スミッシングとは？主な手口やリスク、被害事例、有効な対策を徹底解説

スミッシングとはフィッシング詐欺の一種で、大きな被害も生まれてきています。スミッシングによる被害がどこから発生するのか、対策の方法はあるのかが気になる方は多いでしょう。スミッシングは適切な対策をすればリスクを最小限に抑えることが可能です。この記事ではスミッシングとは何かを被害事例も合わせて詳しくご紹介します。詐欺の被害に遭わないための効果的な対策も解説するので、リスクを回避できるようになりましょう。

スミッシングとは何か？

スミッシングとはSMSを使うフィッシング詐欺です。「smishing」の日本語訳で、「SMS」＋「phishing」という形で作られた言葉です。スミッシングはSMSで相手にショートメールを送り、フィッシングサイトなどにアクセスさせてIDやパスワードなどを入力させて盗み取るなどの詐欺行為を指します。

スミッシングの主な手法

スミッシングではSMSでURLのリンク先を送るのが主な手法です。URLのリンク先がフィッシングサイトになっていて、IDやパスワードを入力すると盗み取られたり、マルウェアのアプリをダウンロードさせられたりします。マルウェアの場合には入力した情報だけでなく、スマートフォンに入っている連絡先情報や決済情報なども盗まれる場合があります。

また、スミッシングではSMSを送信して受信し、開封したことを確認して電話番号が存在することを確認している場合もあります。携帯電話番号は「0x0-xxx-xxxx」のパターンなので8つの数字をランダムに組み合わせてブルートフォース攻撃をすることが可能です。このようなアプローチで存在する電話番号をリストにして、リスト業者に売るというスミッシングもあります。

関連リンク：ブルートフォース攻撃とは何か徹底解説！仕組みやリスク、有効なセキュリティ対策を紹介（今回対策の「ブルートフォース攻撃」の記事URLを設置）

スミッシングによる影響・リスク

スミッシングを受けると携帯電話番号やログイン情報、スマートフォンに入っている個人情報などが盗み取られるのが典型的です。クレジットカード情報が盗まれてしまって不正利用されるリスクもあります。スミッシングによってマルウェアがインストールされてしまうと、新たに入手した友人の連絡先もずっと盗まれ続ける場合もあります。

また、スマートフォンの認証情報を書き換えられて乗っ取られてしまい、ロックされたまま使えなくなるケースもあります。ロックを解除できずに苦労している間に電話番号を悪用されて不要なサービスに登録されてしまうリスクもあります。

スミッシングの被害を受ける原因は？

スミッシングの被害が広がっているのは安易に信用してしまう人が多いからです。メールでのフィッシング詐欺はだんだんと知られるようになり、怪しいメールは開かない、URLのリンク先にアクセスしないという人が増えてきました。

しかし、SMSでは「自分の携帯電話番号を知っている人は限られている」という認識があって、通知があったらすぐに開こうとしがちです。スマートフォンでは通知設定をオンにしていると、SMSの冒頭のテキストはすぐに見えます。

「支払いが遅れています」「本人認証の更新手続きの期日が迫っています」「アカウントの継続のために認証が必要です」などといった形で、すぐに対応しなければならないメッセージだったならつい開いてしまいます。「手続き先はこちら」と記載されたリンクのURLが書かれていたらタップするでしょう。このように心理的に焦らせる手口を使ってスミッシングをしていることが多いため、被害を受ける人が多くなっています。

スミッシングの被害事例

スミッシングの被害事例として近年増えているのが宅配業者やECサイトの運営会社を装う詐欺です。例えば、2023年3月には佐川急便でスミッシングに関するお知らせが公開されています。

出典：https://www2.sagawa-exp.co.jp/whatsnew/detail/721

「ご本人様不在通知為お荷物を持ち帰りました。ご確認くださいhttps://sagawa-exp.XXXX/」といったSMSが届くのが典型例です。実際に佐川急便の公式サイトを見ると「https://www.sagawa-exp.co.jp/…」というアドレスになっています。このように紛らわしいアドレスにすることでタップさせている事例が目立ちます。

参照：佐川急便を装った迷惑メールにご注意ください｜お知らせ
https://www2.sagawa-exp.co.jp/whatsnew/detail/721

スミッシングの効果的な対策5選

スミッシングは概要を理解して対策をすればリスクを最小限に抑えられます。ここでは具体的なスミッシング対策を紹介します。

WEBサイトの「URL」が公式のものか確認する

スミッシングではSMSにURLが記載されています。その「URL」が公式サイトと一致するかどうかをまずは確認しましょう。安易にSMSに記載されているURLをタップせずに、そのURLをコピーして検索したり、送り主の企業の公式サイトから必要なページにアクセスしたりするのが安全策です。

