SMSを使ったフィッシング詐欺が増加！被害事例や対策を解説

SMSではフィッシング詐欺の被害が多発しています。SMSは電話番号を使って送信できるので、なりすましによる詐欺に使いやすい性質を持っています。ただ、SMSによるフィッシング詐欺は対策が可能です。この記事ではSMSでのフィッシング詐欺の典型例を紹介した上で、詐欺対策の方法について個人・法人の両方の視点から詳しく解説します。なりすましによるSMSフィッシング詐欺は対策しやすいので基本を理解して身を守っていきましょう。

SMSを使ったフィッシング（スミッシング）とは？

スミッシングはSMSを使用するフィッシング詐欺のことです。フィッシングではメールが使用されるのが典型的でした。しかし、携帯電話番号で簡単に送信できるSMSでのフィッシングが近年では横行し、公共団体や配送業者、クレジットカード会社や金融業者などを装っているケースが多くなっています。SMSに記載されている短縮URLをタップするとフィッシングサイトに誘導されてしまい、大きなトラブルに繋がります。

関連リンク：フィッシング詐欺とは？対策や手口について解説！

SMSを利用したなりすましによるフィッシング詐欺が増加

フィッシング詐欺はネットワークを通じて個人情報などを騙し取る詐欺行為で、Eメールを利用する方法が初期には多発していました。近年ではSMSによるなりすましでフィッシングをする詐欺が登場して被害が増加しています。偽サイトへのURLリンクをSMSに記載し、メッセージの内容から「タップして確認しなければならない」と思わせるように巧妙に作られているのが特徴です。

フィッシング対策協議会の月次報告書によると、2021年7月の時点で34,787件だった被害報告件数が2022年3月には82,380件に急増しました。その後も増加を続け、2022年7月には107,948件に達しています。フィッシング詐欺についての理解が浸透した影響もあってフィッシングの報告件数は減少し、2023年1月に38,269件まで減りました。しかし、2023年3月には77,056件まで再び増加しています。

参照：フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書

関連リンク：フィッシング詐欺とは？対策や手口について解説！

フィッシング詐欺が増えた理由は？

フィッシング詐欺が増加した理由は2つあります。1つ目はネットワークの活用が一般に普及したことです。ECサイトやネットバンキングなどのオンラインサービスの利用時に電話番号やメールアドレスで認証することが多くなりました。SMS認証も日常的に行われるようになり、SMSには本人に紐づいた情報が届くという認識も広まっています。その心理を逆手に取って詐欺を成功させようという悪質な手口が増えています。

2つ目の理由は、SMSの国際網を悪用する手口が広まったことです。SMS送信には国内キャリアから発信するサービスと、海外キャリアの国際網を使用するサービスがあります。国際網ではアルファベットや電話番号を自由に設定できるため偽装しやすく、なりすましをしやすいので詐欺に使われるようになっています。詐欺師にとって使いやすいサービスが見つかると新しい手口が生まれるため、詐欺行為が横行しているというのが実態です。

SMSを利用したフィッシング詐欺の被害事例

SMSによるフィッシング詐欺には典型的なパターンがあります。ここではSMSによるフィッシング詐欺の被害事例を紹介します。

宅配便の再配達を促す

宅配便の配達のなりすましによるフィッシング詐欺の被害があります。SMSで再配達の依頼をする偽URLが送られてくるというのが手口です。ECサイトでの商品購入やテレフォンショッピングなどの利用が増えていることに加え、宅配便でお中元やお年賀などを送ることも多くなりました。受け取る側としては在宅でないときに荷物が届いてしまったら再配達を依頼するでしょう。

リンク先ではランサムウェアがインストールされたり、本人確認として住所などの情報入力を求められたりします。自宅で不在票の有無を確認できれば詐欺かどうかを判断できますが、外出先でSMSを受信したら、とりあえず再配達を申し込もうとURLをタップしてしまい、被害に遭うというのが典型的です。

金融機関の暗証番号の更新を促す

金融機関になりすまして暗証番号などの更新を促す手口があります。口座を持っている銀行や信用金庫からSMSが届いたら信用してしまうでしょう。「暗証番号の有効期限が切れるので更新しないと○月×日から利用できなくなります」といったように、暗証番号の更新を催促し、偽URLのリンク先で暗証番号を奪い取るのが典型例です。

また、「○日間ログインされていません。○月×日までにログインしなければアカウントを一時停止いたします」といった内容のSMSフィッシング詐欺もあります。URLのリンク先でログイン情報を入力すると、IDとパスワードを盗み取られてしまうという手口です。

クレジットカードや通信料の支払いを催促する

クレジットカード会社や通信会社になりすまして料金の支払いを催促するフィッシング詐欺もあります。「今月の支払いが確認できていません」といった内容から始まり、オンラインで今すぐ支払わなければクレジットカードや通信サービスの利用を停止するというのが典型的な手口です。偽URLリンクがSMSに記載されていて、タップするとランサムウェアがインストールされたり、クレジットカード情報の入力を求められたりします。

