ダウンロード
Whoscallダウンロード

スミッシングってなに?被害事例やその手口・対策方法をご紹介

詐欺対策
2021-04-20 | Whoscall

目次


詐欺の一つに、SMS のショートメッセージを利用した「スミッシング」という手口があります。

このページではスミッシングについて、手口や実際に起こった被害の事例、対策方法を紹介していきます!

▶安心生活を手に入れる、電話番号通知・迷惑電話/SMS 対策アプリのWhoscallはこちら

スミッシングとは

スミッシングとは、SMS のショートメッセージを受信した人をフィッシングサイトへ誘導する手口のことです。
「スミッシング」は「SMS」と「フィッシング」の 2 つを合わせた言葉になっています。

最近ではオンラインサービスの認証で、SMS 認証が利用されるケースが増えてきています。たとえば Twitter や Facebook などにログインするときに、スマホに認証用の確認コードが送信されたことがある人は多いと思います。

スミッシングを仕掛ける攻撃者は、このようなオンラインサービスのアカウントになりすましてメッセージを送信してきます。

そのメッセージには URL が記載されていて、誘導されるままに URL をクリックすると、フィッシングサイトに誘導されてしまいます。

フィッシングサイトには不正なスマホアプリをダウンロードさせるページなどがあります。オンラインサービスの公式サイトとそっくりに作られたフィッシングサイトもあるので要注意。

スミッシングの手口

スミッシングは具体的にどのような手口なのか、見てみましょう。
スミッシング次のような流れで行われます。

  1. 攻撃者がメッセージを送信する
  2. 受信者がメッセージを確認して、メッセージ内の URL をクリックする
  3. URL のリンク先のサイトで情報を入力させられる、もしくは不正アプリをダウンロードさせられる
  4. 情報が盗まれる

    スミッシングの事例

    スミッシングはどんなものなのか、その事例を見てみましょう。

    架空請求通知を装う手口

    スミッシングの事例として「架空請求」があります。
    架空請求では「支払わないと法的手続きをする」というような文句で脅してきます。
    このようなことを言われるとあわててしまいますが、あわてて支払ってしまわないように注意しましょう!

    具体的には、下記のような宅配業者・大手 EC サイトからの架空請求が報告されています。
    「ご登録の月額料金が未納となっております。裁判手続きに移行する案件のため、至急ご連絡下さい。アマゾンカスタマーセンター03-5931-4366」

    覚えのない支払いを請求されたら、まずは落ち着いて、そのメッセージが公式のものかどうか確認してみてください。

    金融機関を装う手口

    銀行などの金融機関になりすましたスミッシングの事例もあります。
    金融機関というのは、銀行、証券会社、保険会社などです。

    金融機関のスミッシング事例では、口座のログイン情報を盗み取ろうとしてきます。
    送られてくるメッセージに URL が載っていて、この URL にアクセスすると金融機関の公式サイトにそっくりに作られた偽サイトに移動させられます。

    具体的な手法としては、下記のような連絡が金融機関から送られてきていることが報告されています。
    「お客様のJCBカードに対し、第三者からの不正なアクセスを検知しました。必ずご確認ください。https://ip.bank/xxxxx」

    偽サイトで銀行口座のログイン情報を入力すると、入力した情報を盗まれてしまいます。
    こうして盗まれた銀行口座のログイン情報を使って、口座を不正利用されるなどの被害が発生しているんです。

    また、最近では金融機関だけでなく大手 EC サイトなどを装ったスミッシングも同様の手口が報告されています。例えば下記のような文章です。
    「Amazon利用規約違反により、アカウントが一時停止 されています。必ずご確認 ください。https://odn.xxx.xxxx」

    くれぐれも URL をクリックしたり、自分の情報を入力したりしないでください!

    スマホのキャリア会社を装う手口

    スマホを契約しているキャリア会社になりすましたスミッシングの事例もあります。
    たとえば au、ソフトバンク、ドコモなどのキャリア会社です。

    具体的には、実際に行っているセキュリティ強化サービスを装って偽サイトに誘導し、不正アプリをダウンロードさせる手法や、金融機関同様に大手キャリア決済方法のログインパスワード入力を装うスミッシングが報告されています。

    「当選したので手続きをしてお受け取りください」などの誘導メッセージが送られてきます。
    「あやしい…」と思ったらすぐに本当かどうか公式サイトで確認してみてください。
    そのときに同じようなスミッシングの事例がないか確認してみましょう。

