特集

10代で被害額が300万超え!? SMSの「スミッシング」被害者の大半が“若者“の現実(前編)

 AmazonやAppleなど、実在する企業になりすます「フィッシング詐欺」という言葉は皆さんも聞いたことがあると思います。ほとんどの人が詐欺メールを受け取った経験があるでしょう。では、「スミッシング」とは何かご存知でしょうか?

 スミッシングとは電子メールではなく、SMSを悪用したフィッシング詐欺のことです。筆者が所属するNTTコム オンライン・マーケティング・ソリューション(NTTコムオンライン)で、10代~60代までの男女5000人以上にアンケート調査を実施したところ、スミッシング詐欺の被害にあったことがあると回答した人の中で最大被害額はなんと、382万円。しかも、その被害者は10代の少年でした。調査全体の結果からも「10代~30代と若い世代がよく被害にあっている」という現状が明らかになりました。

 NTTコム オンラインでは、顧客への通知などにSMSを活用する企業に向けて、SMS一斉送信ツール「空電(からでん)プッシュ」を提供しています。しかし、宅配業者やECサイトなどの通知を装ったスミッシングによる被害が急増している状況に危機感を持っています。

 本記事では、SMSサービスを提供する当社として防ぐべきトラブルである、スミッシングの危険性とその対処法について、広く知っていただくための情報を前編・後編に分けてご紹介します。

開封されやすさを悪用し、宅配業者などおなじみの企業を装う

 スミッシングは、SMSとフィッシング詐欺を組み合わせた造語(SMS+Phishing)で、主に実在する企業を装い、SMSを通じて行う詐欺の手口です。SMSは電話番号に送信するため、ユーザーに届く率(到達率)が高く、また、通知を見たらすぐ確認する人が多いため、読まれる率(開封率)も高い連絡手段です。しかし、詐欺師からすれば、到達率・開封率の高さはターゲットへのアプローチがしやすいことにつながり、最近では詐欺師がよく使う手段の1つになってしまっています。

 SMSは、宛先となる携帯電話番号をランダムに入力したとしても、「現在使われていれば」届いてしまうため、容易に悪用されやすいという背景があります。フィッシングSMSと判定されたSMSを受信拒否する設定もできますが、判定が完全ではないため、それをすり抜けて危険なSMSが届く可能性も否定できません。

 宅配業者やECサイトからの連絡がSMSを通じて行われることが多いですが、それを逆手に取り、誰もが聞いたことがあるようなおなじみの企業を装うことで、

  • アカウント情報や個人情報、クレジットカード情報を盗み取る
  • 悪意あるソフトウェア(マルウェア)をインストールさせ、感染させる

 といったことを仕掛けられます。

 例えば、宅配業者を装ったSMSでは、未払い金があるように見せかけ、誘導先のフィッシングサイトでユーザーの情報を入力させて、これらの情報をまるごと盗みます。一方、マルウェアをインストールさせられた場合は、端末内の情報を抜き取られるほか、ユーザーの電話帳に登録されたほかの人にも同じような内容のSMSを拡散するなど、さまざまな被害にあう可能性があるのです。

通販の利用拡大も背景に、フィッシングの報告数は2017年の50倍に

 スミッシングが増えた背景として、新型コロナウイルス感染症拡大の影響もあると言えます。ネットでの通販市場が拡大しており、日本通信販売協会の発表によると、日本国内における2020年の通信販売売上高は10兆6300億円に上り、前年比20.1%の増加と大幅に伸長していることが分かります。

2021年度の通信販売売上高。画像は日本通信販売協会(JADMA)より

 このように、ネット通販市場が拡大すれば、それに便乗して、悪事を働こうとする詐欺師も増えます。

 以下は、フィッシング対策協議会に報告されたフィッシング詐欺の報告数で、21年度は53万件超となり、2017年と比較すると50倍以上の報告件数に膨れ上がっています。

フィッシング報告件数の推移(フィッシング対策協議会の情報を再編)