特にキャリアからSMSが届いたら信用してしまうでしょう。docomoではSMSでのなりすましにより、dアカウントのログイン情報やdカード情報を不正利用された被害もあります。キャリアでは注意喚起をしていますが、それでも被害が後を絶たないのが現状です。

参照：
ドコモを装ったフィッシングSMSにご注意ください！（2021年12月9日更新） | お知らせ | NTTドコモ
ソフトバンクを装った不審なSMSやメールに関するご注意 | スマートフォン・携帯電話 | ソフトバンク
フィッシング詐欺にだまされないために | 安心・安全に利用する | au

通販サイトを装い偽サイトへ誘導する

有名な通販サイトからの連絡を装うSMSやメールによるフィッシングが多発しています。楽天市場やAmazonなどのECモールから連絡が届き、クレジットカード情報や個人情報についての登録情報の更新を促すのがよくあるパターンです。支払い方法に問題がある、会員の自動更新設定が解除されたといった通知が届くこともあります。支払い方法が認証されず、未納金があるといった連絡を受けることもあります。

また、キャンペーンやサービスの登録を促すフィッシングもあります。このURLからログインすればお得な特典を受けられるという内容です。「このメールを受け取った人限定」といった件名になっていることもあるのでついクリックしてしまいがちです。

SMSのフィッシング詐欺をする理由

SMSによるフィッシング詐欺をするのは情報を取得したいからです。フィッシング詐欺が横行している理由を簡単に解説します。

ID・パスワードを取得するため

インターネットサイトやオンラインバンキングなどのID・パスワードを取得するのがフィッシング詐欺をする代表的な理由です。不正ログインをして情報を抜き取ったり、口座の預金を盗まれたりするリスクがあります。

氏名や連絡先の個人情報を手に入れるため

氏名、住所、電話番号、メールアドレスなどの個人情報を揃えて入手するのもフィッシング詐欺の目的です。個人情報は詐欺に利用できるだけでなく、ダークウェブやリスト業者などへ売って悪用する方法もあるため狙われやすくなっています。

クレジットカード情報を手に入れて使うため

フィッシング詐欺ではクレジットカードの番号や有効期限、セキュリティコードなどを取得するのも目的です。クレジットカードの不正利用をしたり、ダークウェブで販売したりして儲けたいというのが典型的な理由です。

SMSのフィッシング詐欺を確認する方法

SMSがフィッシング詐欺かどうかは確認可能です。ここでは怪しいSMSが届いたときになりすましかどうかを確認する方法を紹介します。

送信元の正しさを確認する

SMSは送信元の情報が必ず表記されているので確認しましょう。電話番号が存在するか、フィッシング詐欺に使われている電話番号でないかを調べるのがまず大切です。フィッシング詐欺は多数の個人をターゲットにするので、詐欺だと見抜いた人がいればインターネット上に情報があります。電話番号を入力してインターネット検索するだけでわかる簡単な方法です。

送信元の情報は直接コールセンターなどに問い合わせて確認することもできます。大手企業なら自社名を使用しているフィッシング詐欺が出てくると注意喚起のページを用意していることが多いので、「会社名　フィッシング詐欺」といったキーワードで検索をするのも効果的な確認方法です。

URLの内容を確認する

SMSによるフィッシング詐欺では偽URLが記載されています。短縮URLの場合でも信頼性を確保するためにドメイン名は企業名と同じになるようにしていることがよくあります。ドメイン名にスペリングミスがあったら偽URLです。アルファベットの文字の重複や抜けを確認して、誤っていたらフィッシングSMSだと考えましょう。

怪しいSMSの内容をインターネットで検索する

フィッシング詐欺ではないかと疑われるSMSが届いたときには、メッセージの一部をインターネット検索して確認するのも効果的です。短縮URLをアドレスバーに入れてしまうとリンク先にアクセスしてしまうことになるので注意が必要ですが、メッセージ部分と合わせて検索すると同じSMSを受け取った人の口コミを見つけられます。

フィッシング詐欺のSMSはSNSの投稿やブログの記事でよく引用されています。企業や公的機関が具体例として掲載していることもあるので、インターネット検索を使って探すと多発しているSMSフィッシング詐欺は簡単に確認可能です。電話番号で検索できないSMSだったとしても安全性を調べられる方法です。

SMSのフィッシング詐欺にあわないためには？

フィッシング詐欺の被害に遭わないためにはSMSによる詐欺の特徴に合わせた対策が必要なので、基本的なポイントを解説します。

安全性が確認できるまでURLはタップしない

SMSのフィッシング詐欺は「すぐにURLをタップしたい」と思わせるように悪意のある工夫が凝らされています。つい直感的にURLをタップしてしまいがちですが、SMSが企業から届いたら安全性が確認できるまではタップしないと心に決めるのが重要です。

良心的な企業からのSMSによる通知だったとしたら、「すぐに対応しなければならない」というプレッシャーを与えるような内容にすることはほとんどありません。事前通知をしてくれるのですぐにURLのリンク先を確認しなければならないようなことはないでしょう。まずは冷静になって安全性を確認することから始めるのが大切です。

