第352回 スミッシングの被害を防ぐには？怪しいSMSにだまされないための対処方法

SMS（ショートメッセージサービス）を悪用したフィッシング詐欺「スミッシング」の被害が多発しています。主にスマートフォンユーザをターゲットにしたインターネット犯罪です。スミッシングのメッセージだと見破りにくいことが詐欺被害を増大させる一因になっています。
スミッシング目的のSMSの受信を完全に防ぐのは困難です。
怪しいSMSにだまされないために、すぐにできる対策をまとめます。

スミッシングとは、携帯電話やスマートフォンのSMS（ショートメッセージサービス）を悪用したフィッシング詐欺のこと。
偽造サイトに誘導したうえで、アカウント情報（ログインID、パスワードなど）や、クレジットカード情報など重要な情報を盗みます。
スミッシングの由来は、SMSを介して偽造サイトに誘導する手口から「SMS」と「フィッシング（phishing）」をあわせた造語。

宅配事業者、通信キャリアや大手銀行、ECサイトなど、身近な企業を装ったSMSとその偽造サイトが確認されています。
スミッシングの手口は巧妙で、荷物の不在通知や、パスワード更新の催促など、緊急性や重要性がありそうな内容で、ユーザにリンク付きURLをタップさせるのが特徴。
誘導先の偽造サイトは、本物と見分けがつかないほど、正規サイトとそっくりにつくられたものが多いです。
偽造サイトでログイン情報などを入力してしまうとデータが盗み取られます。
被害総額の規模は年々増大しており、クレジットカードを勝手に使われたり、アカウントを乗っ取られたりといった直接的な被害が発覚するまで、スミッシング詐欺にあったことに気づかないケースも多いようです。

【あわせて知りたい！スミッシングとフィッシングの違い】
SMSを介して偽造サイトに誘導するスミッシングに対して、フィッシングは、電子メールやSNSの投稿などを悪用して偽造サイトへ誘導する手口。
偽造サイトでアカウント情報（ログインID、パスワードなど）や、クレジットカード情報など重要な情報を盗みます。
近年、フィッシングの一種として、スミッシングが急増しているのです。

フィッシングの危険性は、以前から注意喚起されてきました。
しかし、スミッシングの被害は増加しています。
偽装されたSMSにだまされてしまう人が多いのです。

なぜスミッシングに気づけないのでしょうか？だまされやすい理由を考えてみましょう。

（1）信頼できる相手からのメッセージと油断しがち
SMSは、「自分の電話番号を教えた相手」として、油断しやすい背景があるようです。
SMS送信者が普段から利用しているサービス名やよく知っている企業名なら、疑念を持たずにメッセージ内のURLをタップしてしまうことも考えられます。
SMSは、電話番号の数字をランダムに組み合わせれば無差別に配信できるので、誰もが受け取る可能性を否定できません。
また実在する企業のSMSを模すこともできるので、誰もがスミッシングの被害にあう可能性があります。

（2）Eメールと違ってSMSは対策しにくい
Eメールを悪用するフィッシングは、迷惑メールフォルダへの自動振り分けなどにより、ある程度は防御できるようになってきています。
送信元アドレスが怪しければ警戒するものです。
しかし、SMSを利用するスミッシングは、セキュリティ対策の網をかいくぐって、ユーザがダイレクトに受信してしまうものが少なくありません。
スミッシングのSMSを完全にブロックするのが難しいのです。

（3）SMSを利用するので、不審な点に気づきにくい
スミッシングは、SMSを悪用します。
情報量が多いEメールとは異なり、SMSは送信元情報が乏しく、文字数制限のせいでメッセージそのものが短いため、詐欺だと気づけるポイントがあまりありません。
スミッシングを見分ける方法として、SMS内のリンクURLが正規サイトのドメインかどうかを確認する方法がありますが、短縮URLを利用している場合、本物かどうか判別するのは困難です。
「不審な点を見つけにくい」つまり、「だまされやすい」と心得えて、警戒しましょう。

