SMS詐欺に遭遇した!手口や被害事例、対策方法を徹底解説|サイバーセキュリティ.com

SMS詐欺に遭遇した!手口や被害事例、対策方法を徹底解説



身に覚えのない番号からSMS(ショートメッセージ)が届いたことはありませんか? これはスミッシング(SMSフィッシング)と呼ばれるもので、ユーザーの気づかないうちに個人情報を送信させたり、課金を行わせる「詐欺行為」にあたります。

悪質なSMSに遭遇した際、焦ってリンクをタップしてしまい、詐欺にあったのではないかと不安になる方も多いのではないでしょうか。今回の記事では、SMS詐欺の具体的な手口から被害事例、対策方法まで徹底解説していきます。

SMS詐欺(スミッシング)の手口・事例

SMS詐欺とは、実在する宅配業者や通販サイトなどを装い、金銭や個人情報をだまし取る行為です。

大抵の場合、相手の関心を惹くような文面が掲載されており、記載されたリンクから本物そっくりの偽サイトに誘導されます。特に2018年頃から、宅配業者を装った下記のような手口が見受けられるようになりました。

お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください。htttp://~

宅配業者はSMSによる不在連絡は行っておらず、このような文面は全て詐欺となります。また偽業者の例として、宅配業者以外に次の業者・団体を騙った事例も複数報告されています。

  • NTTドコモ・楽天モバイル・ソフトバンクなど通信事業者
  • Amazonなどの通販サイト
  • 銀行やオンライン決済サービス
  • 日本通信株式会社をかたる架空の会社

これら偽の業者によるSMSの本文例としては次のようなものがあげられます。

  • お客さまのアカウントに異常ログインの可能性がございます。下記URLで検証お願いします
  • 第三者からの不正なアクセスを検知しました。セキュリティ強化のため、更新手続きをお願いします。
  • お客様がご利用のキャリア決済が不正利用の可能性があるため、ウェブページで二段階認証をお願いします
  •  【Amazon】本日商品を発送致しました。詳細は配送状況をで確認ください
  •  【Amazon】iPhone12が当選しました。賞品発送の連絡先と配送の詳細をご確認ください

なお、このようなSMSが届くと、「自分の電話番号が、悪意ある第三者に知られているのでは?」と不安に思われるかもしれませんが、送り主は無差別的かつ機械的にSMSを送信しているため、あなたの電話番号が特定の誰かに知られているわけではありません。その点はご安心ください。

しかし、リンク先のフィッシングサイトをクリックすると、その後犯人は様々な手段で、あなたの端末から個人情報をだまし取ろうと試みます。偽サイト誘導後の手口は、AndroidとiPhoneで異なるため、次項ではそれぞれの手口を解説します。

【iPhone】フィッシングサイトに飛ばされる

iPhoneのSMS詐欺では、ほとんどの場合、宅配業者などを装ったフィッシングサイト(偽サイト)に誘導され、個人情報やID・パスワードを入力するよう促されます。

フィッシングサイトで個人情報(電話番号・認証コード、ID・パスワードを送信すると次の被害に遭う恐れがあります。

  • ネットショッピングなどで不正利用される
  • スマホが遠隔操作され、SMS詐欺の発信元(加害者)にされる

フィッシングサイトに飛ばされても情報さえ入力しなければトラブルは発生しません。また、iOSアプリはAppleの厳格な審査を通過する必要があるため、不正なアプリケーションが出回りにくいとされており、不正なアプリをインストールさせる手口はAndroidと比較すると稀なようです。

【Android】不正な偽アプリがインストールされる

AndroidにおけるSMS詐欺では、偽サイトに誘導した後、不正なアプリをインストールさせる場合があります。Androidでは、Google Playを介さない非正規アプリも比較的容易にインストール可能です。そのため、AndroidユーザーがターゲットとなったSMS詐欺では、不正な偽アプリをインストールさせる手口があとを絶ちません。

AndroidにおけるSMS詐欺の手口は、おおよそ次のとおりです。

  1. 詐欺SMSが届く
  2.  URLをタップすると詐欺サイトに移行する
  3.  個人情報の入力や不正アプリのインストールを要求される

偽アプリと聞くと、無名のものをイメージされるかもしれませんがほとんどの偽アプリは実在する企業の名前を記載していたり、あるいは正規のアプリに似せて作られています。また、セキュリティ対策ソフトと偽ったアプリも多く、たとえば「NTTセキュリティ」という一見公式と間違えそうな偽アプリも存在します。偽サイトにアクセスすると、どの箇所をタップしても不正なアプリがインストールされる恐れがあるため注意しましょう。

SMS詐欺(スミッシング)の見分け方

SMSの不在通知や警告は嘘

業者によるSMS経由での不在通知は、基本的に信用しない方がいいでしょう。送付されたURLにはアクセスせず、自分で公式サイトを検索して、事実確認を行ってください。もちろん不在通知に限らず、知らない相手から送られたSMSの指示に従ったり、操作を行うことはトラブルのもとになりやすいため控えましょう。

しかし、近年は業者を騙るのではなく、知人・友人を装ったSMS詐欺も急増しています。たとえば、2021年になってから次の文面が目立つようになりました。

気をつけてよ!写真がネットに載ってるじゃん、気まずいな!

このような文面と共にURLが添付されており、サイトに進むとアプリやファイルの更新を促されます。こうした詐欺SMSの送り主は、遠隔操作によってSMSを知らない間に送信させられている可能性があるため、もし友人の電話番号から、このような詐欺SMSが送られてくる場合は、この件を相手方に確認されることをおすすめします。

リンク先のURLを確認

SMS経由で飛ばされるフィッシングサイトは、実在する企業のWEBサイトに酷似しており、少なくとも一目で見分けることは、ほぼ不可能です。ただし、見分ける手段としては、次の2つがあります。

  1. URLの末尾が本物のサイトと異なる
  2. 記載リンクが「.apk」などファイルの拡張子になっている

①については分かりやすいようで、見分けがつきにくいです。たとえば、URLの末尾が本来は「.html」なのに「.com」や「.top」というケースも報告されています。これは公式サイトと見比べない限り区別できません。

②についてはタップするだけで既存の正規のアプリと置き換えられたり、ウイルスに感染するリスクがあります。もっとも、セキュリティが初期設定のままであれば、不審なアプリはすぐに破棄されるので問題はありません。

発信元の電話番号を確認

業者を装う不審なSMSが届いた場合、送り主の電話番号をWeb検索してみましょう。送り主の電話番号は乗っ取られて利用されているだけのケースがあります。もし発信元の電話番号を確認して業者と異なるものであれば、基本的に詐欺と断定してかまわないです。

SMS詐欺(スミッシング)の対策方法

非正規ルートのアプリはインストールしない

アプリをインストールする場合は、必ず公式ストアからインストールしましょう。特にAndroidでは非正規ルートからのアプリもインストールできるため、注意が必要です。もし不正なアプリをインストールしたら、速やかに削除し、設定しているパスワードも変更しておきましょう。

届いた文面を検索する

SMS詐欺メッセージは、不特定多数のユーザーに同じ文章を大量送信するため、ウェブで検索すると類似する報告事例に行きつきやすいです。届いたメッセージはまず文面を検索して、類似の詐欺報告事例がないか確認しましょう。

なお、注意点として、SMSに記載されているリンクを全てコピペして、検索エンジンに入力することは控えましょう。不正サイトに誘導させられ、ウイルスをダウンロードさせられる危険があります。もし打ち込むときは、記載されたリンクの末尾のみ検索し、なおかつ拡張子になっている「.(ドット)」の部分は、直後に空白を入れるなどして、リンク先に直接アクセスすることは避けましょう

スマホ本体のセキュリティ設定を見直す

提供元不明の非正規アプリは、初期設定のスマートフォンだとインストールできないため、自ら設定の変更を行わない限りは問題ありません。ただし、この設定が変更されていると、意図せず不正なアプリをインストールされてしまう恐れがあります。セキュリティ関係の設定はむやみにいじらないようにしましょう。

またオンライン決済やECサイトのログインには、IDとパスワードに加えて本人認証による二段階認証など、セキュリティ対策の増強も図っておきましょう。

OSやアプリを最新版にアップデートする

SMS詐欺は、OSやアプリの脆弱性を突いて仕掛けられることがよくあります。これに限らず、古いOSやアプリはサイバー攻撃やハッキング被害のリスクが付き物のため、OSやアプリは最新の状態にアップデートしておきましょう。

キャリア決済の限度額を設定する

このような対策をしていても、トラブルにあう可能性は払拭できません。保険として、あらかじめ「被害を受ける前提の対策」を行っておくのも良いでしょう。

たとえば、個人情報が流出すると、ID/パスワード認証を利用して代金を支払う「キャリア決済」に悪用される恐れがあります。そのため、キャリア決済の利用限度額を低額に設定するか、不必要なら、そもそもキャリア決済を利用しない設定にしておきましょう。

SMS詐欺(スミッシング)被害の有無を調べる方法

ダウンロード履歴やセキュリティアプリで確認する

Androidでは不正なアプリがインストールされた痕跡をダウンロード履歴から確認できます。そのため、見慣れない拡張子のファイルが展開された痕跡がある場合、その端末はウイルスに感染している可能性があります(ウイルス感染すると、情報が抜き取られたり、詐欺SMSの踏み台にさせられている危険性があります)。

これら被害の有無を調査したいという方は、Android向けのセキュリティアプリで感染の事実を確認するか、専門の調査会社まで相談・依頼しましょう。なお、iPhoneは、ウイルススキャンに対応しておらず、ウイルスを検知・駆除するアプリケーションが存在しないため、セキュリティアプリで感染の事実を確認することは出来ません。

専門の調査会社に依頼する

これまでに紹介したようなSMS詐欺に遭遇し、実際に何かしらの情報を打ち込んだり、アプリをインストールした場合、すでに何らかの被害に遭っている可能性があります。しばらくしてセキュリティの設定やID・パスワードを変更したとしても、一度抜き取られた情報が自分の知らないところで漏洩し出回ってしまうリスクがあります。

「中のデータが抜き取られたか知りたい」「端末が悪用されていないか調べたい」という方は、スマートフォンやパソコンのデータ解析を専門に行うフォレンジック調査(=デジタル鑑識)の会社に相談する方法があります。

フォレンジック調査の詳細については以下の記事で詳しく紹介しております。

SMS詐欺(スミッシング)の調査会社

個人・法人問わず対応可能で相談から見積もりまで無料で実施しているおすすめの調査専門業者として「デジタルデータフォレンジック」を紹介します。

デジタルデータフォレンジック


サイトデジタルデータフォレンジック

デジタルデータフォレンジックは11年連続国内売上No.1のデータ復旧業者が提供するデジタルフォレンジックサービスです。

ハッキング調査、パスワード解析、社内不正調査、ランサムウェア調査まで、幅広い対応を、法人/個人を問わず対応してます(国内にフォレンジック業者は数社しかなく、ほとんどが法人対応のみです)。また、警視庁からの捜査依頼実績も多数あることから、サイバーインシデント調査のプロとして、実績面においても信頼できます。

費用 ★電話かメールにてお見積り
調査対象 スマートフォン、タブレット、PC、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、データ改ざん調査など
特長 ★無料で相談から見積もりまで可能
★11年連続国内売上No.1のデータ復元サービス
★警視庁からの捜査協力依頼実績が多数あり

まとめ

今回は、SMS詐欺の手口や、被害調査の方法をご紹介しました。SMS詐欺を回避するためにも、少しでも怪しいと感じたり、身に覚えのないSMSの通知とリンクは決して開かないようにしましょう。

なお、SMS詐欺に遭遇し、実際に個人情報を送信してしまうなどして不安を感じる場合や、不正アクセスの調査を希望される方は、専門の調査会社に相談をおすすめします。

SNSでもご購読できます。