 このうち、どの程度がスミッシングかの数値は公表されていませんが、現場の声を聞く限り、スミッシングの発生件数も増加傾向にあるようです。

半数以上の人がスミッシングのSMSを受信した経験あり

 ここから、当社の独自調査の結果も交えて、スミッシングの実態についてご説明いたします。

 アンケートでは、57.3%(3021人)がスミッシングと思われるSMSを受信した経験がありました。

(アンケート)フィッシング詐欺と考えられるSMS(携帯のショートメッセージ)を受け取った事がありますか? (n=5275)

 筆者も明らかにおかしなSMSを受信したことがあり、この結果に肌感覚として、違和感はありません。以下は実際に自分が受信したスミッシングの内容ですが、送信元はAmazonを装っていました。たまたま、Amazon Primeを利用していたため、「おや?」と気に留めたことを覚えています。

実際に届いたスミッシングの内容(一部加工しています)

 ただ、よく見てみると

  • 「Amazon」の表記が「Amäzom」となっている、
  • 遷移先のURLに「amazon」の文字列が一切入っていない、

 といった違和感ある内容でした。

なりすまし対象の上位は宅配業者、ECサイト

 スミッシングではどういった業者になりすましているのか調査した結果、

  • 宅配業者:55.8%
  • ECサイト:52.3%

 と、やはり通信販売に関係する企業等を装うスミッシングSMSが、多く届いていることが分かります。

(アンケート)何を装ったフィッシング詐欺でしたか? ※複数回答可 (n=3021)

 詐欺師の視点を想像すると、多くの人が使っているサービスを装って多くのSMSを送り、そのうちの1つでも引っ掛かればよい、と考えるはずです。

 日常的に利用することが多くなったサービスの名前が付いたSMSであれば、無意識に内容を確認してしまうのは、人の心理を巧妙に突いた手段とも言えるでしょう。

20~30代男性の被害が突出して多い

 以下は、実際にスミッシングSMSを受信し、被害にあったと回答した人の比率を、年代・性別ごとに表したグラフです。

 若年層の方が、スマートフォンをより使いこなし、サービスを利用することも予想されますが、中でも20~30代の男性における比率が突出して高いことは興味深い結果です。

(アンケート)SMSのフィッシング詐欺で金銭的な被害にあった事がありますか? (n=3021)

最大387万円の被害、しかも被害者は10代

 では、実際に被害にあった人(118人)は、どのくらいの金額を支払ってしまったのでしょうか。

 調査では、被害額1万円~10万円未満が最多の39.8%、10万円~100万円未満が16.9%と、被害にあった半数以上が1万円以上を支払っていることが分かりました。

 その中でも最大の被害額は382万円と予想を上回る額となっていました。しかも、なんと被害者は10代だったのです。年齢に関係なく、スミッシングの被害にあう可能性があることを示しています。

(アンケート)SMSのフィッシング詐欺での被害額はいくらでしたか? 複数回ある方は一回あたりの最大額をお答えください。 (n=118)

スミッシングは身近な脅威に、自分や身近な人を守るための対処法を知ろう

 スミッシングの実態について説明してきましたが、調査を進める中で


    ・スミッシングはだましやすくするために宅配業者やECサイトなど、おなじみの企業を装って送られてくる
    ・個人情報を盗まれるだけでなく、マルウェアをインストールさせられる恐れもある
    ・実際に被害にあった半数以上が1万円以上の被害を受けていた
    ・実際にスミッシング詐欺にあったことがある割合が高いのは、20~30代の男性

 といった特徴が見えてきました。

 「詐欺」というと特殊詐欺(オレオレ詐欺)の話題が多いので、何となく高齢者がターゲットになるイメージがあるかもしれません。しかし、今回の調査結果を見ると分かるように、スミッシングではネットを活用している世代も含めてターゲットにして、実際に驚くような額の金銭的被害も発生しています。

 スミッシングは、誰でも被害にあう可能性のある身近な脅威です。盗まれた個人情報は悪用されるだけでなく、マルウェアに感染すれば自分の家族や友だちなど周りの人たちにも被害を及ぼす恐れがあります。これを防ぐには、いかに自分自身を守っていくか、ということが大切になってくるのです。

 後編では、どのようにスミッシングから自分を守っていけばいいのか、具体的な対処法を解説します。

・著者プロフィール

 黒田 和宏(くろだ かずひろ)。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。