SMSを用いたフィッシング詐欺「スミッシング」とは何か？見分けるポイントも解説

iPhoneにある日突然、宅配便の不在通知のようなSMSが届いた経験はないでしょうか。最近では、お店の予約確認やWebサービスの認証コードの送付などでSMSが利用されるケースが多いことから、一見すると正常なSMSと混同しがちですが、実は新たなフィッシング詐欺である「スミッシング」の可能性もあります。

今回の記事では、近年急増しているSMSによるフィッシング詐欺の手口や、見分けるポイント、不審なSMSが届いた際の対処法などもあわせて紹介します。

フィッシング詐欺・スミッシングとは

情報セキュリティの分野に精通している方であれば、フィッシング詐欺という言葉は何度も耳にしていると思いますが、それ以外の方は「言葉は聞いたことはあるものの、詳しい内容までは分からない」という方が大半ではないでしょうか。そこで、まずはフィッシング詐欺とはどのようなものなのか、基本的な内容から解説します。

フィッシング詐欺とは、信頼性のあるWebサイトやメールなどになりすまし、ユーザーからさまざまな情報を盗み取る手口のことを指します。たとえば、大手のネット通販サイトやメガバングが運営しているネットバンキング、大手SNSなどと酷似したログイン画面を作成し、何らかの手段でフィッシングサイトへ誘導します。ユーザーは本物のサイトだと錯覚しているので、そこでID・パスワードを入力してしまうとフィッシングサイト側にアカウント情報が漏れてしまいます。

フィッシングサイトの管理者は、不特定多数のユーザーから得た情報をさまざまな形に悪用し、最悪の場合ユーザーに対して金銭的被害が及んだり、個人情報が抜き取られたりといったことも発生する可能性があります。

通常、GoogleやYahoo！といった検索サイトでECサイトや大手銀行のネットバンキングを検索したとき、フィッシングサイトはトップに表示されることはありません。しかし、他のサイトに貼られているリンクや、メールおよびメッセージ、SNSなどに記載されたURLを選択することでフィッシングサイトにジャンプするケースもあります。

現在問題になっているiPhoneに届くSMSは、まさにフィッシングサイトへの誘導を目的として不特定多数のユーザーに送られており、SMS×フィッシングで「スミッシング」とよばれています。

SMSで届くフィッシング詐欺メールの例

では、実際にiPhoneのSMSに届くフィッシング詐欺メールはどのようなものがあるのでしょうか。いくつかの事例を紹介します。

「○○より　お荷物のお届けにあがりましたが宛先不明のため持ち帰りました」

「○○より　利用料金のお支払い確認がとれていません」

いずれのメール文面も、実在する企業やサービスの名前が冒頭にあり、ユーザーを信頼させる巧妙な手口となっています。また、上記の文面の後には必ずURLが添付されており、そこにアクセスするとログイン画面や偽サイトが表示されるようになっています。

フィッシングサイトの作りは極めて巧妙で、本物のサイトと見比べてもどちらが偽物なのか判断が難しいです。そのため、何の疑いもなくIDやパスワード、その他個人情報を入力してしまうと、フィッシングサイトの管理者へ情報が漏れてしまい非常に危険です。

フィッシング詐欺を見分けるポイント

上記で紹介したフィッシング詐欺メールとは別に、正常なメールが届く場合もあります。中には極めて重要なメールもあることから本物と偽物を見極めるコツを身につけておく必要があるでしょう。特に重要なポイントとして挙げられるのは、正規のURLであるかということです。

たとえば、大手宅配業者やECサイト、通信事業者などから届くSMSには正規のドメインが使用されています。しかし、フィッシングサイトへの誘導を目的としたURLは、見覚えのないランダムな英数字の羅列になっていたり、正規のドメインの一部を変更したりするなどして見分けがつきにくいものもあります。

企業やWebサービスによっては、SMSで届くURLのドメインを公開しているところもあるため、正規のURLであるかをあらかじめ確認したうえでアクセスしましょう。

また、フィッシング詐欺メールの中には、そもそも社名やWebサービス名が明記されておらず、どこから届いたSMSなのかが分からないものも存在します。そのようなSMSは、ほとんどがフィッシングサイトへの誘導を目的としていると考えて良いでしょう。

ちなみに、大手通信キャリアではSMSによるフィッシング詐欺の注意喚起に関する情報を公開しており、この中で正規ドメインを紹介しています。スミッシングの中でも携帯電話料金や契約内容に関するSMSが多く見られるため、ぜひ参考にしてみてください。

NTTドコモの注意喚起

KDDIの注意喚起

ソフトバンクの注意喚起

フィッシング詐欺メールが届いたときの対処法

SMSでフィッシング詐欺と思われる怪しいメールが届いた場合、どのように対処すれば良いのでしょうか。まず、発信元が不明なSMSや、正規のドメインではないURLが記載されているなど、明らかにフィッシング詐欺と判断できる場合には無視することが一番です。万が一、URLにアクセスしたからといって、ユーザーに関する情報を入力していない限りは個人情報が漏れることはありませんが、無用なトラブルを避けるためにもメールは無視し、即削除して問題ありません。

しかし、中には正規のドメインが分からないなど、判断が難しい場合もあるでしょう。そのような場合には、SMSに添付されてきたURLには直接アクセスせず、ブックマークなどから公式のサイトへアクセスしてみましょう。どうしても不安であれば、カスタマーサービスなどへ電話で問い合わせる方法もあります。

特に注意すべきなのが、注文した覚えがないにもかかわらずECサイトの名前でSMSが届いたり、荷物が届く予定がないのに宅配便業者の名前でSMSが届いたりするケースです。身近なサービスであるからこそ、安易にアクセスし情報が盗み取られないように細心の注意を払いましょう。

不正アクセスや詐欺の手法は年々巧妙化

iPhoneはPCと異なり、セキュリティソフトをインストールする必要がなくセキュリティ対策は万全であると認識している方も多いと思います。しかし、そもそも不正アクセスの手口はウイルスやマルウェアだけではなく、ユーザー自身を巧妙に騙す手法にシフトしてきています。

インターネットを利用する以上、悪意のあるユーザーは少なからず存在し、誰もがそのターゲットとなり得ることは理解しておく必要があります。まずは基本的な対策として、今回紹介したフィッシングサイトの見分け方や対処法を覚えておき、いざという時には実践できるようにしましょう。