不在通知や偽サイト誘導に注意!SMSフィッシング(スミッシング)の見分け方と対処法
SMSフィッシング(スミッシング)とは
SMSフィッシング、通称「スミッシング」とは、SMS(ショートメッセージサービス)を利用して個人情報や金融情報などを詐取しようとするサイバー犯罪です。メールを使ったフィッシング詐欺と同様の手口ですが、携帯電話番号宛てに直接届くため、警戒心が薄れやすいという側面があります。
配送業者や銀行、大手通販サイト、通信事業者、公共機関などを装い、「不在通知」「口座の確認」「セキュリティ警告」「料金の未払い」「当選通知」といった様々な名目でSMSを送信し、偽のウェブサイトへ誘導したり、不正なアプリのインストールを促したりします。
特にスマートフォンを日常的に利用しているビジネスパーソンは、業務連絡やプライベートな通知と紛れて届くため、注意が必要です。
スミッシングの主な手口
スミッシングでは、以下のような手口がよく用いられます。
- 配送業者を装う手口: 「荷物の不在通知です。ご確認ください」といったメッセージとともに、偽の配送追跡サイトへのリンクが貼られています。リンク先で個人情報やクレジットカード情報を入力させたり、不正なアプリをインストールさせたりします。
- 大手企業やサービスを装う手口: Amazon、Apple、銀行、クレジットカード会社、通信キャリアなどを名乗り、「アカウントがロックされた」「不正ログインの可能性があります」「本人確認が必要です」といったメッセージで不安を煽り、偽サイトへ誘導してログイン情報や個人情報を入力させます。
- 公共機関を装う手口: 税金、給付金、健康診断などを名乗り、手続きのために個人情報の入力や問い合わせを促すケースがあります。
- 有料サービスや利用料金に関する手口: 「ご利用料金の未払いが発生しています」といったメッセージで、支払いを促したり、確認のためにサイトへ誘導したりします。
- 当選通知やキャンペーンを装う手口: 懸賞に当選した、キャンペーンに選ばれたといったメッセージで、手続きと称して個人情報や支払いを要求します。
これらのSMSに共通するのは、受け取った側が思わずクリックしたり、返信したりしてしまうよう、緊急性や重要性を装っている点です。
怪しいSMS(スミッシング)の見分け方
スミッシング被害に遭わないためには、届いたSMSが本物か偽物かを見分けることが重要です。以下の点に注意して確認してください。
- 送信元の番号: 見慣れない携帯電話番号や、海外の国番号(+〇〇)から届いている場合は警戒が必要です。ただし、最近では正規サービスがショートコード(短い特別な番号)やドメイン名表示を利用する場合もあり、番号だけで判断するのは難しくなってきています。
- SMSの本文:
- 不自然な日本語: 明らかな誤字脱字や不自然な言い回しが含まれている場合があります。
- 緊急性・不安を煽る表現: 「至急ご確認ください」「アカウントが停止されます」「法的措置を取ります」など、受け取った人を焦らせ、冷静な判断を奪おうとする言葉が多く使われます。
- 個人情報の要求: SMSやリンク先で、氏名、住所、生年月日、銀行口座情報、クレジットカード情報などの個人情報の入力を求める場合は特に注意が必要です。正規の企業やサービスがSMSでこれらの情報を求めることは極めて稀です。
- 短縮URL:
bit.lyやgoo.glなどの短縮URLが使われている場合、リンク先を確認しにくいため注意が必要です。ただし、正規の企業も短縮URLを使う場合があります。
- リンク先のURL: SMSに記載されたURLを安易にクリックせず、指で長押しするなどしてリンク先のアドレスを確認してください。
- 正規サイトのURLとの比較: 本物を装っている場合、正規のURLと似て非なるアドレス(例:
amazon.co.jpがamazom.co.jpになっているなど)が使われていることが多いです。 - 不審なドメイン: 見慣れない文字列のドメイン(例:
.xyz,.topなど)や、企業の公式URLとは無関係なドメインが含まれていないか確認してください。 - 通信の暗号化(HTTPS): 情報を入力するようなサイトの場合、URLが
https://で始まっているか、鍵マークが表示されているか確認してください。ただし、偽サイトでもHTTPS化されている場合もあるため、これだけを鵜呑みにするのは危険です。
- 正規サイトのURLとの比較: 本物を装っている場合、正規のURLと似て非なるアドレス(例:
- アプリのダウンロード要求: SMSのリンクから直接アプリのダウンロードを促す場合は、公式のアプリストア(App StoreやGoogle Playストア)以外からのインストールを避けてください。提供元が不明なアプリは、スマートフォンに不正なプログラムをインストールさせる可能性があります。
