what_is_smissing

スミッシングとは?SMSを利用した詐欺手口の見分け方と対策について解説

2021/05/20

手軽にメッセージが送れるSMSを悪用して、個人情報などを盗み取る「スミッシング」被害が増加しています。

金融機関や宅配業者に装って偽のサイトにアクセスさせることで、個人情報を巧みに盗もうとしてきます。

本記事ではスミッシングとはどのような手口で行われる詐欺なのか詳しく解説していきます。スミッシング攻撃を受けた時の対処法や対策方法についても、併せてご紹介しますので、ぜひ参考にしてください。

巧妙な手口が増えているスミッシング

近頃急増しているスミッシングは、手口や仕組みを知らなければ詐欺の被害に遭ってしまう可能性があります。ここではスミッシングの手口や仕組みについて詳しく解説していきます。

スミッシングとは

スミッシングとは「SMS」と「フィッシング」を結びつけた言葉で、スマホに標準搭載されているメッセージ機能を悪用した詐欺行為です。

以前から流行しているフィッシング詐欺と同様、金融機関や宅配業者などになりすまして個人情報を窃取する目的があります。

SMSは迷惑メールフィルターがなく、記載されているURLをそのまま開いてしまう人も少なくはありません。普段利用している企業からのSMSだと安心して誘導されてしまい、偽装されたHPに情報を入力してしまう被害が急増しています。

本文に記載されているURLは巧妙に作り込まれた偽サイトで、IDやパスワードなどを入力すると情報がすべて盗み取られます。また近頃は偽サイトにアクセスさせ、スマホに悪質なアプリをインストールさせる手口も増えています。

スミッシングの仕組み

スミッシングはフィッシングメールの進化版であり、SMSで届く詐欺行為です。

仕組みとしては、有名企業になりすまして対象ユーザーへSMSを送信し、攻撃者が用意した偽サイトのURLへ誘導します。そして偽サイトで情報を入力させたり、二段階認証で届いたコードを入力させようとしたり、あらゆる手口を使って情報を窃取してきます。

特に攻撃者に狙われやすい情報は次の3つです。

・クレジットカード番号とセキュリティコード
・ネットバンキングの認証情報
・SMSなどなりすまし詐欺に利用されやすい個人情報

偽サイト上で個人情報を入力させるケースもありますが、アプリをインストールさせてマルウェアに感染させてくるケースもあります。マルウェアに感染してしまった場合、自分のスマホから勝手に知らないユーザーへスミッシング攻撃してしまう危険性も。またアプリをインストールしてしまうと、スマホのセキュリティ設定を勝手に書き換えられてしまうケースも増えてきています。

スミッシングの被害事例

ここで現在確認されているスミッシングの被害事例について、2つご紹介します。

金融機関になりすましたスミッシング

金融機関のなりすましは信頼してしまう方が多く、どの金融機関のホームページにもスミッシングの注意喚起がされています。「不正アクセスされた可能性があります。至急パスワードを変更してください」といったメッセージが特徴です。記載されている偽サイトも一見本物のサイトと遜色ないため、疑うことなく情報を入力してしまうユーザーが後を絶ちません。

銀行等金融機関を装ったなりすましSMSに注意!急増する手口と対処方法

 

宅配業者になりすましたスミッシング

近年特に急増しているスミッシングの事例が、宅配業者になりすましたスミッシングです。「ご本人様不在の為お荷物を持ち帰りました。ご確認ください」といったメッセージと共に偽サイトへの誘導URLが記載されています。より詳しい内容については、次の記事で解説しているので確認してください。

佐川急便を装った偽不在通知SMSに注意!クリックや開いてしまった時の対処方法

 

