知って防ごう! スミッシング詐欺
NTTコムオンラインの専門家が解説
企業でSMSを配信するなら、「8つのスミッシング対策」を実践して顧客を守ろう!
2024年2月6日 07:03
SMSを利用したフィッシング詐欺、いわゆる「スミッシング」ですが、一般ユーザーだけでなく、消費者に向けてSMS配信を行う企業も社名やサービス名を悪用される被害に遭っている状況です。企業イメージ低下を食い止めるだけでなく、消費者を守るうえでも適切な対処が必要になってきます。
今回は、SMSを送信する企業向けに、消費者から「正規のSMS」だと見分けてもらいやすくして、スミッシング被害を対するための、8つのポイントを紹介します。
8つの具体的な対策方法に加えて、スミッシング対策をしやすいSMS送信サービスの選び方も解説しますので、参考にしてください。
スミッシングに悪用されることが多いのは、宅配、EC、金融業など
まずは、企業を取り巻くフィッシング詐欺の現状を確認しておきましょう。
私が所属するNTTコム・オンライン・マーケティング・ソリューション(NTTコムオンライン)が実施した独自調査で、「フィッシング詐欺のSMSでは、宅配業者(56.5%)、ECサイト(54.9%)、クレジットカード会社(44.8%)、銀行(34.4%)をかたるケースが多い」ということが分かっています。また、2022年度の調査では、回答の選択肢に「官公庁」を加わえたところ、15.6%もの割合を占めていることが明らかになりました。
2022年は、国税庁をかたるスミッシングSMSが出回り、ニュースなどで話題になった年でもあります。また、千葉県が「新型コロナウイルスに感染した人向けにSMSでお知らせや情報を送信する」と発表した直後に、千葉県をかたるスミッシングSMSが確認された事例もあります。
以上のように、現状、フィッシング詐欺に利用される(なりすまされる)企業は、おおむね、大手であることが多いようです。誰もが知っているグローバル系のECサイトやクレジットカード会社、積極的にテレビCMを打っている大手宅配業者など……。知名度・社会信用度が高く、利用者が多い企業がまず狙われると考えてよいでしょう。
一方、中小企業がなりすましの対象となる事例はあまり多くはありませんが、「絶対になりすましの対象にはならない」とも言い切れません。いざ、対象になってしまうと、自社の顧客に多大なる迷惑をかけることになってしまい、やがては企業の信頼度にも影響します。業界や企業の規模にかかわらず、できる対策はしっかりとしておき、自社の顧客を詐欺の被害から守るよう心掛けることが重要です。
「8つの対策」でスミッシングの撲滅を目指そう
ここからは、企業がSMSを送るときに気を付けるべきポイントと具体的な対策について紹介します。今すぐできるちょっとした対策から、多少の手間はかかるものの効果の高い対策まで、一通り解説していきます。
1. 携帯電話番号からのSMS送信は極力行わない
最近のフィッシング詐欺のトレンドとして、マルウェア感染した携帯電話を使ったスミッシングが横行しています。そのときの発信者番号は携帯電話番号となります。発信者番号が携帯電話番号によるSMSは、受信者にとって「詐欺か、そうでないか」の判断が非常に難しく、詐欺を疑われ無視されてしまう可能性もあります。企業から消費者に向けてメッセージを発信する場合、携帯電話番号からのSMS送信は行わないようにしたほうがよいでしょう。
2. 発信者番号にアルファベットの文字列を使わない
「どうしても海外の事業者やサービス経由でSMSを送信しなければならない」というときは、発信者番号をアルファベットの文字列にしないよう注意しましょう。国際網経由でSMSを配信する場合はアルファベットの発信者番号が設定できる場合があるのですが、これを悪用して実在の社名をかたるスミッシングSMSが出回っているのです。こうした「よくあるアルファベットのスミッシングSMS」との混同を避けるためにも、発信者番号の設定は慎重にしましょう。
具体的には、国際網のSMSではなく、国内のSMSサービスを利用し、第三者のなりすましが困難な国内電話番号を発信者番号にするようにしましょう。また、発信者番号は自社の公式サイトで、オフィシャルなSMSの発信者番号として公表する事を強くお勧めします。
公式サイト上で公表されていれば、SMSを受け取った方は発信者番号を検索することで、SMSの真偽を判別できるようになります。
3. メッセージ内で社名を名乗る
以前は、実在の企業をかたったスミッシングSMSが多く出回っていたのですが、最近では「社名を名乗らないスミッシングSMS」が増えています。名乗らない理由は、「実在する企業をかたるとフィルタリングなどで対策をされてしまう」から。これを逆手にとり、「メッセージ内で社名をきちんと名乗る」ということを徹底することで、スミッシングとの見分けをつきやすくすることが可能です。
なお、顧客に提供しているサービスやブランドの名前と社名が異なる場合は、社名だけを名乗っても受信者には何についてのSMSかが伝わらないかもしれません。そのため、メッセージ内ではサービス名やブランド名を名乗る、または「○○カードの株式会社△△です」のように両方名乗るのがいいでしょう。
4. 企業のホームページで、SMSの使用目的や発信者番号を公開する
「SMSの使用目的」「発信者番号」を、企業のホームページで公開します。実際に多くの企業で行われていて、顧客のもとに怪しいSMSが届いたとき、すぐさま企業のホームページで、それが公式かそうでないかを確認できるため、詐欺被害をグッと抑えられます。
5. 事前にお知らせできるときには、SMSを利用することを伝える
