「お届け予定の荷物があります。確認はこちら」
ある日突然、こんなSMSがスマートフォンに届いたことはありませんか?何気なくURLをタップしたら、見覚えのあるような配送業者のサイトが表示されて、住所や名前の入力を求められる。ちょっと待ってください。それ、本物のサイトでしょうか?
実はこれ、「スミッシング」と呼ばれる詐欺の典型的な手口です。近年、スマートフォンの普及とともに被害が急増しており、2023年のフィッシング詐欺の報告件数は119万件を超えました。5年前と比べると、なんと20倍以上の増加です。
この記事では、スミッシングの仕組みから見分け方、そして万が一被害にあった場合の対処法まで、わかりやすく解説します。「自分は大丈夫」と思っている方こそ、ぜひ最後まで読んでみてください。
目次
スミッシングとは?SMSを使ったフィッシング詐欺
スミッシングとは、SMS(ショートメッセージサービス)を使ったフィッシング詐欺のことです。「SMS」と「phishing(フィッシング)」を組み合わせた造語で、英語では「Smishing」と表記します。
フィッシング詐欺といえば、以前はメールを使った手口が主流でした。「あなたのアカウントが停止されました」といった偽メールを送り、偽サイトに誘導して個人情報を盗み取る手法です。スミッシングは、この手口をSMSに応用したものと考えるとわかりやすいでしょう。
では、なぜ最近になってSMSを使った詐欺が増えているのでしょうか?
その理由は主に3つあります。1つ目は、SMSの開封率の高さです。メールは迷惑メールフォルダに振り分けられたり、そもそも開封されなかったりすることが多いですが、SMSは通知が目立つため、ほとんどの人が内容を確認します。
2つ目は、電話番号の予測しやすさです。メールアドレスと違い、携帯電話番号は11桁の数字だけで構成されています。攻撃者はランダムに番号を生成して大量送信することで、実在する番号に届く確率を高められます。
3つ目は、SMSへの信頼感です。私たちは普段、銀行や配送業者から正規のSMSを受け取ることがあります。そのため、SMSで届いたメッセージには「何か重要な連絡かもしれない」という心理が働きやすいのです。
スミッシングの手口と攻撃の流れ
よくある手口5パターン
スミッシングの手口は年々巧妙になっていますが、よく使われるパターンがあります。代表的な5つを紹介しましょう。
1. 宅配業者を装う手口
「お荷物をお届けしましたが不在でした。再配達はこちら」といった内容が典型的です。ネット通販の利用が増えた今、「何か届くかも」と思ってしまう人は多いでしょう。佐川急便、ヤマト運輸、日本郵便などを装うケースが多発しています。ちなみに、これらの会社は公式に「SMSでの不在通知は行っていない」と発表しています。
2. 金融機関・クレジットカード会社を装う手口
「お客様の口座に不正アクセスがありました。至急ご確認ください」「カードの利用を一時停止しました」など、不安を煽る内容が特徴です。焦ってURLをタップすると、本物そっくりの偽サイトに誘導され、口座情報やパスワードを入力させられます。
3. 大手ECサイトを装う手口
Amazonや楽天市場などになりすまし、「支払い方法に問題があります」「アカウントが制限されています」といったSMSを送ってきます。利用者が多いサービスほど、無差別に送信しても「当たる」確率が高くなるわけです。
4. 通信キャリアを装う手口
「ご利用料金が高額になっています」「未払いのためサービスを停止します」など、携帯電話会社を装った手口も増えています。毎月の利用料金に関することなので、つい確認したくなる心理を突いています。
5. 公的機関を装う手口
最近では、国税庁やマイナポイント事務局を装う手口も報告されています。「【重要】税金の未払いがあります」「マイナポイントの受け取り期限が迫っています」といった内容で、公的機関の権威を利用して信じ込ませようとします。
攻撃の流れを理解する
スミッシング攻撃は、おおむね次のような流れで進みます。
まず、攻撃者は大量のSMSを無差別に送信します。届いたSMSには、偽サイトへのURLが記載されています。受信者がそのURLをタップすると、本物のサイトにそっくりな偽サイトが表示されます。
偽サイトでは、ログイン情報やクレジットカード番号、住所や氏名などの入力を求められます。「本人確認のため」「セキュリティ強化のため」といった理由をつけて、疑われにくくしているのがポイントです。
入力された情報は、そのまま攻撃者の手に渡ります。その後、不正送金、なりすまし、アカウントの乗っ取りなど、さまざまな被害につながります。盗まれた情報がダークウェブで売買されるケースもあり、被害が連鎖的に広がることもあります。
スミッシングの見分け方【5つのチェックポイント】
怪しいSMSを見分けるには、いくつかのポイントがあります。次の5つをチェックする習慣をつけましょう。
1. 送信元の電話番号を確認する
見覚えのない電話番号や、海外の番号(+81以外から始まる番号)には要注意です。ただし、最近は国内の番号を偽装するケースもあるため、番号だけで判断するのは危険です。
2. URLが公式ドメインか確認する
URLをよく見てみましょう。たとえば、Amazonの公式サイトは「amazon.co.jp」ですが、偽サイトは「amazon-login.xyz」や「amaz0n.co.jp」(oがゼロ)など、微妙に違うドメインを使っています。短縮URL(bit.lyなど)が使われている場合も警戒が必要です。
3. 「緊急」「至急」など不安を煽る文言に注意
