SMS 詐欺 (スミッシング) の手口と対策

スミッシングとは

スミッシング (Smishing) とは、SMS (ショートメッセージ) を利用したフィッシング詐欺です。偽のメッセージで不正な URL に誘導し、個人情報やクレジットカード情報を盗み取ります。フィッシング対策協議会の報告によると、スミッシングの報告件数は 2023 年に約 53 万件を超え、前年比で約 1.3 倍に増加しています。スマートフォンの普及率が 9 割を超える現在、SMS は犯罪者にとって効率的な攻撃手段となっています。

スミッシングがメールによるフィッシングよりも危険とされる理由は、SMS の開封率の高さにあります。メールの開封率が約 20% であるのに対し、SMS の開封率は約 90% に達するとされています。また、SMS はスマートフォンの通知として即座に表示されるため、受信者が内容を確認する確率が極めて高く、犯罪者にとって費用対効果の高い攻撃手段です。

よくある手口

宅配便の不在通知を装う

「お荷物のお届けにあがりましたが不在のため持ち帰りました」という SMS で偽サイトに誘導します。正規の宅配業者は SMS で不在通知を送ることはほとんどありません。偽サイトでは不正なアプリのインストールを促されたり、個人情報の入力を求められたりします。Android 端末では不正アプリがインストールされると、端末から大量の SMS が自動送信され、通信料金が高額になるケースも報告されています。EC サイトの利用が日常化した現在、荷物の配達を待っている人が多いため、この手口は特に効果的です。

金融機関を装う

「お客様の口座に不正アクセスがありました」「本人確認が必要です」「口座が凍結されます」といった SMS で偽のログインページに誘導し、ID やパスワードを盗みます。正規の金融機関のサイトと見分けがつかないほど精巧に作られた偽サイトが使用されるため、URL を注意深く確認する必要があります。三菱 UFJ 銀行、三井住友銀行、みずほ銀行、ゆうちょ銀行など、利用者の多い金融機関が特に狙われています。

通信事業者を装う

「ご利用料金が未払いです」「契約内容の確認が必要です」といった SMS で偽サイトに誘導するケースも増加しています。NTT ドコモ、au、ソフトバンクなどの大手キャリアを装い、公式サイトに酷似した偽ページでログイン情報を窃取します。キャリア決済の不正利用に発展するケースもあり、被害額が数十万円に達することもあります。

公的機関を装う

国税庁、厚生労働省、市区町村の名前を騙り、「還付金の手続き」「給付金の申請」などを理由に偽サイトへ誘導する手口です。公的機関が SMS で個人情報の入力を求めることはありません。確定申告の時期や給付金の支給時期に合わせて大量に送信されるのが特徴です。

EC サイトを装う

Amazon、楽天市場、メルカリなどの大手 EC サイトを装い、「アカウントが停止されました」「不正なログインが検出されました」「支払い方法の更新が必要です」といった SMS で偽サイトに誘導する手口です。偽サイトでクレジットカード情報やログイン情報を入力させ、アカウントの乗っ取りや不正決済に悪用します。

スミッシングの技術的な仕組み

スミッシングの背後には、高度な技術的インフラが存在します。犯罪者がどのようにして大量の詐欺 SMS を送信しているかを理解することで、対策の重要性がより明確になります。

• SMS 送信サービスの悪用 — 正規の SMS 配信サービスを不正に利用し、大量の詐欺 SMS を一斉送信する。1 通あたり数円のコストで数万通を送信できるため、犯罪者にとって費用対効果が高い
• SIM スワップ攻撃 — 被害者の電話番号を犯罪者の SIM カードに移し替え、SMS 認証を突破する手口。二段階認証の SMS コードを傍受するために使用される
• 不正アプリによる SMS 送信 — Android 端末に不正アプリをインストールさせ、その端末から大量の詐欺 SMS を自動送信する。被害者の端末が加害者の端末として利用される
• 発信者番号の偽装 — 正規の企業や金融機関の SMS 送信元番号を偽装して送信する。受信者のスマートフォンでは正規の SMS と同じスレッドに表示されるため、判別が極めて困難

