知って防ごう! スミッシング詐欺
NTTコムオンラインの専門家が解説
怪しいSMSが届いたら「発信者番号」をチェック、“スミッシング詐欺”特有の見極めポイントを徹底解説
2023年11月28日 07:04
連載1回目、2回目では、「SMSの送信数が右肩上がりで増え続けていること」「SMSを利用したフィッシング詐欺=スミッシング詐欺が増加していること」をご説明しました。
金融業者をかたるSMSを受信し、「支払いが確認できていません。詳細はこちらから。https://〇〇〇.com」といった文言を見てドキッとした経験があったり、宅配業者を装うSMSが届き、「不在のためお荷物を持ち帰りました。詳しくはこちらをご確認ください。https://×××.com」などと書かれたメッセージを受け取って「怪しい」と感じたことがある方も少なくないことでしょう。
今回は、連載1回目、2回目を踏まえて、フィッシング詐欺か分からないSMSや怪しいSMSが届いたらまずチェックしたい、「スミッシング詐欺の見極めポイント」を解説します。
SMSの送信経路と発信者番号には3つのパターンがある
スミッシングを見極めるもっとも有効な方法は、SMSの送信元アカウント、つまり 「発信者番号」 をチェックすること。発信者番号が国内の電話番号か海外の電話番号か、はたまたアルファベットかなどで、ある程度、見当をつけることが可能です。
その前に、前提として、まずはSMSの送信経路と発信者番号について理解をしておきましょう。送信経路と発信者番号のパターンは、おもに下記の3つに分類できます。
1. 国内直接接続のSMS送信/国内の電話番号または携帯キャリアごとの特別番号で届く
国内の事業者が国内の回線を使ってSMSを届ける送信方法がこちら。発信者番号は「03」など国内の市外局番や、「0120」「0570」といったフリーダイヤル・ナビダイヤル番号で始まり、「国内に実在する電話番号」になっています。もしくは、「0005」など、携帯キャリアが発行する4キャリア共通の番号(以下、キャリア共通番号)で届きます。
2. 国際網を経由したSMS配信/海外の電話番号またはアルファベットで届く
海外の事業者やサービスを使ってSMSを送信するパターン。発信者番号は「+1」「+44」などの国番号で始まるか、または任意のアルファベットによる文字列になっています。
「海外番号」「アルファベット」「携帯電話番号」には要注意!
前述した3つの送信経路と発信者番号のなかで特に注意したいのが、前述の2と3のパターンです。
「2. 国際網を経由したパターン」、つまり海外事業者のサービスを使ったSMS送信は、比較的安価に実施できます。また、クレジットカードさえ登録すればすぐに使用できるサービスも多く、利用のハードルが低いところもポイントです。「安く」「手軽に」利用でき、しかもさまざまな拠点を経由して送信されるため送信元を特定することが難しく、ゆえに詐欺に利用されやすいのです。ですから、発信者番号が国番号から始まっている怪しいSMSについては、スミッシングの疑いが高いと考えてよいでしょう。
加えて、「発信者番号を任意のアルファベットの文字列にできる」というのも、海外経由のSMS送信の特徴のひとつです。例えば、AmazonやYahoo!をかたるといったことが容易にできてしまいます。実在の企業の名称をかたるとフィルタリングに引っ掛かってしまう、企業に対策されてしまうなどの傾向があるため、例えば「Amazon」の文字列のうち「n」を「m」にするなどの小技が仕込まれているケースも(最近では、そもそも企業名を名乗らないスミッシングSMSも増えています)。いずれにせよ、アルファベットの発信者番号にも注意が必要です。
最近増えている「3. 携帯電話端末からSMSを送信するパターン」の場合の多くは、マルウェアに感染した端末を不正に遠隔操作してSMSが送られてきます。マルウェアに感染させた端末は、さらに別のスミッシングの配信にその端末を踏み台として使うという手口です。多数の感染端末で配信ネットワークを構築し、それを別の詐欺グループに販売するケースもあるようです。突然届く怪しいSMSの発信者番号が携帯電話番号になっていたら、やはり、スミッシングの可能性を疑ったほうがよさそうです。
ただし、「携帯電話番号で届くSMS全てが怪しい」というわけではないので、その点はご留意を。例えば不動産会社や生命保険会社など、企業の営業担当者が社用のスマートフォンからSMSを送信してくる可能性もありますので、「明らかに身元が分かっている知人」「アドレス帳に登録している人」から身に覚えのある内容のSMSが届いた場合は、必要以上に警戒せずとも問題ないでしょう。
現在、最もスミッシングに使われにくく、安全度が高いと言われているのが、「1. 国内直接接続のSMS送信」です。利用審査が厳格な上に、利用者が勝手に番号を変更することもできません。怪しいSMSが届いたらまずは発信者番号を確認し、「国内の電話番号もしくはショートコードか」「そうでないか」を確認、「そうでない場合(海外番号、アルファベット、携帯番号の場合)」は十分注意する、というクセをつけておくと、詐欺被害の回避につながるかと思います。
「0005」から始まる送信元は、審査を通った法人の証!
SMS送信数の増加に伴い増え続けるスミッシング……。携帯キャリアもこの状況を、ただ手をこまねいて眺めているわけではありません。事態をなんとか打開しようと、積極的に対策に乗り出しています。
対策のひとつとして大きな注目を集めているのが、国内4キャリア(NTTドコモ、KDDI、ソフトバンク、楽天モバイル)が発行するキャリア共通番号の「0005」です。これは各携帯キャリアの厳格な審査を通過した法人のみに与えられる、いわば「お墨付き番号」のようなもの。これが発信者番号の頭に付いていれば、その発信者は、身元のはっきりとした信頼できる法人であると分かります。
以前は、携帯キャリアの垣根を超えて共通の番号を発行することが難しい状況でした。そのため、発信元の企業はひとつであるにもかかわらず、「NTTドコモの端末向けにはAというショートコード」「ソフトバンク向けにはBというショートコード」……といったように、複数のショートコードを運用しなければならないことが常態化していたのです。「ひとつの企業が複数の番号でSMSを送信している」がために、「どれが本物なのか分からない」「詐欺のSMSがまぎれていても気付きにくい」という状況が起きていました。
「0005」から始まる8~10桁のキャリア共通番号であれば、携帯キャリアの垣根を超えて発番することが可能です。ひとつの企業が、携帯キャリア関係なくひとつの番号でSMSを送信でき、受信者側の混乱を最小限に抑えられます。また、重複がないように管理されるため、例えば「Aという企業もBという企業も11111というショートコードを使っており、AとBから来たSMSがひとつづきのスレッドとしてまとまってしまった」というような、これまでによくあった事態も起こりません。一目で「あの企業だ」「審査を通った実在の法人である」ということが分かり、安心感も抜群。2021年に始まった比較的新しいサービスですが、今後、徐々に広まっていくと予想されています。
SMSを送信する企業様は、ぜひキャリア共通番号「0005」の採用についてご検討を。消費者、受信者の方々は「0005」の存在を認識しておきましょう。両者の活用と認知が進むことで、スミッシングの撲滅に一歩近づくのではないかと思っています。
黒田 和宏(くろだ かずひろ) 。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。音声プラットフォーム「Voicy」の「絶対連絡取りたいラジオ」チャンネルにてSMS情報を発信中。