スミッシング (Smishing) とは、SMS (ショートメッセージ) を利用したフィッシング詐欺の手法です。「SMS」と「Phishing」を組み合わせた造語で、偽のメッセージに含まれるリンクから受信者を偽サイトに誘導し、個人情報やクレジットカード情報を窃取します。フィッシング対策協議会の報告によると、SMS 経由のフィッシング報告件数は年々増加しており、全フィッシング報告の約 2 割を占めるまでに拡大しています。
典型的な手口は 4 パターンに分類できます。第一に、宅配業者を装った不在通知 (「お荷物をお届けに上がりましたが不在でした」)。第二に、銀行を装ったセキュリティ警告 (「お客様の口座に不正アクセスがありました」)。第三に、通信事業者を装った料金未払い通知 (「利用料金が未納です。本日中にお支払いください」)。第四に、官公庁を装った還付金通知 (「税金の還付があります」)。いずれも緊急性を煽る文面で冷静な判断を奪い、リンク先の本物そっくりの偽サイトで ID・パスワード・クレジットカード番号を入力させます。
スミッシングがメールフィッシングより厄介な理由は、SMS の信頼性の高さにあります。メールはスパムフィルターで大半が除去されますが、SMS は到達率がほぼ 100% で、開封率も 90% 以上とされています。さらに、発信者番号偽装技術を使えば、正規の企業名や電話番号を送信元として表示できるため、受信者が偽物と見抜くのは困難です。Android 端末では、偽サイトからマルウェア入りのアプリをインストールさせ、端末内の連絡先に同様の SMS を自動送信させる「ボット化」の手口も確認されています。
対策の基本は、SMS 内のリンクを絶対にタップしないことです。宅配の不在通知なら公式アプリや公式サイトで直接確認し、銀行の通知ならブックマークからログインします。身に覚えのない SMS は無視して削除するのが最善です。iPhone の「不明な差出人をフィルタ」機能や、Android の「スパム保護」機能を有効にすると、不審な SMS を自動的に振り分けられます。発信者番号偽装のリスクで偽装 SMS の見分け方を確認できます。