fbpx

ドコモや宅配便、Amazon、金融機関をよそおうスミッシング詐欺(=SMSフィッシング)の最新手口と対策は?

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト
SMSを悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が広がっています。
宅配便、Amazon、楽天の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がっています。女優の生駒里奈さんも被害にあいました。
被害の内容や事例から、どうして「スミッシングが増えるの」「SMSとメールのフィッシング詐欺はどこが違うのか」など基本から対策まで詳しくご説明します
/ins>

「スミッシング(SMSフィッシング詐欺)」とは?

スミッシング(=SMSフィッシング詐欺)は詐欺SMSのこと

聞き慣れないスミッシング(Smishing)とは、SMS(ショートメッセージ/ショートメール)を使ったフィッシング(phishing)詐欺メールのことで、SMSとフィッシング詐欺(Phishing)を組み合わせた造語です。

かつてはあまり見かけませんでしたが、2015年頃から、新たなネット犯罪の手段として使われるようになってきました。

 

スミッシング(=SMSフィッシング詐欺)が悪用するブランドは?

Amazonからの不正なSMS~「Amazonアカウントの情報を更新する必要があります」「Amazonお客様決済に異常ログインの可能性がありますウェブページで検証お願いします。」 楽天の発送案内をよそおう詐欺SMS「楽天市場でご購入ありがとうございます。商品発送状況はこちらでご確認ください。

 

これまでの被害で最も目立つのは ヤマト運輸、佐川急便、日本郵政といった宅配便会社の不在通知をよそおうものです。

「宅配便の不在通知を装ったSMS詐欺の被害が目立つ」と、セキュリティの専門機関であるIPA独立行政法人情報処理推進機構フィッシング対策協議会からたびたび注意が出ています。

ところが次第に「Amazon」「楽天」そして「三井住友銀行、三菱UFJ銀行さらに地方銀行など多様な金融機関」をかたるものが増えてきました

特に地方銀行を狙うものは、今までなかったため、地方のシニア、お年寄りがだまされて被害にあう方が多く、特に注意が必要です。

宅配便不在通知や三菱UFJを名乗る偽SMS・偽メールにご注意ください!(12月9日更新)

琉球銀行の注意喚起:当行を装ったSMS(ショートメッセージ)について

 

ブログ内の関連記事(新しいウィンドウで開きます)

フィッシング詐欺のメールやSMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特に宅配便の不在通知を装う詐欺SMSはうっかりクリックしやすく危険です。しかし正しい知識と基本的な対策があれば恐れることはありません。「もし[…]

フィッシングSMSのイメージ

 

これからもスミッシング(=SMSフィッシング詐欺)はますます増える!

フィッシング詐欺の舞台はメールからSMSへ移りつつある

携帯電話同士で電話番号を相手を識別するキーとして用い、短いテキスト文字だけのメッセージをやりとりするSMS(=ショートメッセージサービス)は、コストが安く、メールよりもすばやく送受信できる利点があります。

またSMSは電話番号という「全世界にひとつしかなく、しかも偽装できない個人の番号」を使うことから「二段階認証の本人確認」など大切な認証の手段としても使われるようになりました。

ところがその特性を逆手にとったスミッシング=SMS詐欺が横行するようになりました。

下のグラフは「国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移~つまりスミッシングに引っかかってしまった数」です。2019年に入って激増していることが分かります。

図5:国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移
■引用:トレンドマイクロ「スマートフォン利用者を狙うSMS経由の攻撃が2019年を通じて拡大」

まさに上記のSMSの利点や特徴を逆手に取ってユーザーをあざむくスミッシングが増えてきたのです。

 

SMSは詐欺には使われにくいと思われていたが、、、、

普通のメールがフィッシング詐欺に使われやすい理由

SMSは、メールより短くてシンブル、「文字だけしか使えないメッセージだから偽装ができにくい」と思われてきました。

一例として以下のメール偽装方法をご覧ください。

詐欺メールの基本的な偽装方法

https://www.yahoo.co.jp/

見た目は普通の「Yahoo!のURL」ですが、クリックすると当ブログのトップページが開いてしまいます。

実は上のURLはただの文字ではなく、<a href=”https://keepmealive.jp/” target=”_blank” rel=”noopener”>https://www.yahoo.co.jp/</a> というhtmlコードで記載されています。

