「dアカウントやセキュリティコードについてログインした方に送信していますといった身に覚えのないSMSがきた」
「うっかりクリックして詐欺に巻き込まれてしまったのに補償されない」
といったトラブルに巻き込まれる方の悲痛な声がネット上にあふれて大きな社会問題となりつつあります。
詐欺メールは以前よりありましたが、この頃どうしてSMSを詐欺メールが多くなったのか?「SMSとメールはどこが違うのか」という基本から対策までご説明します。
新しいネット詐欺の手段として増えてきた「スミッシング(SMSフィッシング詐欺)メール」とは?
スミッシング(Smishing)とは何か?
聞き慣れないスミッシング(Smishing)とはSMSを使ったフィッシング(phishing)詐欺メールを指す造語です。
かつてはあまり見かけませんでしたが、2015年頃から、新たなネット犯罪の手段として使われるようになってきました。
詐欺メールの戦場はメールからSMSへ移ってきた
携帯電話同士で電話番号を相手を識別するキーとして用い、短いテキスト文字だけのメッセージをやりとりするSMS(=ショートメッセージサービス)は、コストが安く、メールよりもすばやく送受信できる利点があります。
またSMSは電話番号という「全世界にひとつしかなく、しかも偽装できない個人番号」を使うことから「二段階認証の本人確認」など大切な認証の手段としても使われるようになりました。
以下のグラフは「国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移~つまりスミッシングに引っかかってしまった数」です。2019年に入って激増しいることが分かります。
まさに上記のSMSの利点や特徴を逆手に取ってユーザーをあざむくスミッシングが増えてきたのです。
SMSは詐欺には使われにくいと思われていたが、、、、
普通のメールが詐欺に使われやすい実例
SMSは、メールよりずっと短くてシンブルで「文字だけしか使えないメッセージだから偽装ができにくい」と思われてきました。
一例としてたとえばメールの文面に以下のようなURLが埋め込まれていたとします。
誰が見ても普通の Yahoo!Japan のURLです。
試しにクリックしてみて下さい。
見た目はYahoo!のURLですが、当社のサイトが開いてしまいました。
実は上のURLはただの文字ではなく、
「<a href=”https://digitalkeeper.jp/” target=”_blank” rel=”noopener”>https://www.yahoo.co.jp/</a>」
というhtmlコードで記載されています。
これをブラウザーやメールソフトで見ると、まるで普通のURLのように見えてしまい、飛び先を偽装することができるのです。
単純ですが、これが通常のメールを使った詐欺メールの基本的な手法のひとつです。
通常のメールは文字だけでなく、htmlのようなコードとか、画像、ファイルを添付したり、メールに付けることができますので、それらを悪用して詐欺へ導くのです。
SMSは文字しか遅れないので偽装がしにくい
ところがSMSはそもそも文字しか入力できません。画像の添付もできません。これでは偽装のしようもなく「安全だ」と思われてきました。
つまり「スミッシング(Smishing)=SMSを使ったフィッシング(phishing)詐欺メール」の多発は、ユーザーに染みついた安全意識の盲点を突いた物と言えます。
スミッシング(SMSフィッシング詐欺)メールの手口と対策
スミッシングでは偽のURLをクリックさせる手口しかない
「本物の取引先と見分けがつかない巧妙なメールで詐欺を働く」
「ウイルスやマルウェアを仕込んだ添付ファイルを開かせる」
「画像に見せかけたウイルスメールを送りつける」
と言った様々な手法が取られる一般詐欺メールと違い「スミッシング(SMSフィッシング詐欺)メール」の手口はひとつしかありません。それは
「偽のURLをクリックさせる」
ということです。
それならば対策は二つだけ
- SMSに書かれているURLは原則としてクリックしない
- どうしてもクリックする必要があるときは本物のURLか確認する
ということになります。
SMSに書かれているURLは「とにかく疑って」かかる
SMSにURLを使う事業者はそもそも少ないはずです。
電話番号を個人情報として提供する際は、本人と通話する可能性があるから知らせるわけで、勝手に電話番号あてSMSで連絡することは全く一般的ではありません。
例外として電話番号を発行したドコモとかAU、ソフトバンクといった通信事業者は「確実に契約者本人に届けたい情報」としてメールより確実性が高いSMSを使います。
一時はやった「ヤマト運輸、佐川急便を語る詐欺メール」は、そもそも「宅配会社がお客様の個人の電話番号宛に、同意もなくいきなりSMSで連絡するような失礼なことするはずがない」と、少し考えてみれば、その怪しさに気がついたはずです。
SMSのURLをクリックする時は本物か確認する方法は?