見分け方と対策

• URL を確認する — 正規のドメインか確認しましょう。短縮 URL は特に注意が必要です。正規の企業は独自ドメインを使用しており、ランダムな文字列のドメインは偽サイトの可能性が高いです。例えば、Amazon の正規ドメインは amazon.co.jp であり、amazon-security-alert.com のような類似ドメインは偽物です。
• SMS 内のリンクをタップしない — 公式アプリや公式サイトからブックマーク経由で直接アクセスする習慣をつけましょう。SMS に記載された URL は一切タップしないというルールを徹底することが最も効果的な対策です。
• 発信元番号を検索する — 当サイトで番号を検索し、口コミを確認してください。他の利用者からの報告が詐欺判定の参考になります。
• セキュリティソフトを導入する — 不正サイトへのアクセスをブロックするセキュリティソフトを導入しましょう。ノートン、カスペルスキー、ESET などの主要なセキュリティソフトはフィッシングサイトの検出機能を備えています。
• 二段階認証を設定する — 万が一パスワードが漏洩しても、二段階認証が設定されていれば不正ログインを防げます。SMS 認証よりも認証アプリ (Google Authenticator、Microsoft Authenticator) を使用する方がより安全です。
• OS とアプリを最新の状態に保つ — スマートフォンの OS やアプリを常に最新バージョンに更新し、セキュリティパッチを適用しましょう。
• 不明な差出人のフィルタリングを有効にする — iPhone では「設定」→「メッセージ」→「不明な差出人をフィルタ」を有効にすることで、連絡先に登録されていない番号からの SMS を別フォルダに振り分けられます。

スミッシング被害の実例

実際に報告されているスミッシング被害の事例を紹介します。これらの事例から、手口のパターンと被害の深刻さを理解しましょう。

• 宅配便偽装による個人情報窃取 — 30 代男性が大手宅配業者を装った SMS のリンクをタップし、偽サイトで個人情報を入力。クレジットカードが不正利用され、約 50 万円の被害が発生
• 銀行偽装による不正送金 — 60 代女性が銀行を装った SMS から偽サイトにアクセスし、インターネットバンキングの ID とパスワードを入力。口座から約 200 万円が不正送金された
• 不正アプリによる SMS 大量送信 — 20 代男性が偽の不在通知 SMS から不正アプリをインストール。端末から約 5,000 通の詐欺 SMS が自動送信され、約 8 万円の通信料が請求された
• キャリア偽装によるキャリア決済被害 — 40 代女性が通信事業者を装った SMS から偽サイトにログイン情報を入力。キャリア決済で約 30 万円分の電子マネーが不正購入された

被害に遭った場合

偽サイトに情報を入力してしまった場合は、以下の手順で速やかに対応してください。対応が早いほど被害の拡大を防げます。

• パスワードの即時変更 — 入力してしまったサービスのパスワードを直ちに変更する。同じパスワードを使い回している他のサービスも変更する
• クレジットカード会社への連絡 — カード情報を入力した場合は、カード会社に連絡して利用停止を依頼する
• 金融機関への連絡 — 銀行口座情報を入力した場合は、銀行に連絡して口座の監視を依頼する。不正送金が確認された場合は口座凍結を依頼する
• 警察への届出 — 最寄りの警察署またはサイバー犯罪相談窓口に届け出る
• 不正アプリの削除 — アプリをインストールしてしまった場合は、機内モードにしてからアプリを削除する。その後、セキュリティソフトでフルスキャンを実行する
• フィッシング対策協議会への報告 — 受信した詐欺 SMS の内容をフィッシング対策協議会 (info@antiphishing.jp) に報告する。報告データは他の利用者の被害防止に活用される