消費者にSMSを送ることを事前に伝えられる場合は、用途と合わせてしっかりとお伝えすることも効果的です。例えば、サポートセンターに消費者から問い合わせがあった際や、引っ越し業者が引っ越し完了した際に、対応品質に関するアンケートをSMSで送ることが増えています。こういった場合に、サポートセンターでの電話終了の最後や、引っ越し業務完了時の最後の挨拶時に「後日、SMSでアンケートをお送りいたしますので、ご回答協力をお願いいたします」と一声添えるだけで、安心感の醸成に繋がります。
前述の4. と合わせて実施していただくことで、より効果的になるでしょう。
6. 国内の電話番号でSMSを配信する
海外経由のSMSは、「クレジットカードさえ登録すればすぐ使える」「出所が分かりにくい」などの理由で、詐欺に利用されやすいと言われています。一方、国内の電話番号は、日本のSMS事業者を通しての利用となるため、事業者の審査があり、なりすまし防止効果があります。
7. 「+メッセージ」を使う
連載4回目でご紹介した「+メッセージ」を使用するという手段も有効です。「+メッセージ」は、次世代SMSとして注目されるメッセージアプリ。「電話番号だけでメッセージが送れる」などSMS同様の手軽さがありながら、機能やセキュリティが大幅に強化されています。法人登録をするには厳しい審査を通過しなければならず、詐欺が入りにくいところもポイント。NTTドコモ、KDDI、ソフトバンクなどのAndroid端末やキッズ携帯にプリインストールされており、アプリをダウンロードすればその他の端末でも使えるため、受信する顧客にとって大きな負担となるわけでもありません。
8. 法人向けのキャリア共通番号「0005」を取得する
キャリア共通番号「0005」は、厳格な審査を通った法人のみに発行される番号です。これを含む8~10桁のショートコードが発信者番号となっているSMSは、信頼できる法人であると言えます。いま現在、最も明確に、スミッシングSMSと公式SMSを見分けることができる手段だと言ってよいでしょう。取得や運用に、別途費用がかかりますが、特にスミッシングの被害に悩まされている企業、これからSMSの活用を始める企業の場合は、取得をお勧めします。
参考までに、他に、「SMSにURLを記載しない」と公表している企業もあります(これもスミッシングとの混同を避けるための対策ですが、筆者としてはキャリア共通番号「0005」を取得すればURLを記載しても問題ないものと考えています)。
企業独自の考えで行われている対策もありますが、まずはここで挙げた8つの対策を中心に、できることを考え、取り組んでみていただけると幸いです。
企業の大半が利用する「SMS送信サービス」の選び方。“国内系”を選ぶのがカギ
多くの企業は、SMSを送るにあたって、SMS送信サービスを利用しています。
連載第4回でもご説明した通り、SMS送信サービスを使えば、PC上の管理画面を通して大量のSMSを一斉に送信したり、自社システムとAPIで連携させて自動送信を行ったりすることが可能です。また、何らかの理由でSMSが届かなかった場合にエラーを検知して再送信を行う機能や、送信数などの推移を確認できる機能を備えたサービスもあります。企業がSMSの利活用を行う上で欠かせない、便利なメニューが揃っています。
では、どのようにしてSMS送信サービスを選べばよいのでしょうか? 最後に、スミッシング対策の観点で、選定時に注目したいポイントについて確認しておきましょう。
まずは、「国内系を選ぶか、海外系を選ぶか」から検討することになりますが、結論から申し上げると、私は 「国内企業であれば、国内系のSMS送信サービスを選んだほうがよい」 と考えています。
ここまでの記事でもたびたびご説明していますが、海外経由のSMSは複数の拠点を経由するため、さまざまなところにデータが残ってしまう可能性があり、出所も特定しにくく、どうしてもセキュリティ上のリスクが伴います。また、審査が簡便なサービスが多く、詐欺に利用されやすいという側面も指摘されています。海外系のサービス全てがハイリスクだというわけではありませんし、料金が手頃で導入しやすいなどメリットもありますが、それでも、国内企業が国内向けにSMSを配信するなら、国内系のサービスのほうが安心できるでしょう。
国内系のSMS送信サービスを検討する際に気にしたいのが、「発信者番号が国内の電話番号か」「キャリア共通番号『0005』を取得できるか」といったところです。なかには、国内系のSMS送信サービスにも関わらず、国内の電話番号でSMS配信ができないというところもあるので注意しましょう。
キャリア共通番号「0005」については、対応しているサービス、対応していないサービスが混在しているというのが現状です。スミッシング対策のカギになるものとして注目を集める仕組みですので、これからSMS送信サービスを選ぶなら、これに対応しているものを選ぶとよいと思います。なお、NTTコムオンラインが提供する「空電プッシュ」はキャリア共通番号「0005」に対応しています。
単に「安いから」「使いたい機能があるから」などではなく、スミッシング対策の観点からも、信頼度の高いSMS送信サービスを見極めましょう。企業・顧客双方が、長く、安心して使える配信サービスを選択し、SMSを企業の成長に活かしていただけると幸いです。
黒田 和宏(くろだ かずひろ) 。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。音声プラットフォーム「Voicy」の「絶対連絡取りたいラジオ」チャンネルにてSMS情報を発信中。