    宅配業者の不在通知を装う手口

    宅配業者になりすましたスミッシングの事例もあります。
    たとえばクロネコヤマト、佐川急便などです。

    家を留守にしているときに注文した商品が家に届くと「お届けに参りましたが不在だったため、商品を持ち帰りました。下記 URL よりご確認ください」というメッセージがきますよね。

    スミッシングでは宅配業者になりすまして、このようなメッセージを送ってきます。

    宅配業者だと思って URL をクリックすると、カチッとクリックするだけで情報を盗まれたり、不正アプリがダウンロードされたりすることも。

    スミッシングの対策方法

    スミッシングによる被害を防ぐためには、どうすればいいんでしょうか。
    スミッシングへの対策方法についてチェックしておきましょう。

    身に覚えの無いメッセージは反応しない

    身に覚えの無いメッセージがきても、反応せずに無視しましょう。
    返信するともっとたくさんスミッシングのメッセージが届いてしまう可能性があるので、返信しないようにするのがおすすめ。

    【関連記事】迷惑メールに返信してしまったらどうなる?その危険性と対策方法をご紹介

    利用しているサービスからのメッセージだと思っても、スミッシングの攻撃者が公式サービスになりすましている可能性があります!
    本当に公式サイトからのメッセージなのか、アドレスや URL などを見てチェックしましょう。

    日本語が不自然なものは無視

    日本語が不自然なメッセージがきたら、外国人によるスミッシング詐欺である可能性大なので、無視しましょう。
     詐欺メッセージは、外国人によるもので、日本語が不自然な場合が多いんです。
    しかし日本語に違和感がない場合も、中には日本人の攻撃者からの詐欺メッセージもあるので要注意!

    URLをよく確認する

    公式のサービスになりすましたスミッシングの詐欺メッセージも、URL を確認すれば見分けることができます。

    しかし公式のサービスになりすました URL もあるので要注意です!
    公式のサービスになりすました URL には、たとえば次のようなものがあります。

    • 三菱UFJの例
      「正:https://www.bk.mufg.com/」「誤:https://www.bk.mufg.com/」

    URL はむやみにクリックしないようにして、クリックしてしまっても URL 先のサイトで情報を入力したりしないようにしてください。情報入力が必要な場合は、まずスミッシングなどの詐欺を疑って、慎重に行いましょう。

    【関連記事】なりすましショートメールの事例やその対策方法は?騙されないためにすること

    スマホの状態を常に最新に

    スマホをこまめにアップデートするようにして、常にスマホを最新のセキュリティにしておきましょう。

    アップデートすると、セキュリティの穴をふさいでスミッシングなどの詐欺メッセージの攻撃をブロックできますよ!
    Android や iOS といった OS や、各種アプリをこまめにアップデートして常に最新の状態にして利用しましょう。

    なるべくリンク先の誘導に従わない

    なるべく URL をクリックしたりせず、アプリなどをダウンロードまたは更新する際は、App store や Google play から行うようにします。

    スミッシングでは、URL をクリックして移動させられたリンク先のサイトで「ログイン情報を入力してください」や「今すぐアプリをダウンロード」というように誘導してきます。
    ログインは必ず公式サイトやアプリから行うようにしてください。

    このように何か誘導されてもすぐに従わないで、まずは詐欺を疑いましょう。

    Whoscallの迷惑SMSフィルタリング機能

    スミッシングなどの詐欺対策には「Whoscall」というアプリが便利です。

    中でも Whoscall の新機能「SMSアシスタント」がおすすめ。
    新機能「SMSアシスタント」では、スミッシングなどの詐欺メッセージを拒否できるんです!

    SMSアシスタントでは、Whoscall のデータベースを使って詐欺メッセージを判別して、詐欺メッセージを自動でフィルタリングします。
    詐欺メッセージを独自のデータベースで参照して、特定のキーワードを含む SMS メッセージをブロックしフィルタリングしています。

    Whoscall が自動でスミッシングなどの詐欺メッセージをフィルタリングしてくれるので、迷惑メッセージかどうか確認する必要もなくなってストレスから解放されますよ!

    迷惑 SMSメッセージを自動的にフィルターできる「SMSアシスタント」についてはコチラはご参照ください。

    スミッシングに騙されないようにしよう

    ここまでスミッシングについて、手口や実際に起こった被害の事例、対策方法を紹介しました。
    スミッシングでは SMS のショートメッセージを利用して詐欺メッセージを送ってきます。

    とりあえず、よくわからない URL は基本的にクリックしないようにしましょう!
    スミッシングの詐欺にあわないようにするために、ぜひこのページで紹介した対策をしてみてください。