SMSでは短縮URLを使用していて、見た目ではURLが正しいかどうかがわからないこともあります。SMSに記載されているURLが怪しいときにはすぐにタップせずに、公式サイトにアクセスして手続きができるかどうかを確認したほうが良いでしょう。

問い合わせは公式の窓口から行う

そもそもそのSMSが本物なのかどうかを確認するために問い合わせをするのは重要な対策です。身に覚えのない請求をされたり、荷物の受け取りの予定がないのに宅配業者から連絡があったりしたときには特に注意が必要です。

公式サイトの問い合わせ窓口から連絡して事実を確認しましょう。SMSに記載されている問い合わせ窓口をそのまま使うとスミッシングの被害に遭うリスクがあるので、公式サイトで問い合わせ先を確認することが大切です。

社内・組織内でスミッシングについて周知徹底する

企業ではスマートフォンを貸与して業務に使用したり、SMSを社内連絡に使ったりしている場合があります。スミッシングについての理解を社員に浸透させて、マルウェアによる情報漏えいなどのトラブルを避けることは重要な対策です。情報リテラシー教育を定期的に実施して理解を徹底させましょう。

フィッシング詐欺を知っていても、SMSによるスミッシングが横行していることは知らない人もいます。スミッシングの手法や被害事例を取り上げて社内研修をしたり、eラーニングを実施したりして周知するのが効果的な対策です。

セキュリティ担当・情報システム部に相談する

企業でスミッシングの被害リスクを減らすには、セキュリティや情報システムの担当者や担当部署を置いて、従業員が自分でタップすべきかどうかを判断しないようにすることが重要です。取引先を偽っているスミッシングのSMSが届き、「納品が遅れているからURLリンク先に現況を報告して欲しい」と書かれていたらついタップしてしまいます。

SMSが届いたときに自分だけで考えていると判断を誤ります。冷静な判断ができないように工夫してメッセージが書かれているからです。セキュリティ部署の担当窓口を用意し、すぐに相談するフローを作って対策すれば冷静に対処できます。

メールに届いたURLをクリックしない

スミッシングの被害に遭わないためには、SMSで届いたURLをタップしないことが重要です。見た目では全然問題がなさそうに見えたとしても、URLの文字が「0（数字のゼロ）」と「O（英語のオー）」で違っているためにフィッシングサイトに誘導されてしまうということもあります。基本ルールとしてSMSに記載されたURLには触れないようにするのはリスクを最小限にできるスミッシング対策です。

企業で社内連絡としてURLを送付する必要がある場合には、あらかじめURLを送ることを伝えるようにルール化しましょう。事前連絡がなかったときにはセキュリティ部署に問い合わせるといったフローを作っておけば安心です。

フィッシングなどの詐欺にも注意を

スミッシングはフィッシングの一つで、あくまでSMSを使っている詐欺行為を指す言葉です。実際にはメールやサイトを使用しているフィッシング詐欺も多発しています。スミッシングについて注意喚起をし過ぎたために、メールは安心と誤解してフィッシング詐欺に遭うリスクもあります。あらゆるサイバーリスクを考えて対応できるように情報リテラシーを身に付けることが重要です。

スミッシングのような新しいITの脅威は、次々に生まれてくる可能性があります。セキュリティについての意識は常に持ち、最新の情報を取得して理解することが必要です。企業ではセキュリティ部署を置いて最新情報の収集と周知に努めて、新しい詐欺への対応も常に求めていくことが大切です。

関連リンク：フィッシング詐欺とは？対策や手口について解説！https://sms.supership.jp/blog/sms/phishing_sms/

法人向けSMS送信サービスなら「KDDI Message Cast」

スミッシング被害が広がっていることを考慮すると、企業ではSMSの活用について不安を抱くかもしれません。しかし、SMSは個人とのつながりを築き上げることができる便利なツールです。SMS送信サービスを導入して一括管理すると、従業員が個別にSMSを顧客に送るよりも信用を得やすくなります。スミッシングに不安を持っている顧客ともコンタクトを取りやすくなるので、簡単に導入できるKDDI Message Castの導入を検討してみてください。

まとめ

スミッシングはSMSを使用するフィッシング詐欺で、主にURLリンク先に誘導して情報を盗み取っています。SMSの活用が広がったことを受けて狙われるケースが増えてきているため、企業としても個人としても対策が必要です。基本的にはSMSに記載されているURLはタップしないと考えましょう。その上で内容を公式サイトから確認して必要な対応を取るようにすれば被害に遭うリスクを抑えられます。企業ではSMSの安全性を重視して使い方を検討していくことが大切です。

▼KDDI Message Cast（KDDIメッセージキャスト）詳しくはこちら
https://sms.supership.jp/