少しでも「怪しい」と感じたら、SMSのリンクは絶対にクリックせず、記載されている電話番号にも連絡しないようにしてください。
万が一、スミッシング被害に遭ってしまった場合の対処法
もしスミッシング詐欺だと気づかずに、リンクをクリックしてしまったり、個人情報やパスワード、クレジットカード情報などを入力してしまったりした場合でも、冷静に以下の対処を速やかに行ってください。
- それ以上の操作を中断する: 気づいた時点で、リンク先のサイトの閲覧、情報の入力、アプリのインストールなど、全ての操作を直ちに中止してください。
- 入力した情報の変更・停止手続き:
- パスワード: 入力してしまったパスワードを直ちに正規のサービス上で変更してください。もしそのパスワードを他のサービスでも使い回している場合は、関連する全てのサービスのパスワードを異なるものに変更してください。
- クレジットカード情報: 入力してしまったクレジットカード会社に連絡し、カードの利用停止手続きを行ってください。不正利用されていないか明細をよく確認することも重要です。
- 銀行口座情報: 入力してしまった金融機関に連絡し、口座の状況確認や必要に応じて利用停止の手続きを行ってください。
- 個人情報: 悪用される可能性があるため注意が必要です。
- インストールした不審なアプリの削除: もしリンクからアプリをインストールしてしまった場合は、直ちにそのアプリをアンインストールしてください。必要に応じて、スマートフォンの設定から「提供元不明のアプリのインストールを許可」といった設定を無効化しておくと安全です。
- 証拠の保全: 届いたSMSの画面、アクセスしてしまった偽サイトの画面など、被害に関する情報をスクリーンショットなどで記録しておいてください。これらは警察への相談時などに役立ちます。
- 関係機関への相談・連絡:
- 警察: 最寄りの警察署、または警察相談専用電話「#9110」に相談してください。詐欺被害として届け出ることが可能です。
- 消費者ホットライン: 消費者庁の「消費者ホットライン 188(いやや!)」に相談してください。消費生活センターなど、身近な相談窓口を案内してもらえます。
- フィッシング対策協議会: フィッシング詐欺に関する情報が集約されており、届いた不審なメールやSMSについて情報提供を行うことができます。公式サイトなどで情報や注意喚起を確認することも有効です。
- 通信事業者: スミッシングSMSの発信元対策などについて相談できる場合があります。
これらの相談窓口は一般的な情報提供や助言を行うものであり、個別の被害回復や犯人の特定・逮捕を保証するものではありません。しかし、速やかに相談することで適切な次の行動につながる可能性があります。
スミッシング被害を未然に防ぐための対策
日頃から以下の対策を実践することで、スミッシング被害に遭うリスクを減らすことができます。
- SMSのリンクは安易に開かない: SMSで送られてきたリンクは、内容に関わらず慎重に扱い、安易に開かない習慣をつけましょう。
- 公式な経路で確認する: SMSの内容が気になる場合でも、SMS内のリンクからではなく、サービスの公式ウェブサイトをブラウザで検索してアクセスしたり、公式アプリを起動したりして、情報の真偽を確認してください。記載されている電話番号も、公式なものか確認してからかけましょう。
- セキュリティソフト・アプリの利用: スマートフォンにセキュリティソフトやアプリをインストールし、常に最新の状態に保つことで、不正なサイトへのアクセスや不正アプリのインストールを検知・ブロックできる場合があります。
- 二段階認証(多要素認証)の設定: 可能なサービスでは、IDとパスワードだけでなく、SMSで送られるコードや専用アプリなどを使った二段階認証を設定しましょう。パスワードが漏洩しても、不正ログインのリスクを減らすことができます。
- OSやアプリを最新の状態に: スマートフォンのOSやインストールしているアプリは、常に最新のバージョンにアップデートしておきましょう。セキュリティの脆弱性が修正され、安全性が向上します。
まとめ
SMSフィッシング(スミッシング)は巧妙化しており、誰もが被害に遭う可能性があります。日頃から届くSMSを注意深く確認し、「怪しい」と感じたら絶対に安易な操作をしないことが何よりも重要です。万が一被害に遭ってしまった場合でも、焦らず速やかに関係各所へ連絡し、適切な対処を行うことで、被害の拡大を防ぐことができます。この情報が、あなたのデジタルライフを守る一助となれば幸いです。