避につながることでしょう。

 また、詐欺師がこのような点に着目してスミッシング詐欺を行っていることは携帯キャリアや端末メーカーも把握しており、すでに対策に乗り出しています。現状では十分と言えませんが、今後より対策が進む見込みです。

企業側もSMSに関する情報を公開して注意喚起

 スミッシング詐欺が増えてきたことを受け、企業側もさまざまな対策を講じています。多くの企業が行っているのが、公式サイトでの積極的な情報発信です。「当社では、〇〇というアカウント名でSMSを送信しています」「△△の目的でSMSをお送りすることはありません」など、“送信元番号”や“使用目的”を公開しているところが増えてきています。

 例えば国税庁は、公式サイトで「国税庁(国税局、税務署を含む)では、ショートメッセージによる案内を送信しておりません。また、国税の納付を求める旨や、差押えの執行を予告する旨のショートメッセージやメールも送信しておりません」と説明しています。

国税庁ではSMSによる案内を送信していないとして注意喚起を行っています

 また、ヤマト運輸も公式サイトで「弊社では、ショートメールによるご不在連絡やお届け予定のお知らせは行っておらず、他社サービスを含め、お電話でセキュリティに必要な認証番号を確認することもありません」「ご不在連絡やお届け予定をお知らせする際のURLにおいて、弊社は『.com』は使用していません」と明示しています。

ヤマト運輸の公式サイトでもSMSによる不在連絡やお届け予定のお知らせは行っていないと明言しています

 公式サイトで情報を確認すれば詐欺の被害を避けられることも多いので、怪しいSMSが来たら、まずは公式サイトを確認するようにしましょう。「企業名 送信元電話番号」で検索をかけてみるなど、真偽を確かめるようにするとよいでしょう。

 企業側にはスミッシング詐欺の被害を防ぐために、より積極的な情報開示を求めたいところです。特にSMSの送信元番号が国内電話番号の場合、第三者がなりすますことが困難なため、送信元番号を国内電話番号にし、公式サイトなどで番号を周知するのが効果的です。

SMSの課題を解決する? 次世代SMS、「+メッセージ」にも注目!

 SMSが抱える「なりすましが容易」などの課題。これを解決する手段のひとつとして注目されているのが、次世代SMSと呼ばれることもある「+メッセージ」というサービスです。

 「+メッセージ」は、NTTドコモ、KDDI、ソフトバンクの3社が提供する新しいメッセージアプリです。「電話番号でメッセージを送ることができる」というSMS最大の特長はそのままに、「写真や動画を送信できる」「900種類以上のスタンプが無料で利用できる」「パケット代だけで送受信できる(SMS送信の料金が発生しない)」といったメリットが付け加えられています。

 企業が「+メッセージ」内で公式アカウントを持つことが可能で、「企業や著名人の登録は審査制」「審査に通ると公式マークが付与される」というところもポイントです。なりすましがしにくく、詐欺師に悪用されにくい、比較的安心・安全な環境で運用することが可能です。個人ユーザーの方が「+メッセージ」を通じて企業からSMSを受信する場合、送られてくるメッセージは審査をクリアしたアカウントからの連絡に限られるため、スミッシングSMSである可能性は極めて低いこともメリットです。

 まだまだ普及率が高いとは言えませんが、注目されているツールであることは間違いありません。「+メッセージ」が企業にて利用されるようになることで、スミッシング詐欺のSMSも見分けやすくなり、ユーザーにはとってはより安全な環境が実現すると考えられます。今後に備え、リスクヘッジのために、SMSと併用するなどして活用してみてもよいのではないでしょうか。

 次回は、「怪しいSMSを受け取ったときに気を付けるべきこと」を予定しています。

・著者プロフィール

 黒田 和宏(くろだ かずひろ)。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。音声プラットフォーム「Voicy」の「絶対連絡取りたいラジオ」チャンネルにてSMS情報を発信中。