「今すぐ対応しないとアカウントが停止されます」「24時間以内に手続きしてください」といった、焦らせる文言は詐欺の常套手段です。本当に緊急の場合、企業は電話やはがきなど複数の手段で連絡してきます。
4. 日本語の不自然さをチェック
海外の犯罪グループが翻訳ツールを使って作成したSMSは、日本語がどこか不自然なことがあります。句読点の位置がおかしい、敬語の使い方が変、といった違和感があれば疑いましょう。ただし、最近はAIの発達で自然な文章も増えているため、これだけで判断するのは難しくなっています。
5. 身に覚えのない内容かどうか確認する
そもそも、そのサービスを使っていますか?利用していない銀行やECサイトからのSMSは、明らかに詐欺です。また、荷物を注文した覚えがないのに「不在通知」が届いた場合も同様です。
迷ったときは、SMSのURLをタップせず、公式アプリや検索エンジンから直接サービスにアクセスして確認しましょう。少しの手間が、大きな被害を防ぎます。
スミッシング被害を防ぐための対策
個人でできる対策
スミッシングから身を守るために、今日からできる対策を紹介します。
URLを安易にクリックしない
これが最も重要です。SMSに記載されたURLは、基本的にタップしないと決めておきましょう。どうしても内容を確認したい場合は、公式アプリを開くか、ブラウザで公式サイトを検索してアクセスしてください。
公式アプリ・公式サイトから直接確認する
銀行、ECサイト、配送業者など、よく使うサービスは公式アプリをインストールしておくと安心です。SMSで「問題がある」と言われても、公式アプリで確認すれば本当かどうかすぐにわかります。
OSやアプリを最新に保つ
スマートフォンのOSやアプリには、セキュリティの弱点(脆弱性)が見つかることがあります。アップデートには、これらの弱点を修正する内容が含まれています。「あとで」と後回しにせず、こまめに更新しましょう。
迷惑SMS対策機能を活用する
最近のスマートフォンには、迷惑SMSをブロックする機能が搭載されています。iPhoneの場合は「設定」→「メッセージ」→「不明な差出人をフィルタ」、Androidの場合は「メッセージ」アプリの設定から迷惑メール対策を有効にできます。各通信キャリアが提供する迷惑SMS対策サービスを利用するのも効果的です。
企業・組織で取り組むべき対策
業務でスマートフォンを使う機会が増えた今、企業もスミッシング対策を講じる必要があります。
従業員へのセキュリティ教育
定期的にセキュリティ研修を実施し、スミッシングの手口や対処法を周知しましょう。実際の攻撃事例を共有すると、より理解が深まります。「自分は関係ない」と思っている従業員こそ、被害にあいやすいものです。
多要素認証の導入
業務システムやクラウドサービスに多要素認証を導入しておけば、万が一パスワードが漏洩しても、不正アクセスを防げます。パスワードに加えて、スマートフォンへの認証コード送信や、指紋認証などを組み合わせる方法です。
不審なSMS報告の仕組み作り
怪しいSMSを受け取った従業員が、すぐに情報システム部門に報告できる体制を整えましょう。「判断に迷ったら報告」というルールを徹底することで、個人の判断ミスを防げます。報告された事例を社内で共有すれば、他の従業員への注意喚起にもなります。
もしスミッシング被害にあったら?対処法を解説
「URLをタップして、個人情報を入力してしまった」——そんなときは、落ち着いて以下の対応を取りましょう。
1. 冷静に状況を把握する
まずは深呼吸。パニックになると、さらに判断を誤る可能性があります。どのサイトで、どんな情報を入力したかを思い出してメモしておきましょう。
2. パスワードを即座に変更する
入力してしまったサービスのパスワードをすぐに変更してください。同じパスワードを他のサービスでも使い回している場合は、そちらも全て変更が必要です。これを機に、パスワードの使い回しをやめることをおすすめします。
3. クレジットカード会社・金融機関に連絡
クレジットカード情報や口座情報を入力してしまった場合は、すぐにカード会社や銀行に連絡しましょう。カードの利用停止や、口座の監視強化などの対応をしてもらえます。不正利用があった場合も、早期に連絡すれば補償を受けられるケースが多いです。
4. 警察・消費者センターへ相談
被害にあった場合は、最寄りの警察署やサイバー犯罪相談窓口(#9110)に相談しましょう。また、消費者ホットライン(188)でも相談を受け付けています。相談することで、同様の被害を防ぐことにもつながります。
5. 不正アプリがないか確認・削除
偽サイトからアプリのインストールを促された場合、マルウェア(悪意のあるソフトウェア)がスマートフォンに入り込んでいる可能性があります。見覚えのないアプリがインストールされていないか確認し、あれば削除してください。心配な場合は、セキュリティソフトでスキャンするか、専門家に相談しましょう。
まとめ
スミッシングは、私たちの身近に潜む脅威です。SMSという日常的なツールを悪用するため、誰もが被害者になる可能性があります。
しかし、手口と見分け方を知っていれば、被害を防ぐことは十分に可能です。今日からできる対策をまとめると、次の3つになります。
- SMSに記載されたURLは基本的にタップしない
- 確認したいときは公式アプリや公式サイトから直接アクセスする
- 迷ったら、一人で判断せず誰かに相談する
「自分は騙されない」と思っている人ほど、実は狙われやすいものです。この記事の内容を、ぜひご家族や職場の同僚にも共有してください。一人ひとりの意識が高まれば、スミッシングの被害は確実に減らせます。
怪しいSMSが届いたら、タップする前に一呼吸。その習慣が、あなたの大切な情報を守ります。
