2021/08/10

| 更新

2021/08/12

不在通知を悪用するスマホのスミッシング詐欺とは?その対策と最新事例を解説


SMSを利用したフィッシング詐欺である「スミッシング詐欺」のイメージ画像

手口の巧妙化が進むスマホ詐欺。最近では大手通販会社や配送業者を語るなど、在宅で利用者が増えた業種を装う「スミッシング詐欺」の攻撃バリエーションが増えている。そこで今回は、そのなかでも詐欺と見分けがつきにくい事例について、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) の副会長・理事を務めるKDDI 本間輝彰 監修の元、実際の画面イメージとともに、対策方法について紹介する。

スミッシング詐欺とは

スミッシング詐欺とは、スマートフォンのショートメール「SMS」を利用した「フィッシング詐欺」のことで、SMSで送られてきたURLをクリックさせることで、偽のサイトに誘導し、個人情報やクレジットカード情報などを盗む詐欺を示す。

近年では、配送業者からの不在連絡や、通販サイトからの不正ログイン検知を騙る詐欺が増えてきており、被害をSNSやYouTubeなどで警告している人も多い。

スミッシング詐欺、増加理由の1つめは、通信会社やメール提供元による十分な迷惑メール対策がなされた結果、迷惑メール自体を目にする機会が減ってきたこと。

2つめは、セキュリティ向上の観点から、二段階認証としてSMSを利用することが増えてきたということだ。この2つの観点から、メルマガの乱立などもあり無視されることが多いEメールよりも、電話番号さえわかればメッセージを送ることができ、迷惑メール振り分けもなく、認証などにも使われるSMSが詐欺の攻撃者に目をつけられたということだ。

では、いったいどんな手口で利用者を騙すのか。ここからは実際の画面イメージをもとに、主な事例を見ていこう。

配送業者の不在連絡を騙ったSMS

配送業者の不在連絡を騙ったスミッシング詐欺のSMS通知イメージ

まずは、配送業者の不在通知連絡を騙った事例だ。大手配送会社の名前を騙り、不在通知から再配達へ誘導すると見せかけ、実際はフィッシングサイトに誘導し、そこで電話番号やメールアドレスなどの情報を窃取したり、IDやパスワードを窃取したり、マルウェアという不正なアプリをインストールさせたりする。

配送業者の不在連絡を騙ったスミッシング詐欺の画面イメージ

対策としては、SMSに記載されているURLのドメインを確認する習慣を身につけることが大事なポイントとなる。いったんクリックしてサイトに入ってしまうと、見た目では正規サイトかどうか、判断つかないケースも多い。

スミッシング詐欺やフィッシング詐欺対策としてのドメインの見分け方

ただし、ドメインでも正規サイトを巧妙に模倣しているケースも多いため、自分では判断つかない可能性もある。SMSに記載されているURLは基本的にクリックせず、正規アプリや正規サイトからアクセスし、通知がきていないか確認する習慣を身につけよう。

また、通販に関係ない内容は入力しないよう徹底することも大事なポイントだ。ニセサイトの場合、IDやパスワードなど、もっともらしい理由をつけて、配達に不要な情報まで取得しようとするケースが見られる。

スミッシング詐欺やフィッシング詐欺における認証入力を求める画面

万が一ニセのURLをクリックしたとしても、そこで何も入力しなければ、情報を窃取される心配は少ない。上図の例のように、再配達に関係ないIDやパスワードは入力せず、あやしいと思った場合はすぐ入力を中断し、通販サービスが提供するスマホアプリやWEBサイトで配達状況を確認するなど、別ルートでその不在通知が事実かどうかを確認するようにしよう。

その他、不在通知と関係ない偽警告を表示するケースもある。URLクリックした先のサイト上で、アプリのインストール案内など、再配達に関係ない警告を表示し、不安をあおり不正なアプリをインストールさせるというわけだ。

配達サービスではあまり見かけないが、通販サービスなどアプリを提供しているところは、正規サービスでもWEBサイトにアクセスすると公式アプリマーケットからアプリインストールに誘導するケースがあるため、もしアプリのインストールが必要な場合は、URLからではなくGoogle PlayやApp Storeなど公式アプリマーケットからインストールすることを推奨したい。

