SMS(ショートメッセージサービス)は、本人認証や会員登録サイトへの誘導など様々な目的で利用されている、 企業とお客様のコミュニケーションツールの一つです。携帯電話に、利用しているサービスの提供元からメッセージが届いた時、特に不審に思うことなくURLをクリックしてしまう人も少なくありません。

改めて「スミッシング」とは何か、近年の被害実例を基に、どのような対策が有効か見ていきましょう。

スミッシングとは

スミッシングの大きな特徴は、SMSを利用してメッセージが届くという点です。SMSとは、電話番号を利用してメッセージを送ることができるサービスで、相手の電話番号さえ知っていれば、世界中どこからでも利用できます。スミッシングは、SMSとフィッシング(Phishing)詐欺を組み合わせた言葉で、SMSをフックとして行われるフィッシング詐欺のことを指します。

SMSには文字数制限があるため、従来の迷惑メールのように長文ではなく、短く簡潔な文章で届くことも特徴です。フックとなるSMSには、より詳細な情報を確認するためと称して、URLが記載されているケースがほとんどです。スミッシングでは、偽URLにアクセスさせることで、携帯電話がマルウェアに感染し、個人情報が盗まれることがあります。

近年のスミッシング被害の実例

スミッシングで送られてくるSMSは、運送業、金融業など、多くの人が日常的に利用しているサービスを装って送られてくることがほとんどです。
実際にどんなメッセージが送られるのか、被害実例をご紹介します。

銀行、通信キャリアになりすましたスミッシング

2021年1月には、銀行や通信キャリアを装ったSMSに記載されたURLをクリックすると、Google Chromeに似た不審なアプリのインストールを誘導するケースが確認されています。「セキュリティ向上のため、最新バージョンのChromeにアップデートしてください」というメッセージが表示され、OKを押すと不審なアプリのインストールが開始されます。アプリのインストールを行った場合、身に覚えのないSMS送信が行われる被害や、不正な決済が行われる被害が報告されています。

宅配業者になりすましたスミッシング

コロナ禍の影響もあり、日々の生活において自宅への宅配物はより日常的になっていることもあり、宅配業者になりすますスミッシングが増加しています。以下メッセージを受け取った方も少なくないのではないでしょうか。

「お客様宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください」

2021年5月には、佐川急便を名乗ったSMSが届き、そのリンクからAppleIDの入力を求められ、入力すると、アカウントを乗っ取られ、紐づけされたカード情報を不正利用される被害がありました。

新型コロナウイルスのワクチン接種予約受付になりすましたスミッシング

2021年5月には、新型コロナウイルスのワクチン接種予約の希望者を狙ったスミッシング攻撃がありました。

メッセージのURLをクリックすると、受信者がAndroidを利用している場合は、不正なアプリをダウンロードさせ、アプリをインストールしてしまうと端末より情報が窃取され、SMS送信の踏み台として悪用されることがあります。受信者がiPhoneを利用している場合は、ポップアップ画面よりフィッシングサイトへ誘導していました。

上記の被害実例のように、SMSに記載されているURLにアクセスすると、サービスの公式サイトを模した偽サイトが表示されます。偽サイトでは情報の確認に必要などとして、氏名や住所、特定のサービスのID・パスワード、クレジットカード番号などを入力させられます。また、アプリのインストールを促され、マルウェアをインストールさせられることもあります。マルウェアをインストールしてしまうと、携帯電話に保存している個人情報や連絡先情報が盗まれたり、自分の携帯電話を利用してさらに別の人へスミッシングのSMSが送信されるなど、図らずも被害が拡大することもあります。

スミッシングの対策を講じるも、難しい現状

増え続けるスミッシング被害に対応するため、通信事業者各社ではスミッシングに対する対策を検討・実施しています。店頭での情報提供・注意を促す声かけなどは、通信事業者だけでなく、運送会社や銀行など、実際にスミッシングのなりすましを受けた企業でも行われています。

しかし、これらの対策も根本的な解決につながりにくい現状もあります。迷惑メールの場合、送信に利用されるドメインなどでフィルターをかけることができますが、SMSではそのように自動で迷惑メッセージを振り分ける方法はありません。
また、通信事業者側でも不審な内容や不適切なURLを自動で検知し振り分ける方法を検討していますが、利用者の個人的な通信内容を閲覧することは禁止されているため、この取り決めに抵触せずフィルタリングを行うことが困難な状況があります。

自分でできるスミッシング対策とは

通信事業者や運送業者、銀行など様々な業種がスミッシング対策を行なっています。しかし抜本的な解決に至る方策はまだ見つかっていないのが現状です。そのため、スミッシングの被害に遭わないためには、被害の現状を知り、自衛することが大切です。

ユーザーが自分でできる自衛の方法として、次の3つがあります。

(1)メッセージのURLはタップせず、検索やブックマークを利用する

スミッシングでは、SMS内に記載されたURLへアクセスするのに注意が必要です。SMSで何かしらの通知を受けた際には、SMSに記載されたURLをタップするのではなく、送信元と思われるサービスの公式サイトへアクセスし、SMSに関する通知の有無や注意喚起をうながすような情報がないか確認することが大切です。普段から利用しているブックマークや、検索を通じて公式サイトへアクセスすると良いでしょう。

(2)提供元不明のアプリはインストールしない

スミッシングに引っかかり、マルウェアをインストールさせられないためには、提供元不明のアプリをインストールしないことが大切です。正式なアプリであれば、Androidの場合はGooglePlay、iOSの場合はAppStoreからダウンロード可能です。このような公式アプリを経由せず、直接ダウンロードさせようとするようなアプリはリスクが高く、マルウェアに感染する可能性があります。

(3)モバイルセキュリティアプリを利用する

携帯電話のセキュリティを守るため、セキュリティアプリと呼ばれるアプリが提供されています。アプリによって異なりますが、特定の文言を含むSMSの受信を制限したり、マルウェアのインストールを防いだりといった機能があります。自身のセキュリティを高めるため、あらかじめこのようなアプリをインストールし、活用することも有効です。

やむを得ずURLを確認しなければならない場合は、スマートフォンにてChromeのブラウザ右下にある「サイト情報」から、SSLサーバ証明書を確認することができます。
※証明書情報の詳細を確認する場合は、PCのブラウザで詳細を確認することが可能です。

ill_smsphishing.png

実際に、佐川急便のWebページでも、佐川急便を装った迷惑メールのお知らせとして、「当サイトでは、フィッシング詐欺の防止策として「EV-SSL証明書」を導入しております。」と記載しているため、アクセスしたURLが安全か確認する有効な対策の一つです。

被害を知り自衛することが大切

フィッシング詐欺の被害は出続けており、様々な企業で顧客の安全を守るための対策が検討・実施されています。一方で、スミッシング詐欺は日々巧妙化しており、本物のサイトと区別が難しい詐欺サイトも存在します。
被害に遭わないために最も大切なことは、自分の身は自分で守る意識です。そのためには、どのような事例が起こっているのかを知り、情報感度を高く持ち、怪しげなものに気付ける感性を養うことが大切です。また、今回紹介したような自衛の方策を知り、スミッシング被害から身を守りましょう。

トピック関連記事

#

2016年05月09日

OpenSSLのセキュリティアップデートが公開

#

2015年05月25日

TLS通信の脆弱性「Logjam」について

#

2016年07月21日

対策はお客様だけの責任ではない!メール送信者側が企業責任としてフィッシング詐欺対策を進めるための具体的方法とは

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。