fbpx

ドコモや宅配便をよそおうスミッシング(=フィッシングSMS)最新手口と対策は?

この頃「スミッシング=SMSフィッシング詐欺」という言葉が聞かれるようになりました。
「dアカウントやセキュリティコードについてログインした方に送信しています」「ドコモからの重要なお知らせ」といったSMSがきた」「うっかりクリックして詐欺に巻き込まれたが補償されない」
といったトラブルに巻き込まれる方の悲痛な声がネット上にあふれて大きな社会問題となっています。

昔からあった詐欺メールに比べ、どうしてSMSを詐欺メールが増えたのか?「SMSとメールはどこが違うのか」という基本から対策までご説明します。

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト

新しいネット詐欺の手段として増えてきた「スミッシング(SMSフィッシング詐欺)メール」とは?

スミッシング(Smishing)とは何か?

聞き慣れないスミッシング(Smishing)とはSMSを使ったフィッシング(phishing)詐欺メールを指す造語です。
かつてはあまり見かけませんでしたが、2015年頃から、新たなネット犯罪の手段として使われるようになってきました。

詐欺メールの戦場はメールからSMSへ移ってきた

携帯電話同士で電話番号を相手を識別するキーとして用い、短いテキスト文字だけのメッセージをやりとりするSMS(=ショートメッセージサービス)は、コストが安く、メールよりもすばやく送受信できる利点があります。
またSMSは電話番号という「全世界にひとつしかなく、しかも偽装できない個人番号」を使うことから「二段階認証の本人確認」など大切な認証の手段としても使われるようになりました。

以下のグラフは「国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移~つまりスミッシングに引っかかってしまった数」です。2019年に入って激増しいることが分かります。

図5:国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移
■引用:トレンドマイクロ「スマートフォン利用者を狙うSMS経由の攻撃が2019年を通じて拡大」

まさに上記のSMSの利点や特徴を逆手に取ってユーザーをあざむくスミッシングが増えてきたのです。

SMSは詐欺には使われにくいと思われていたが、、、、

普通のメールが詐欺に使われやすい実例

SMSは、メールよりずっと短くてシンブルで「文字だけしか使えないメッセージだから偽装ができにくい」と思われてきました。

一例としてたとえばメールの文面に以下のようなURLが埋め込まれていたとします。
誰が見ても普通の Yahoo!Japan のURLです。
試しにクリックしてみてください。

https://www.yahoo.co.jp/

見た目はYahoo!のURLですが、当社のサイトが開いてしまいました。

実は上のURLはただの文字ではなく、
「<a href=”https://digitalkeeper.jp/” target=”_blank” rel=”noopener”>https://www.yahoo.co.jp/</a>」
というhtmlコードで記載されています。
これをブラウザーやメールソフトで見ると、まるで普通のURLのように見えてしまい、飛び先を偽装することができるのです。

単純ですが、これが通常のメールを使った詐欺メールの基本的な手法のひとつです。
通常のメールは文字だけでなく、htmlのようなコードとか、画像、ファイルを添付したり、メールに付けることができますので、それらを悪用して詐欺へ導くのです。

SMSは文字しか遅れないので偽装がしにくい

ところがSMSはそもそも文字しか入力できません。画像の添付もできません。これでは偽装のしようもなく「安全だ」と思われてきました

つまり「スミッシング(Smishing)=SMSを使ったフィッシング(phishing)詐欺メール」の多発は、ユーザーに染みついた安全意識の盲点を突いた物と言えます。

 

【次ページ:詐欺SMSの手口と対策?】