スミッシングの被害を防ぐポイントは、SMSの内容を疑うこと。
スミッシング目的のSMS受信を防ぐのは困難です。
SMSを受信したあとの対処方法を覚えておくのが重要といえます。

＜スミッシング被害を防ぐ対策＞
・SMSの文章が日本語としておかしくないか確認する
スミッシングのSMSは、海外から送信されるものも多く、日本語の表記が不自然なものがかなりあります。
言葉遣いはもちろん、文字と分離した濁点や不要なスペースなど、少しでも違和感があったら、スミッシングを疑いましょう。
ただし、すべてのスミッシングのSMSが該当するわけではないので、他の対策もあわせて活用してください。

・SMSに記載されたURLはタップしない
スミッシングのSMSは、正規の企業からのSMSとの判別が困難です。
「SMSに記載されているURLはクリックしない」と決めて、企業の公式サイトや公式アプリなどからアクセスし、本物かどうかを確認する習慣をつけましょう。

・リンク先のサイトでログイン情報や個人情報の入力はしない
SMS内のURＬをタップしてしまった場合も、個人情報を入力しなければ、直接的な被害を防げる可能性があります。
リンク先で、ログインＩＤやパスワード、クレジットカード番号や口座番号などの入力を求められた場合は、スミッシングを疑いましょう。
巧妙に模倣したフィッシングサイトが多数確認されているので、見慣れたロゴやコーポレートカラーを用いていても信用しないでください。
なかにはURLタップしただけで、スマートフォンの情報を盗まれるケースもあるので、SMSのリンクはタップしないことが重要です。

・ブラウザから正規の企業サイトを開いて「重要なお知らせ」があるかを確認
企業が顧客へ個別にメッセージを送るケースでは、公式サイトでも告知をおこなっていることが多くなっています。
送信元がよく知っている企業名であっても、ブラウザから公式サイトを開いて、重要な告知が掲載されていないか確認してみましょう。
具体的なスミッシングの事例とともに、スミッシングへの注意喚起がおこなわれている場合もあります。
公式サイトを見てもSMSの内容の真偽が確認できない場合は、公式のカスタマーサポートに問い合わせてみましょう。

・文章をコピー＆ペーストして検索してみる
SMSの文章をコピーして、ブラウザの検索窓にペーストし、検索をかけてみましょう。
スミッシング目的のSMSは、一斉に送信されることが多いため、「『○○○○○○○○○○』というメッセージは、スミッシングである」という情報が得られる場合があります。

・通信キャリアの「SMS拒否設定」を利用する
非通知メッセージや、海外からの送信、特定番号からの送信など、条件設定して受信を拒否することができます。
ただし、攻撃者は送信者名やリンク先のURLなどの情報を簡単に変更できるので、完全にスミッシングのSMSをブロックすることは困難です。
受信拒否の設定をしても、油断しないようにしてください。

＊　＊　＊　＊　＊　＊　＊　＊　＊

インターネットショッピングでのカード決済はもちろん、電子マネー決済やインターネットバンキングなど、あらゆることがスマートフォンひとつで完結する時代。
スミッシング被害が増えている背景には、重要な個人情報をスマートフォンから入力することへの心理的ハードルが下がっている一面もありそうです。

スミッシングの手口や対処方法を知り、スミッシング被害を賢く防げる防犯女子を目指したいですね。

スミッシングの手口は、日々巧妙化しています。
新しい手口は情報が乏しいこともあるので、「もしかしたら」「怪しいかも」と察知するセンサーも大切。
念には念を入れて、確認を怠らないことが、安心してスマホライフを送るコツです。

【あわせて読みたい！関連コラム】
・だまされないで！フィッシング詐欺の手口と対策

【あわせて読みたい！セコムのコラム】
・小学生のスマホデビューを安全に迎えるために
※セコムが運営する「子どもの安全ブログ」のページです