スミッシング詐欺やフィッシング詐欺におけるアプリのインストールを求める画面 公式アプリマーケット経由では、上記のような警告は表示されない

通販サイトからの不正ログイン検知など異常を騙ったSMS

もうひとつ、最近の詐欺事例として多い事例が、配送会社でなく、通販サイトを騙るケースだ。

大手通販会社の名前を騙るスミッシング詐欺やフィッシング詐欺における認証入力を求める画面

こちらは再配達でなく、大手通販会社の名前を騙り、「アカウントがロックされました」など、まるで誰かに攻撃を受けたように見せかけ、不安をあおることでフィッシングサイトに誘導し、そこでクレジットカード情報や住所情報など入力させ、個人情報を窃取するというものだ。

大手通販会社の名前を騙るスミッシング詐欺やフィッシング詐欺における認証入力を求める画面

こちらとしてもやはり基本的な対策は、URLのドメインを確認することと、正規サイト上でアラートが上がっていないか確認することだ。この手の詐欺は不安をあおる内容を記載してあることが多いが、必ずクリック前に、正規サイトからの連絡かどうか調べる習慣を身につけよう。

金融機関など不正アクセスや二段階認証を騙ったSMS

また、実在する銀行を装って、不正アクセスによる本人確認や更新手続きを騙る手口も増えている。

スミッシング詐欺やフィッシング詐欺における認証入力を求める画面

最近ではセキュリティ向上のために二段階認証としてSMSで認証コードが届くケースが増えたため、SMSで連絡を受けることが当たり前になってきた。そこで金融機関からの【重要】や【緊急】という連絡があるとついリンクをタップしたくなるが、そのURLは大丈夫か。詐欺は人の焦る心を突いてくるため、まずはタップする前にひと呼吸おいてほしい。

対策としては、こちらもすぐにSMSのURLはクリックせず、まずはドメインを確認するか、正規サイトにログインし、そこで通知が来ていないかを確認することだ。正規サイトにアクセスすれば、各金融機関でもスミッシングに関する注意喚起を出していることも多い。やはりまずは正規サイトを確認する習慣を身につけることが大切なポイントだ。

巧妙化する情報窃取までの流れ

ここまで事例を紹介してきたが、フィッシング詐欺のサイト自体が巧妙化していることもあわせて紹介しておきたい。最近では裏で正規サイトに本人の代わりにログインし、そのIDが本当に存在するかどうかを確認するという手口も出現してきた。

万が一、間違ってニセサイトにアクセスしてしまっても、そこで適当な情報を入力することで自分の身を守ることもできるが、ニセサイトが入力されたID/Passwordを使って正規サイトにアクセスし、間違っていた場合には、エラー画面を表示するというわけだ。

スミッシング詐欺やフィッシング詐欺における認証入力を求める画面

そこで正しいID/Passwordを入力し直してしまうと攻撃者に情報を渡してしまうことになる。さらにこの仕組みを悪用することで、二段階認証をかけていても、ニセサイトから正規サイトにログインし、正規サイトから出されたワンタイムパスワードを本人に入力させることで、本人には気づかれず、アカウントを乗っ取ることができてしまう。

スミッシング詐欺やフィッシング詐欺における二段階認証突破の仕組み

もともとフィッシングサイトは正規サイトと見分けがつきにくことが多いが、このように見た目だけでなく機能まで似せる事例も出てきているので、気をつけている人でも騙される場合がある。そんな巧妙化するフィッシング詐欺から見を守るには、やはりURLのドメインを確認することとともに、見覚えのないドメインからの連絡や、短縮ドメインを使っているURLはクリックせず、正規サイト内の配送状況で確認する習慣を身につけることが大切だ。

身に覚えのないSMSからのURLはクリックしないこと

最後に、あらためてスミッシング詐欺の対策法をまとめておこう。

■スミッシング詐欺への対策法
・URLに誘導するSMSが届いたときは、すぐにタップしない。
・ドメインが正規サイトのものであるかを確認する。
・通知を確認する際は、できるだけSMSに記載されているURLはクリックせず、正規アプリか正規サイトからアクセスする習慣を身につける。
・アプリをインストールする際は、URLからでなく、Google PlayやApp Storeなど公式アプリマーケットからインストールする習慣を身につける。

巧妙化が進むスミッシング詐欺。見分けがつきにくい部分も多いが、ここで挙げた詐欺の事例と対策を知ることで、詐欺被害に遭わないよう自衛してほしい。



文:TIME&SPACE編集部

本間 輝彰

本間 輝彰(ほんま・てるあき)

1966年生まれ、東京都出身。KDDI株式会社、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) 副会長・理事。現在、サービス開発部門にてスマートフォンやIoT機器のセキュリティ対策の推進。JSSECを通じてスマートフォンを中心にモバイルデバイスの安全な利活用を図り普及を促進。