近年でも被害報告がされている「スミッシング」というサイバー攻撃をご存知でしょうか?スミッシングとは、SMSを利用したフィッシング詐欺のことを指します。スミッシングの主な手口・手法としては以下のようなものが挙げられます。
- マルウェアを仕込んだアプリをインストールさせる
- 不審なリンクを含むSMSを送り、個人情報を盗むための偽サイトに誘導する
- 金融機関や公的機関を装い、個人の金融情報やパスワードを盗み出す
これらの手口・手法から被害を防ぐためには、注意深く対策を講じることが大切です。本記事では、スミッシングの手口・手法、具体的な被害リスク、被害を防ぐための対策について解説します。
目次
[ 開く ]
[ 閉じる ]
スミッシングとは
スミッシングとは、SMSを利用したフィッシング詐欺のことを指します。この攻撃では、攻撃者が偽のSMSを送り、受信者を騙して危険なリンクをクリックさせる手法が用いられます。
フィッシングメールがメールを介して行われる詐欺であるのに対し、スミッシングはSMSを介して詐欺が行われる点が特徴です。近年のスマートフォンの普及に伴い、スミッシングの被害は増加傾向にあります。
【関連記事】フィッシング詐欺とは?具体的な手口や被害に遭わないための対策
スミッシングの仕組み
ほとんどのスミッシングでは、フィッシングメールのような形式が用いられます。送信されるメッセージには緊急性や重要性を装った内容が含まれており、受信者を焦らせてリンクをクリックさせるよう促します。
▼スミッシングが実行されるまでの流れ
- 攻撃者が特定のユーザーに偽のメッセージを送る
- 受信者が指示に従い、添付されているリンクをクリックする
- 受信者がリスクのある不審なWebサイトにアクセスする
- 個人情報の入力、もしくはマルウェアのダウンロードにより被害が生じる
特に金融機関や通信事業者を装ったメッセージが多く、これらは個人情報や口座番号の入力を求めてくるため注意が必要です。
スミッシングの主な手口・手法
スミッシングは、ユーザーを騙すために多岐にわたる巧妙な手口を用います。これらの手口は、受信者に直接的な害を及ぼすものから、間接的に情報を盗み出すものまで幅広く存在します。具体的な手口・手法は以下の通りです。
▼スミッシングの具体的な手口・手法
- マルウェアを仕込んだアプリをインストールさせる
- 不審なリンクを含むSMSを送り、個人情報を盗むための偽サイトに誘導する
- 金融機関や公的機関を装い、個人の金融情報やパスワードを盗み出す
スミッシングの手口は、一見すると正当なサービスや企業からの通知のように見えるため、多くの人々が騙されてしまいます。例えば、銀行を装ったスミッシングでは、アカウントのセキュリティ問題を理由に、個人情報の確認を求める内容などが見られます。
また、友人や知人を装うことで受信者の警戒心を解くケースもあり、これらの手口は受信者の不安や緊急性を煽ることで、慎重な判断を鈍らせるという特徴があります。
スミッシングによる被害リスク
スミッシングにより、重大な経済的損失や個人情報の漏洩をもたらす可能性があります。以下、具体的な被害リスクについて解説します。
- デバイスの乗っ取り
- 口座登録による不正課金
- 個人情報・データの盗聴
それぞれの被害リスクを詳しく見ていきましょう。
デバイスの乗っ取り
スミッシングによる被害の1つに、デバイスの乗っ取りがあります。攻撃者はマルウェアを用いてデバイスを遠隔操作し、被害者の知らない間に犯罪行為を行います。
また、乗っ取られたデバイスからは個人情報が漏洩したり、さらなる詐欺メッセージが拡散されたりする危険性もあります。
口座登録による不正課金
個人の口座情報の盗難による不正課金のリスクも考えられます。攻撃者は盗んだ情報を悪用し、受信者の口座から無断で金銭を引き出したり、その情報を他の詐欺に利用したりします。
▼金銭的被害に直結する危険な情報
- キャッシュカード番号
- クレジットカード番号
- 暗証番号
- セキュリティコード
- ワンタイムパスワード
これらの情報をメールやSMSで求められた際は、特に注意が必要です。予期せぬ金銭的損失に繋がり、取り返しのつかない状況に陥る可能性があります。
個人情報・データの盗聴
スミッシングでは、個人情報やデータの盗聴も一般的な被害として挙げられます。攻撃者は盗聴を通じて得た情報を不正に利用し、被害者のプライバシーを侵害するだけでなく、詐欺や犯罪に利用するケースがあります。
▼教えてはいけない個人情報の例
- 氏名
- 年齢
- 生年月日
- 住所
- 電話番号
盗まれた個人情報は被害者だけでなくその家族や知人にも影響を及ぼし、広範な被害を引き起こす可能性があります。
スミッシングの被害事例
スミッシングによる手口は日々進化し、近年では多くの事例が報告されています。本項では、3つの被害事例について解説していきます。
大手ECサイトの装い
Amazonや楽天など、大手ECサイトの名前を騙り、偽のキャンペーンや注文確認と称してスミッシングを行う事例が報告されています。「アカウントの支払い方法を確認できず、注文が完了できませんでした」といった文面のSMSが届き、特定リンクへの誘導が行われます。
リンクをクリックしてしまうと、その先でアカウント情報が盗まれてしまい、個人情報の漏洩や金銭的被害が発生する恐れがあるため注意が必要です。
実際に、大手ECサイトを装ったスミッシングにクレジットカード番号を入力し、気付かない間に数万円の決済が行われていたというケースが報告されています。
有名宅配業者の不在通知
ヤマトなどの有名宅配業者を装った偽の不在通知でユーザーを騙す手口も、スミッシングの事例として多く見られます。2020年には国民生活センターが「宅配便業者を装った『不在通知』の偽SMSに注意しましょう-URLにはアクセスしない、ID・パスワードを入力しない!-」というタイトルで注意喚起を行っています。