スミッシングが届いた時の対処法

被害が急増しているスミッシングですが、届いただけであれば被害に遭うことはありません。ここでスミッシングが届いた時の対処法を3つご紹介します。

怪しいと思ったらすぐにSMSを削除する

スミッシングは偽サイトに誘導することが目的のため、SMSが届いただけであればまだ被害には遭っていません。被害事例でご紹介したように金融機関などから突然SMSが届いた場合は内容を確認し、怪しいと感じたらすぐに削除してください。スミッシングは複数の電話番号を用いて送信されているケースが多いため、番号ではなく送られてきたメッセージで判断しましょう。

URLにアクセスしてしまった場合は個人情報を入力しない

万一SMSに記載されているURLにアクセスしてしまった場合、絶対にログインIDなどを入力しないように注意してください。偽サイトにアクセスしただけであれば個人情報はまだ盗み取られていません。むやみに情報を入力せず、また突然送られてきた認証コードなども入力しないよう気をつけてください。

アクセス先でアプリをインストールしない

SMSに記載されているURLにアクセスすると、突然アプリのダウンロードを促されるケースがあります。このアプリをダウンロードしてしまうと勝手にSMSを送ったり、スマホの情報をどこかに送信したり不正行為が行われる可能性があります。

ダウンロードが始まってしまった場合は、すぐに機内モードにしてWi-Fiもオフにして通信を遮断してください。身に覚えのないアプリが保存されていた場合はすぐに削除し、念の為スマホに保存されているパスワードなどの情報を変更しておくと安全です。

スミッシング被害に遭わないためにできる対策

スミッシングは迷惑メールフィルターのような対策が取れないため、自分で対策しなければなりません。ここでは、今からできるスミッシング被害に遭わないための4つの対策をご紹介します。

送信元や内容、URLを確認する癖をつける

スミッシングの被害に遭わないためには、普段から送信元や内容、URLを確認する癖つけることが1番です。登録されていない番号はもちろん、知っている業者であってもメッセージに不審な点がないか確認してみてください。変な日本語やURLだけ送られている場合は、スミッシングである可能性が高いです。

またURLが「https://」から始まっていない場合は、通信が保護されていないサイトとして情報漏えいの危険性があります。アクセスする前に不審なサイトを見分ける有効な方法なので、ぜひ意識してみてください。

提供元が不審なアプリはインストールしない

スミッシングでは個人情報を盗まれる他に、不正アプリをインストールさせてさらに個人を攻撃してくるケースが確認されています。他にもスマホの情報をばら撒かれたり、スミッシングの踏み台にされ不正行為に使われたりしてしまうため注意が必要です。

不正アプリは正規アプリに偽装されているため、気づかぬ内に自分が攻撃者になってしまう可能性もあります。普段からアプリの入手はApp StoreもしくはGoogle Playから行う癖をつけておきましょう。

SMSで届いたURLを安易に開かない

スミッシングの被害から身を守るためにも、SMSに記載されているURLを安易に開くのはおすすめできません。SMSに記載されている偽サイトにアクセスしてしまうと、本物のように作り込まれているため偽サイトと気付きにくくなります。スミッシングで扱われるURLはよく見ると不審なアドレスになっていることが多いため、開く前にしっかりと確認することをおすすめします。

一手間かかってしまいますが、SMSのURLからではなく検索エンジンから本物のサイトにアクセスするほうが安心して利用することができます。

セキュリティソフトを利用する

特におすすめしたい対策方法が、セキュリティソフトの利用です。セキュリティソフトがスマホにインストールされていれば、スミッシング被害からスマホを守ってくれます。

ニフティが提供するセキュリティソフト「常時安全セキュリティ24」は、危険なサイトへの接続が行われようとした際に、警告画面を表示し、フィッシングサイトなど危険なURLへの接続を防止してくれる機能が搭載されています。

また、常時安全セキュリティ24は、1ライセンス7台までインストールが可能なので家族のスマホやパソコンを守れるのもメリットです。

まだセキュリティソフトを導入されていない方は、ぜひこの機会に利用を検討してみてください。

sec24

※機能の詳細や利用料金などは「常時安全セキュリティ24」サイトにてご確認ください。
※2021年5月時点の情報です。
※iOSはウイルススキャンに対応していません。

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり