ケータイ用語の基礎知識

第986回:最近よく聞く「スミッシング」とは――フィッシングとの違い・詐欺被害にあわないためにはどうしたらいい?

  • 大和 哲

2022年1月27日 06:00

フィッシング・スミッシングとは

 フィッシング(Phishing)とは、送信者を詐称したインターネットメールを送りつけ、偽のWebサイトサービスなどに接続させるなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)などを詐取し、経済的に価値のある情報をだまし取る犯罪行為のことです。

関連記事

 スミッシング(Smishing)とは「SMS phishing」のことで、一般的なインターネットメールではなく携帯電話のSMSを利用したフィッシングのことを言います。

 スマートフォンが一般によく使われるようになったことからSMSにフィッシングを組み合わせた詐欺が増加した頃からこの言葉がつくり出されました。

 典型的なフィッシングメール、スミッシングメールは、信頼され・よく利用されているサービス・会社になりすましたメール・SMSによって偽のWebサーバーに誘導する、という手口になっています。

 フィッシング対策協議会によると、2021年12月フィッシングメールに悪用されたブランドの27.4%はアマゾンをかたったものでした。次いでメルカリ、三井住友カード、ETC利用照会サービス、JCBの上位5ブランドで、報告数全体の約74.0%を占めたとしています。

 また、スマートフォンのスミッシングでは、Amazon、au、ドコモをかたる文面のものが多く報告されています。フィッシング・スミッシングとも、インターネット・スマートフォン上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著になってきている、と言われています。

典型的なスミッシングの例

 ではここで、典型的なスミッシングメールの一例を見てみましょう。

 よくあるのは「お荷物のお届けにあがりましたが不在のため持ち帰りました。ご確認ください。http://xxxxxxx.duckdns.org」や「【KDDI】料金の未払い金があります。……https://bit.ly/~」といったものです。

典型的なスミッシングの例。有名企業やサービスをかたるものが多い

 書かれているリンクをタップして進むと運輸会社や通信キャリアのサイトにアクセスしているように思うかも知れませんが、これは偽物です。

 メッセージに書かれている手順通りに操作を行うと、自分のスマートフォンに不正なプログラムを仕込まれ、自分のスマートフォンからスミッシングメールをさらにほかのユーザーにばらまかれてしまうということもあるのです。

偽サイトの例。よく見ると日本語がおかしいことがわかる

 また、ID・パスワードなどの重要な個人情報の入力を促され、その通りにしてしまうと、悪意のある攻撃者にその情報が渡ってしまい、カード情報などが漏れてしまうと不正利用につながり、何万円も勝手に使われてしまうといった危険性も考えられます。

フィッシングから身を守るには?

 フィッシングから身を守るには、まず、いつも使っているサービスはいつもの場所から使うことが大事です。フィッシングやスミッシングは、メール・SMSから偽Webサイトへとユーザーを誘導しなければ、その意味をなしません。

 逆にいえば、いつも使っているサービスから連絡がきても、そのサービスの正規のアプリやブックマークした正規のアドレスからアクセスすることを心がければ、フィッシング・スミッシングサイトに誘導されることはないのです。

関連記事

 SMSやメールを使った詐欺では、フリーのダイナミックDNSサービスであるduckdns.orgや短縮URLのbit.lyが記載されているケースが多くあります。このサービスそのものが悪ということではありませんが、見に覚えのない請求などのSMSでこういったURLの記載があれば、まず警戒したほうが良いでしょう。

 ただし、フィッシングメールの場合は、JavaScriptの機能を使ってユーザーの目に見えるアドレスを隠す場合があるので、duckdnsでないからと油断するのは禁物です。やはり、情報を確かめるには正規のアプリ・ブックマークにあるサイトにアクセスしましょう。

セーフブラウジングが機能している例

 一部のブラウザーに搭載される「セーフブラウジング」は役にたちます。「悪意あるユーザーによって、ソフトウエアのインストールや、個人情報(パスワード、電話番号、クレジットカードなど)の入力といった危険な操作を行うよう誘導される可能性があります。」と真っ赤な画面で表示してくれます。

 クレジットカード情報や口座情報・暗証番号、ワンタイムパスワードなどの入力を要求された場合、入力する前に一度考えましょう。もし、入力した情報が不正使用された場合何が起こるか。似たようなフィッシングや詐欺事例がないかを確認することで、被害を未然に防げるかもしれません。

 キャリア側もこうした詐欺への対策に乗り出そうとしています。ドコモは2022年3月から、ソフトバンクは春から迷惑SMSフィルタリングを始めるとしています。KDDIはアプリとして対策機能をリリースしていますが、ドコモ・ソフトバンクと同様にネットワーク側での対策も検討しているということです。また、楽天モバイルでも「Rakuten Link」において対策機能の搭載を検討しています。

 キャリアやアプリの対策機能も活用しながら、日頃から不審なメッセージやメールは安易に信じ込まず、スミッシングの被害者になってしまわないよう気をつけていきましょう

大和 哲

1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら
(イラスト : 高橋哲史)