これをブラウザーやメールソフトで見ると、まるで普通のURLのように見えてしまい、飛び先を偽装することができるのです。

しかしこの偽装方法は純粋に文字だけしか送信できずブラウザーを使わないSMSには使えません。

さらに通常のメールは文字だけでなく、htmlのようなコードとか、画像、ファイルを添付することができます。

それらの機能を悪用して詐欺へ導くのです。

メールに比べてSMSは文字しか遅れないので偽装がしにくい

ところがSMSはそもそも文字しか入力できません。

画像の添付もできないため、偽装のしようもなく「安全だ」と思われてきました

つまり「スミッシング(Smishing)=SMSを使ったフィッシング(phishing)詐欺メール」の多発は、ユーザーに染みついた「SMSは安全」という意識の盲点を突いた物と言えます。

 

SMSは犯人にとって偽造がしやすい

SMSは長い間自分だけに届く安全なメール」と思われてきました。

またテキストしか送信できないため、迷惑メールフィルターも用意されず、必ず相手にダイレクトに届いてしまいます。

犯人はそこを逆手にとって、膨大なスミッシング(=SMSフィッシング詐欺)を送りつけているのです。

SMSは携帯電話からしか発信できないと思われがちですが、

  • 送信元名/送信元電話番号を偽装して多数の電話番号に一斉に配信するツールを使い、多数の電話番号に同時にスミッシング(=SMSフィッシング詐欺)を配信
  • マルウェアで乗っ取った携帯を遠隔操作して、スミッシング(=SMSフィッシング詐欺)配信

と言った手口で、主に海外の犯罪組織から、多数のスミッシング(=SMSフィッシング詐欺)が行われています。

メールアドレスも発信元も偽造できるとなると、犯人にとって、メールよりも手軽で使いやすいとも言えるのです。

 

犯人はどうやって電話番号を知るのか?

ほとんどは数字を組み合わせて電話番号を作り、大量のSMSを送っているだけ

スミッシング(=SMSフィッシング詐欺)の一部は出回っている電話番号リストを使っていますが、ほとんどの場合は適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。

したがって決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません!

「反応があった。だましやすい電話番号だ」とリストに記録され、スミッシング犯に悪用されて、ますます詐欺ののターゲットにされてしまいます!!

 

スミッシング(SMSフィッシング詐欺)の手口と対策

スミッシング(SMSフィッシング詐欺)の手口は「偽のURLをクリックさせる」しかない

普通のフィッシングメールでは、

  • 本物と見分けがつかない巧妙な偽造メールを送って、ウイルスやマルウェアを仕込んだ添付ファイルを開かせる
  • 画像に見せかけたウイルスメールを添付ファイル送りつける
  • 本文中の偽装したURLをクリックさせて、ウイルスやマルウェアをダウンロードさせる

と言ったいろいろな手口を取ることができます。

ところが、「スミッシング(SMSフィッシング詐欺)メール」の手口はひとつしかありません。それは

「偽のURLをクリックさせる」

ということだけです。

それならば対策は二つだけ

  1. SMSに書かれているURLは原則としてクリックしない
  2. どうしてもクリックする必要があるときは本物のURLか確認する

になります。

 

スミッシング(SMSフィッシング詐欺)はクリックしただけでは被害は発生しない

なお詐欺メールと違い、詐欺SMSはメールと異なり、文字情報しか送れず、ファイル添付もできないので、メッセージに不正動作をさせるブログラムやウイルスを仕込むことはできません。

クリックしただけではなにも危険はありません。

クリックした先で何かをしてしまって始めて被害にあいます。

 

詐欺SMS(スミッシング)で詐欺サイトへ誘導する2つの手口

手口1.偽造サイト上で個人情報を入力させて盗む

SMSのURLをクリックすることで、本物をコピーして精巧に偽造された、AmazonなどECサイト、大手銀行、地方銀行、オンライン銀行などのサイトに誘導し、個人情報を盗み取ろうとします。

ここで気がつかずに、あわてて個人データを入力してしまうと被害に繋がってしまいます。

生駒里奈さんもこの手口にだまされてクレジットカードを盗まれ、15万円ほどの不正利用をされてしまいました。

入力された情報は犯人達によって悪用されるだけでなく、リスト化され、ブラックマーケット(ダークWeb)で売買されます。

そして2020年9月に大きく報道された「ドコモ口座の不正引き落とし事件」など、大規模な不正ログイン事件で発生した不正出金などに、こうして集められた個人情報が悪用されています。

なお犯行はプロの犯罪者集団によって行われており、日々新しいパターンが登場しています。

また偽装サイトのURLもすぐに変更され、セキュリティソフトの対策も追いつかないほどです。

 

手口2.「アップデートが必要」などと不正アプリやマルウェアをインストールさせて、スマホを乗っ取る

宅配便の不在通知をクリックしたらマルウェアを入れられた

SMSのURLをクリックすると、上記のように

 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」
「新型コロナ対策のために新しいアプリにバージョンアップしてください」

