特集

不審なSMSは、まず「発信者番号」をチェックして! スミッシング詐欺見極めのポイントを解説

 前回の記事では、NTTコム オンライン・マーケティング・ソリューション(NTTコム オンライン)が2023年12月に行ったスミッシング詐欺に関する年次調査の結果を紹介しました。

 調査の結果、スミッシングと考えられるSMSを受信した経験がある方は52.0%でした。スミッシングSMSを受け取ったら、そこに記載されたURLにアクセスすることは避けるべきですが、全体の11.4%、スミッシングと考えられるSMSを受け取った方のおよそ5人に1人が、URLにアクセスしたことがあることが明らかになりました。

 スミッシングと考えられる不審なSMSが届いてもURLにアクセスしない、が原則ではありますが、スミッシングの多くは宅配業者やECサイト、クレジットカード会社といった身近な、よく利用する企業になりすまして、「これは本当の連絡なのでは?」という勘違いを誘います。

 今回は、不審だけど、ひょっとしたら本当に企業から連絡が来た正規のSMSかもしれない……と思ったとき、正規のSMSとスミッシングを見分けるとき、SMSを受信したユーザーは何を判断材料としているでしょうか? これも調査しており、回答をまとめたものが次のグラフです(図7)。

 「メッセージ本文の内容」が68.3%、「URL」が48.8%と続きます。確かに、明らかに不自然な本文だったり、なりすましている企業のウェブサイトとは明らかに異なるURLだったりする場合は分かりやすいですが、年々巧妙になっているスミッシングを考えると、全てのケースで本文やURLで明確に判断できるとは限りません。より確実性の高い判断材料を紹介します。

図7:多くの方が、メッセージ本文の違和感の有無や、URLが正規の企業サイトかどうかを、スミッシングを見極めるポイントとして挙げています

注目すべきは「発信者番号」

 実は、より確実性の高い、スミッシングSMSかどうかの判断材料となる情報があります。それが、「SMSの発信者番号」です。発信者番号は、一般的には送信元の電話番号となり、企業からの発信では「03」や「0120」で始まる固定電話番号になります。

 次のようなケースの場合、そのSMSはスミッシングの可能性が高くなります。ただし、絶対ではない点にはご留意ください。

  1. 090などで始まる携帯電話番号
  2. アルファベット

 上記以外、固定電話番号から届くSMSの信頼性が高いのは、当社(NTTコム オンライン)のような国内の携帯キャリアに直接接続しているSMS配信事業者が、適切な企業審査を実施したうえで提供するものであり、また発信者番号の仕組み上、偽造が困難なためです。

 その一方で、携帯電話番号(090など)からのSMSの場合は、携帯電話端末からの発信であり、正規のSMSなのか、スミッシングSMSなのかは見分けがつきません。ご自身のお知り合いであり、電話番号を知っている方から送信されるSMSであっても、その携帯電話端末が「連絡先に勝手にSMSを送信する」タイプのマルウェアに感染し、それによって送られたSMSである可能性があるので、安心はできません。

 アルファベット表記の発信者番号の場合は、海外のSMS配信サービスを使っている可能性があります。海外のSMS配信サービスは、審査が厳格に実施されていない場合があり、加えて送信者が送信者名を任意に設定できるサービスも存在します(図8)。

 それらを悪用して、スミッシングSMSを配信している攻撃者がいる点に注意が必要です。

図8:SMS受信時の発信者番号の表示イメージ。フィッシング対策ガイドライン2023より引用

 このような、発信者番号についての知識は、まだ知らない方が多いのが現状です。以下は、090などで始まる携帯電話番号や、アルファベットの送信者番号による危険性を認知しているか質問したアンケートの結果となります(図9、10)。

図9:発信者番号が090などの携帯電話番号のとき、固定電話番号よりもスミッシングの危険性が高くなると知っていた方は41.9%
図10:発信者番号がアルファベットのとき、固定電話番号よりもスミッシングの危険性が高くなると知っていた方は30.8%

 いずれの結果からも、半数以上の方が発信者番号が判断基準になることを知らなかったことを踏まえると、まだまだ、危険性への認識が浸透していないことが伺えます。

怪しいSMSにあるリンクは踏まない、電話番号に電話をかけない

 あらためて、スミッシングから身を守る方法をまとめます。スマートフォンを使う限り、スミッシングSMSが届く可能性をゼロにはできません。身に覚えのない内容や、不審な発信者番号からのSMSが届いた場合、記載されたURLや電話番号には触れないことが大切です。

 SMSを開封した時点では、何も問題はありません。ただし、URLにアクセスした場合、不正なアプリをインストールさせられる可能性があります。

 また、電話番号に対して電話をかけるべきではありません。どのような話をもちかけられるか分かりませんし、電話をかけることで、自分の電話番号が実際に使われているのだと、攻撃者側に伝わってしまいます。

 フィッシングSMSを送る攻撃者は、携帯電話に使われる番号帯(090、080などで始まる11桁の番号)に対し、総当たりで送っている可能性があります。もし着信によって、攻撃者にその番号が実際に使われていることが伝わってしまった場合、その後継続してフィッシングSMSのターゲットとされる可能性が高くなるため、電話もかけるべきではありません。

 また昨今では、短い音声をもとに、AIによって、その人そっくりの声で本人が言っていないことを話させ、家族などをだまそうとする詐欺の事例もあります。思いもよらないところで、自分の話し声が悪用されてしまうかもしれません。

怪しいSMSだと思ったら、公式サイトへアクセスして確認

 怪しいと思う反面、心当たりがあるSMSも送られてくる可能性もありますが、まず、送り主となる企業の公式サイトを、検索やブックマークからアクセスして確認することが大切です。

 送り主となる企業が、SMSで連絡をすることを告知しているか、またその場合、どの電話番号で連絡するか、といった情報を確認し、SMSの送り主が本当にその企業なのかを見極める必要があります。

 それでも情報がなく心配な点が残る場合は、自身で拙速な判断はせず、周りの人に相談することも大切です。

鈴木 伸吾
NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部 プラットフォーム部長。
「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務める。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画。
趣味はサイクリングで、休日は200kmほど走り込むこともある。