SMSの文面に惑わされず、直接事業者のカスタマーサポート、コールセンターに確かめる
これが一番楽で確実な方法です。なんでもネットのやりとりで解決しようとせず、事業者に問い合わせて真偽を確認しましょう。
あなたにSMSで緊急通知を送るような事業者なら、確実に問合せ先を用意しているはずです。そこに問い合わせせれば、本人確認の後「事実はすぐに分かる」はずです。
大切な事は
- 届いたSMSやメールの返信で問い合わせない
- SMSやメールに書かれた問合せ先ではなく、公式サイトを検索して、直接問い合わせる
となります、
まず事業者のサイトをググって正邪を確かめる
SMSでURLが送られてきて「さてこれはクリックするべきか?」迷ったときは、すぐにブラウザーを開いて「送信元の事業者のホームページ」を検索してトップページやお知らせページを見ましょう。
「スミッシング(SMSフィッシング詐欺)メール」が確認されたサービスでは、必ずサイトのトップに「お客様に緊急のお知らせ」といった表示があり、以下の佐川急便のサイトのように偽メッセージに注意が喚起されているはずです。
URLが正規な物か確かめる
通信事業者のように、SMSに正規の自社URLをつけて発信している事業者もあります。
そのような企業のサイトには「正しいURLの一覧」が掲載されていますので、面倒でもその都度SMS記載のURLが正しいものか?確認してみましょう。
一例としてNTTドコモの正しいリンク先URLと、実際のSMSとの照合方法をご案内します。
ドコモ公式SMSに記載されるリンク先URL(これ以外はドコモを偽装したURLと見なしてよい)
URL(ドメイン部) https://www.nttdocomo.co.jp/ https://www.mydocomo.com/ https://id.smt.docomo.ne.jp/ https://application.ald.smt.docomo.ne.jp/ https://spmode.smt.docomo.ne.jp/ https://service.smt.docomo.ne.jp/ https://payment2.smt.docomo.ne.jp/ https://c.dkaigai.jp/ https://c.docomo.ne.jp/ https://global.id.smt.docomo.ne.jp/ https://gs.docomo.ne.jp/ https://smt.docomo.ne.jp/ https://spf.spmode.ne.jp/ https://support2.smt.docomo.ne.jp/ https://anm.smt.docomo.ne.jp/ com.nttdocomo.anmane2;//launch?token= https://dpoint.jp/ https://www.ntt-west.co.jp/ https://apps.dmkt-sp.jp/ ■出展:ドコモ
発信者がわからない「短縮URL」は無視する
短縮URLをご存知ですが? たとえば
http://bit.ly/2YqK2pM
といったどこのドメインだか会社だか推測できないURLです。
これた短縮URLといって「長いURLそのままだと本文が見づらくなるため、省略して短いURLに変換するサービス」を使っているからです。
※ちなみに上記の短縮URL(http://bit.ly/2YqK2pM)はこのブログのURL(https://keepmealive.jp/anti-smishing/)を短縮URLに変換したものです
しかし上記の見本の通り、NTTドコモのような正当なSMSでは、身元が不明となる短縮URLは使いません。短縮URLを使ったSMSは「怪しい」と見なして相手にしない方が無難です。
現状は法律も警察も穴だらけ。「自分の身は自分で守る」しかない!
規約上「何があってもユーザーの責任」と宣言している事業者が大半!?
常識的に考えるとあり得ないような話しですが、ユーザーが詐欺に巻き込まれて被害を受けても、規約上「すべてユーザーの責任」としている事業者が大多数です。
7ペイもその様な規約に明記していましたが、先日の大事件のあとは「全額補償」とはっぴ要しました。結果的に補償されることは多いとは思いますが、現実にはそう規定している会社がほとんどです。
ユーザーとしては、企業の社会的責任の取り方や信頼性を「規約からも読み取る」力が必要になりそうです。
セブンペイの事件の後もセキュリティーに関わる事故の報道は後を絶ちません。ネット上でも「見に覚えのない通知メールが来る」とか「不正アクセスされて不正決済をされて損害を受けた」といった悲痛な声が多数上がってきています。 どうしたらこのようなト[…]
警察も不正使用事件では頼りにならず!?
また頼りの警察も、今の法律の解釈では
「被害者は通信事業者、不正利用された決済事業者、不正購入されたネット販売業者」
「ユーザーは被害者ではない」
という解釈がされて、ユーザーが警察に届け出ても「被害者はあなたではなく、決済サービス会社だから」と被害届受け付けてもらえず「代金を泣く泣く支払うしかない!」 という現実があります。
いずれは法律も各社の規約も現実に追いつき、きちんとした対策が取られると思いますが、それまでは私たちは
「信頼できない決済サービスは使わない」
「自分のセキュリティーは自分で守る」
という強い覚悟も必要となってきています。
まとめ:
これからは電話番号も無警戒に伝えることは止めよう
以上「スミッシング(SMSフィッシング詐欺)メール」についてご案内してきましたが、これからは「電話番号も」も一段と大切な個人情報として取り扱い、安易に信頼できない事業者に提供する事は止めましょう。
電話番号が流出すると、スミッシングが届くリスクが高まってしまいます。
また忘れがちな重要事項として、
「スマホ本体には電話番号や通信事業者を特定する情報はない」
「電話番号など大切な情報はのSIMカード」
ということをご認識下さい。
スマホ本体はそのままでも、SIMカードを盗まれたり、別のSIMカードと入れ替えられたりすれば、犯人は容易にあなたに成り代わってSMSの送受信ができてしまいます。そうなっては二段階認証もなにも役に立ちません。 今やスマホは「命の次に大切」という方は増えていると思います。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?第1の重要なポイントが「スマホのロック」です。
使う時不便では困りますし、簡単なものにしてし[…]
スマホのSIMカードを守るため、上の記事をご参照いただき、かならず「SIMの暗証番号(PIN番号)ロック」の設定をなさるよう強くお薦めします。
当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!
当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。
Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。
今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。