セキュリティアプリを入れておく

フィッシング詐欺対策としてセキュリティアプリをインストールするのは安全性が高い方法です。安全なSMSだけをフィルターして届くようにしたり、URLのリンク先でランサムウェアなどのマルウェアがインストールされるときにブロックしたりする機能があります。

セキュリティアプリはサブスクリプションで継続的な費用がかかりますが、フィッシング詐欺対策として信頼性があります。怪しいSMSが届いたときに毎回詳しく確認するのが大変だと感じたら、セキュリティアプリを使えばフィルターをかけられるので手間を減らすことが可能です。うっかりURLをタップしてしまったときにも被害に遭うリスクが減ります。

スマートフォンのアップデートを怠らない

スマートフォン本体についてもアップデートをしておくのが大切です。スマートフォンのOSやシステムのアップデートは脆弱性の改善などのセキュリティ対策が多くなっています。最新の状態にしておくとランサムウェアが自動インストールされたときにも被害に遭わずに済む可能性が高くなります。

利用しているブラウザアプリにもセキュリティ対策があるのでアップデートして最新時の状態にするのが重要です。SMSのURLをタップしたら、ブラウザアプリが開いてリンク先が表示されます。セキュリティリスクの高いサイトへのアクセスに対して、アラートを出したりブロックしたりする機能があるので、フィッシング詐欺の被害に遭うリスクを低減できます。

法人がすべき迷惑SMS対策

法人がSMSを本人認証やマーケティングなどに利用する際には迷惑SMS対策が必要です。

企業にとってSMSは、顧客認証やマーケティング戦略など様々な目的で使用されます。しかし、その一方で迷惑SMS対策を怠ると、企業の信頼性やユーザーの利便性が脅かされます。そこで、以下に具体的な対策をまとめました。

国内キャリアのSMS送信サービスを活用しよう

まず、SMSの到達率を高めるためには、国際網ではなく国内キャリアの直収SMS送信サービスを利用することが推奨されます。なぜなら、国際網経由のSMSは自動フィルタリングされてブロックされるケースが増えているからです。また、電話番号をユーザーに事前に通知し、その信頼を得ることも重要です。

SMS送信に公式の共通番号を使用しよう

次に、企業がSMS送信の際に「詐欺だ」と誤解されないためには、共通番号の使用が効果的です。「共通番号」とは、「0005」から始まる最大10桁の番号で、大手3キャリアによる審査を通過した信頼性の高い企業だけが使用できます。

企業が自身のウェブサイト等でこの共通番号を公表すれば、ユーザーに安全にメッセージを届けるだけでなく、「なりすまし」によるSMSの悪用を防ぐことが可能です。さらに、ユーザーはSMSの送信元番号を容易に確認でき、フィッシング詐欺などのリスクを軽減することができます。

このように、企業が適切な迷惑SMS対策を行うことで、ユーザー体験を向上させ、企業のブランド価値を保つことができます。

「＋メッセージ」活用法：ユーザーの信頼を得る新たなメッセージング戦略

企業がSMSの送信に「共通番号」を利用することは、メッセージの信頼性を確保する上で有効な手段です。しかし、さらにユーザーの信頼を獲得し、リッチなコンテンツを安全に配信するための方法として、「＋メッセージ」の活用をお勧めします。

「＋メッセージ」は、メッセージの開封状況の追跡や、長文、画像、動画などのリッチコンテンツの送信が可能なサービスです。さらに重要な点として、送信元となる企業の公式アカウントには「認証済みマーク」が表示されます。これにより、なりすましによるフィッシング詐欺からユーザーを守ることができ、その判断を容易にします。

＋メッセージの活用は、企業とユーザーのコミュニケーションを安全かつ効果的に行う新たな手段となり得ます。詳細についてはこちらをご参照ください。

関連リンク：SMSの迷惑メールはなぜ来る？拒否方法と対策についてキャリア・デバイス別に解説！

正規なSMSとして安全にSMSを送信するなら「KDDI Message Cast」

KDDI Message Castは法人がSMS送信を活用するのにうってつけのサービスです。国内大手のキャリアを使用しているので迷惑SMSとして処理されるリスクが低く、高い到達率・開封率を実現しています。送信元番号を指定することも、キャリア共通番号を利用することもできるため、顧客にSMSの送信元の電話番号を一義的に伝えられます。

また、KDDI Message Castでは、「＋メッセージ」のアプリがインストールされていないお客さまには自動的に共通番号を用いたSMSを送信でき、より一層ユーザーの安心に配慮したメッセージ送信が可能です。

まとめ

電話番号を宛先にして送信できるSMSは、なりすましによるフィッシング詐欺によく使われるようになりました。被害が増えている状況を考えると、個人はSMSの詳細確認とセキュリティ対策をすることが重要と言えます。法人としては迷惑SMSとして処理されてしまって届かないというトラブルが起こらないように対策することが必要です。KDDI Message Castなら国内大手キャリアの回線で信頼性のあるSMS送信ができます。

共通番号やプラスメッセージを活用することで安心安全をお客様に認知させることが可能です。