具体的な手口としては、「やまと運輸よりお荷物を発送しましたが、宛先不明です。下記よりご確認ください。」などのSMSが届き、特定リンクへの誘導が行われます。
佐川急便・ヤマト運輸・日本郵政の3社は「SMSによる案内は行っていない」と公式サイトで明言していることから、有名宅配業者の不在通知がSNSで届いても絶対に応じてはいけません。
携帯キャリアの未納通知
docomo、au、SoftBankなど、携帯キャリアを装った未納通知がSMSで届くパターンもあります。このケースでは、「未払い料金のお知らせ」といった文面で支払いを促してくる手口が主流です。
その際、SMSに添付されたリンクをクリックしてしまうと、クレジットカード番号や暗証番号、パスワードなどを求められ、不正決済が行われる可能性があるため注意が必要です。
2019年には国民生活センターが「携帯電話会社をかたる偽SMSにご注意!‐あなたのキャリア決済が狙われています‐ 」というタイトルで注意喚起を行っています。
スミッシングによる被害を防ぐための対策
スミッシングは個人情報の盗難や金銭的損失など、深刻な被害を引き起こす可能性があります。これらを防止するためには、注意深く対策を講じることが大切です。本項では、スミッシングによる被害を防ぐための具体的な対策を解説します。
- URLを公式サイトと見比べる
- URLを無闇にクリックしない
- 問い合わせや個人情報の入力は公式サイトから行う
- スミッシングによる手口を社内で共有する
- セキュリティ対策ソフトを導入する
各対策について順番に見ていきましょう。
URLを公式サイトと見比べる
スミッシングから身を守るための1つの対策として、受信したSMSのURLを公式サイトのものと照らし合わせる方法が挙げられます。この方法により、攻撃者が偽造した不正なリンクを識別することができます。
▼不審なリンクでよくあるケース
- URLの末尾に意味のないアルファベットが羅列されている
- URLが極端に短く、通常のアドレスとは異なる形式をしている
- URLに誤字や不自然な単語が含まれている
公式サイトと異なるURLが含まれている場合、そのリンクは詐欺目的である可能性が高いためアクセスは避けるべきです。すぐにSMSを削除するなどの対処が求められます。
URLを無闇にクリックしない
スミッシングの被害を防ぐためには、知らない発信者からのリンクを無闇にクリックしないことが重要です。SMSで添付されているリンクは詐欺である可能性があるため、基本的にはクリックしないことが推奨されます。
リンクの内容が気になる場合は、必要に応じて関連する公式機関や企業に確認を取るようにしましょう。
問い合わせや個人情報の入力は公式サイトから行う
スミッシングの攻撃者はSMSを通じて偽のリンクを送信し、ユーザーを詐欺サイトに誘導しようとします。これを防ぐため、問い合わせや個人情報の入力は必ず公式サイトから行うようにしましょう。
SMSを介したリンクではなく、直接ブラウザから公式サイトにアクセスする習慣を身につけることが大切です。この手順を踏むことで、偽のサイトへの誘導を防ぎ、個人情報の漏洩を避けることに繋がります。
スミッシングによる手口を社内で共有する
組織全体でスミッシングの対策を講じることも重要です。スミッシングの手口や対策を社内で共有することにより、従業員の意識を高め、社内全体のセキュリティを強化できます。
定期的な情報共有とトレーニングを実施することで、従業員1人ひとりがスミッシングの脅威に対する理解を深め、警戒心を持つことが可能となります。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトウェアの導入は、スミッシングのリスクを軽減するのに有効です。対策ソフトには攻撃の検知機能が備わっているため、不正なリンクやマルウェアの検出に役立ちます。
対策ソフトによってはコンサルティングサービスも提供されており、必要に応じてスミッシングやフィッシング詐欺などの相談を行えます。
スミッシングの対策ならGMOサイバーセキュリティ byイエラエにお任せ
画像引用元:GMOサイバーセキュリティ byイエラエ
スミッシングの脅威は絶えず進化しており、個人や企業にとって深刻なセキュリティリスクとなります。その対策を強化するためには、専門的なサポートが不可欠です。
「スミッシングの被害を可能な限り抑えたい」という方は、「GMOサイバーセキュリティ byイエラエ」の利用をご検討ください。本サービスでは、スミッシングを含むあらゆるサイバー攻撃の予防からセキュリティ課題の解決に至るまで、総合的なサポート体制を整えております。
ホワイトハッカーの技術を用いてスミッシングによるリスクを低減し、セキュリティコンサルティングサービスを通じて、高度化する脅威に常に対応することが可能です。
まとめ
本記事では、スミッシングの手口・手法、具体的な被害リスク、被害を防ぐための対策について解説しました。
スミッシングはSMSを利用したフィッシング詐欺であり、デバイスの乗っ取り、口座登録による不正課金、個人情報・データの盗聴など、企業や個人にとって深刻な被害リスクが伴います。過去には複数のスミッシングによる被害が報告されており、国民生活センターや有名宅配業者では注意喚起が行われています。
スミッシングの被害を効果的に防ぎたい方は、セキュリティ対策ソフトの「GMOサイバーセキュリティ byイエラエ」の導入をご検討ください。セキュリティコンサルティングサービスを通じて、サイバー攻撃に関する相談を行うことも可能です。
文責:GMOインターネットグループ株式会社