などとポップアップが表示されます。ここでうっかり「OK」を押してしまうと、スマホに不正アプリがインストールされてしまいます

上の例では「OK」を押すと「Trojan-Banker.AndroidOS.Agent」という「偽のオンライン銀行に誘導するマルウェア(トロイの木馬)」がダウンロードされてしまいましたが、セキュリティ対策アプリが不正を検知して、削除してくれました。

また上記以外にも、

  • 「コロナ感染対策のため新しいアプリをダウンロードしてください」とだまし、不正アプリをイントールさせる。
  • グーグルChromeに似たアイコンの偽アプリを入れさせる。

といった手口で、

「スマホの個人情報を盗まれる」
「遠隔操作されるマルウェアを入れられて、新たな詐欺SMSの発信元にされたり、銀行アプリを使う時に偽サイトに誘導される」

などの被害が確認されています。

 

詐欺SMS(スミッシング)の被害にあわないためには?

詐欺SMS(スミッシング)犯は人の心理を巧みにあやつる

人は誰でも、選択を迫られた際に、

  1. 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
  2. さらに、すぐに得られる利益や成果を優先して選択してしまう

と、「安易な選択をしてしまう」心理上の弱点を持っています。

この心理を双曲割引(そうきょくわりびき)といいます。ング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

「何か起きてしまっている!」という不安を解決したばかりに、「怪しいショートメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。

不安に駆られたら「双曲割引に陥っていないか?」、自問自答して冷静になりましょう!

 

SMSできた通知はすべて疑うこと

電話番号を発行したドコモとかAU、ソフトバンクのような通信事業者を除いて、SMSでユーザーに重要事項を連絡する事業者はありません。

銀行も宅配便の大手3社も「不在通知をSMSで送ることはないい」と明言しています。

企業からのSMSは「携帯電話会社以外はすべて詐欺!」と見なして処理するのが賢明です。

 

SMSのURLをクリックする時は本物か確認する方法は?

1.まず事業者のサイトを訪問して、警告が出ていないか確認する。

SMSでURLが送られてきて「さてこれはクリックするべきか?」迷ったときは、すぐにブラウザーを開いて「送信元の事業者のホームページ」を検索してトップページやお知らせページを見ましょう。

「スミッシング(SMSフィッシング詐欺)メール」が確認されたサービスでは、必ずサイトのトップに「お客様に緊急のお知らせ」といった表示があり、以下のように偽メッセージに大きく注意が喚起されているはずです。

宅配便不在通知や三菱UFJを名乗る偽SMS・偽メールにご注意ください!(12月9日更新)


出典 三菱UFJ銀行

 

2.SMSの文面に惑わされず、直接事業者のカスタマーサポート、コールセンターに確かめる

これが一番楽で確実な方法です。

なんでもネットのやりとりで解決しようとせず、事業者に問い合わせて真偽を確認しましょう

あなたにSMSで緊急通知を送るような事業者なら、確実に問い合わせ先を用意しているはずです。そこに問い合わせせれば、本人確認の後「事実はすぐに分かる」はずです。

ただしSMS文中や送信元に連絡してはいけません

  • 届いたSMSやメールの返信で問い合わせない
  • SMSやメールに書かれた問い合わせ先ではなく、公式サイトを検索して、直接問い合わせる

ようにしましょう。

3.URLが正規なものか確かめる

詐欺SMS(スミッシング)を見分けるために、正規の自社URLを公表している事業者もあります。

しかし、URLは複雑でなかなか確認するのは大変です。

そこで奴に立つのが、文中のURLが正しいものかスキャンしてくれるオンラインサービスがです。

おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

発信者がわからない「短縮URL」は無視しよう

短縮URLをご存知ですが? たとえば

http://bit.ly/2YqK2pM

といったどこのドメインだか会社だか推測できないURLです。

これた短縮URLといって「長いURLそのままだと本文が見づらくなるため、省略して短いURLに変換するサービス」を使っているからです。
※ちなみに上記の短縮URL(http://bit.ly/2YqK2pM)はこのブログのURL(https://keepmealive.jp/anti-smishing/)を短縮URLに変換したものです

しかし上記の見本の通り、まともな事業者は身元が不明となる短縮URLは使いません

短縮URLを使ったSMSは「怪しい」と見なして無視しましょう!

ブログ内の関連記事(新しいウィンドウで開きます)

URLの「httpのsの有無」には大きな違いがあります。しかし「sがついているから、鍵マークがあるから安心」は今では古い知識で危険な非常識です。どうして「httpsは安心できないのか?」URLのhttpとhttpsの違いのからSSLや鍵[…]

httpとhttpsの違いを理解しよう

 

★★少しでも不安を感じたら、パソコンやスマホを無料のセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールしたかも?と思ったら」すぐ検査

Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。

まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。

※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。

※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。

※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします

また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

 

 

 

現状は法律も警察も穴だらけ。「自分の身は自分で守る」しかない!

規約上「何があってもユーザーの責任」と宣言している事業者が大半!?

常識的に考えるとあり得ないような話しですが、ユーザーが詐欺に巻き込まれて被害を受けても、規約上「すべてユーザーの責任」としている事業者が大多数です。

セブンペイも「ユーザー責任」と規約に明記していましたが、先日の大事件のあとは「全額補償」と発表しました。

結果的に補償されることは多いとは思いますが、現実には規程にはユーザー責任と規定している会社がほとんどです。

ユーザーとしては、企業の社会的責任の取り方や信頼性を「規約からも読み取る」力が必要になりそうです。

ブログ内の関連記事(新しいウィンドウで開きます)

セブンペイの事件の後もセキュリティに関わる事故の報道は後を絶ちません。ネット上でも「見に覚えのない通知メールが来る」とか「不正アクセスされて不正決済をされて損害を受けた」といった悲痛な声が多数上がってきています。どうしたらこのようなトラ[…]

不正アクセスを試みるハッカーのイメージ

警察も不正使用事件では頼りにならず!?

また頼りの警察も、今の法律の解釈では
 「被害者は通信事業者、不正利用された決済事業者、不正購入されたネット販売業者」
 「ユーザーは被害者ではない」
という解釈がされて、ユーザーが警察に届け出ても「被害者はあなたではなく、決済サービス会社だから」と被害届受け付けてもらえず「代金を泣く泣く支払うしかない!」 という現実があります。

いずれは法律も各社の規約も現実に追いつき、きちんとした対策が取られると思いますが、それまでは私たちは
 「信頼できない決済サービスは使わない」
 「自分のセキュリティは自分で守る」

という強い覚悟も必要となってきています。

 

ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?

定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。

無料で簡単・確実にチェックしてくれます。

詳しくは当社の下記ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

2021年4月、Facebookが5億人もの個人情報を流出させていたと衝撃の発表がありました。LinkedIn、Clubhouseも同様の流出問題を発生させています。これまで無数の企業やサービスから個人情報が流出していますが、「自分の電[…]

 

おまけ「将来有効になりそうな対策+メッセージ」

ドコモの+メッセージ(プラスメッセージ)2018年からSMSの進化版として携帯大手3社(ドコモ、AU、ソフトバンク)が共同で「+メッセージ(プラスメッセージ)」を開始しました。
SMSやSNSのメッセージサービスの弱点をカバーする、新システムとして注目を浴びました。

たとえば、審査を通過した安全な企業からのメッセージには、左のように「認証済みの印」として「グリーンのチェック印」がつきます。

+messageのグリーンの認証済みマークこの認証制度が進めば、企業をかたる詐欺SMSが撲滅できるはずですが、なかなか普及が進んでいません。

ようやくiPhoneにも対応しましたので、これからを期待するとともに、まだインストールしていない方は導入しましょう

まとめ:
これからは電話番号も無警戒に伝えることは止めよう

以上「スミッシング(SMSフィッシング詐欺)メール」についてご案内してきましたが、これからは「電話番号も」も一段と大切な個人情報として取り扱い、安易に信頼できない事業者に提供する事は止めましょう。

電話番号が流出すると、スミッシングが届くリスクが高まってしまいます。

また忘れがちな重要事項として、
 「スマホ本体には電話番号や通信事業者を特定する情報はない」
 「電話番号など大切な情報はのSIMカード」
ということをご認識ください。

スマホ本体はそのままでも、SIMカードを盗まれたり、別のSIMカードと入れ替えられたりすれば、犯人は容易にあなたに成り代わってSMSの送受信ができてしまいます。そうなっては二段階認証もなにも役に立ちません。

ブログ内の関連記事(新しいウィンドウで開きます)

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

スマホをロックするイメージ

スマホのSIMカードを守るため、上の記事をご参照いただき、かならず「SIMの暗証番号(PIN番号)ロック」の設定をなさるよう強くお薦めします。

ブログ内の関連記事(新しいウィンドウで開きます)

近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。しかもフィッシングの手口[…]

Amazonをかたるフィッシング詐欺メールのイメージ

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。