
近年はSMSに届いた不審なメールから巧妙な手口で個人情報を盗む、スミッシング(SMSフィッシング)と呼ばれる詐欺が流行しています。スミッシングとは、信頼できる企業やサービスを装ったSMSを送り、リンクをクリックさせて偽サイトにクレジットカード番号やパスワードなどの個人情報を入力させる詐欺です。
誤ってリンクをクリックしただけでは個人情報が漏えいする可能性は低いですが、個人情報の入力フォームは実在する企業のものと非常に酷似しているため、見分けることが困難です。本記事ではスミッシング詐欺の手口と対処法を実例付きで解説します。
SMSを乗っ取るスミッシングの手口
スミッシングとは、SMSを介して行われるフィッシング詐欺の一種で、ユーザーを騙して個人情報や金融情報を盗み取る手法です。これにより、ハッカーは漏えいした情報を元にして不正アクセスや詐欺に利用します。スミッシングに使われるメールは、不正アクセスやサービスの利用停止のお知らせなど、緊急性が高い内容であることが多い傾向にあるため、詐欺に遭ったことに気づけないことも少なくありません。
スミッシングによって流出した個人情報が悪用されると、「SIMスワップ」と呼ばれるスマホの乗っ取りが行われる可能性があります。「SIMスワップ」では偽サイトで入力された個人情報を基に、ハッカーが身分証明書を偽造して、被害者のSIMカードの再発行を行います。再発行が承認されると、ハッカーの端末に被害者のSIMカードがわたり、電話番号や銀行口座などにログインするための二要素認証コードがハッカー側の端末で行われます。その結果、不正送金やクレジットカードの不正利用などが可能になります。
SMSを利用したフィッシング詐欺が確認された企業
SMSを利用したフィッシング詐欺(スミッシング)は、有名な企業を騙るケースが多い傾向にあります。
以下はスミッシング詐欺に使われたことが確認された企業と詐欺メールの文章の実例です。
- Amazon…「アカウントが一時停止されました。カードや住所が期限切れになりました。確認してください」「【アマソン】プライム会費のお支払いに問題があります」
- Apple…「口座の支払い情報に問題があります。更新してください」
- 銀行や金融機関…「【smbc】お客様の三井住友銀行口座に対し、第三者からの不正なアクセスを検知しました。ご確認ください。」
- 携帯電話会社…「【ドコモ】お客様がご利用のdアカウントが不正利用の可能性があります。ご確認が必要です。」
- 宅配会社…「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。配送物は下記よりご確認ください」
- 電力会社…「TEPCOよりご利用料金のご請求です」
以上のようなメールに添付されたリンクからログイン情報や個人情報を入力してしまうと、その情報が第三者に送信されてしまいます。もしこのようなメールを見つけた場合は、すぐに削除するか無視しましょう。
また、フィッシング詐欺の被害を受けた場合は、速やかに専門のフォレンジック調査会社に相談しましょう。
SMSでスマホを乗っ取られないための対処法
スミッシング詐欺に遭うと個人情報が漏えいし、漏えいした情報を元に、アカウントやスマホの乗っ取りが行われ、金銭被害に発展するリスクがあります。
スミッシングによる被害を防ぐには、添付されたリンクをクリックする前に詐欺と気づく必要があります。
SMSからスマホを乗っ取られないための対処法は以下の通りです。
送信元を確認する
SMSの送信元を確認することは、フィッシング詐欺を防ぐための第一歩です。不審な番号や見覚えのない連絡先からのメッセージは開かないように注意しましょう。公式の送信元は通常、企業の公式名や認識しやすい短縮番号で表示されます。例えば、銀行からの通知はその銀行名が表示されることが一般的です。送信元が疑わしい場合、そのメッセージは削除するか無視しましょう。
添付されたURLやメールの文章を確認する
メッセージに含まれるURLやメールの文章は、公式のものと見分けるために注意深く確認する必要があります。詐欺メッセージは実在する企業のメールと細かな点が異なるため、以下の点に注意してください。
- URLが公式のものと一致するかどうか
- メールアドレスに公式のドメインが使用されているか
- メールの文章が日本語として不自然でないか
SMSのメッセージやドメインに不自然な表現や文面が含まれている場合、そのリンクは偽サイトの可能性が極めて高いため、クリックしないでください。
送信されたサービスの公式サイトを確認する
送信されたSMSが詐欺かわからない場合は、サービスの公式サイトにアクセスして確認することが重要です。公式サイトには、詐欺に関する注意喚起や最新情報が事例つきで掲載されていることが多いため、フィッシング詐欺に関する情報を確認することで、メッセージが本物かどうかを判断できます。また、公式のカスタマーサポートに問い合わせて確認することも有効です。
SMSのURLをクリックした時の対処法
SMSに添付されたURLをクリックし、ログインぺージなどに遷移してしまった場合でも、適切な対処をとれば個人情報などが漏えいすることはありません。こちらではURLをクリックしてサイトに遷移した時の対処法を解説します。
個人情報は入力せずブラウザを閉じる
誤ってSMSに添付されたリンクをクリックしてしまった場合、個人情報を入力せずに即座にブラウザを閉じることが重要です。遷移先は詐欺サイトのため、フォームに個人情報やログイン情報を入力して、送信すると不正アクセスなどの被害に遭うリスクが高まります。ブラウザを閉じた後は、心配であればパスワードを変更するなど、追加でセキュリティ対策を講じましょう。
ウイルススキャンを行う
不審なリンクをクリックした後は、マルウェア(ウイルス)などに端末が感染していないか調べるために、デバイスにウイルススキャンをかけることが推奨されます。最新のウイルス対策ソフトを使用して、悪意のあるソフトウェアやファイルがインストールされていないか確認できます。
カード会社や銀行に連絡する
SMSからフィッシングサイトにアクセスし、クレジットカード番号などの個人情報を送信してしまった場合は、金銭被害やスマホの乗っ取り被害に遭うリスクが高まります。誤ってSMSから偽サイトに個人情報を入力してしまった場合は、速やかにカード会社や銀行に連絡して状況を説明し、アカウントの凍結やカードの利用停止手続きを行いましょう。これにより、金銭被害を予防できたり、被害を最小限に抑えることができます。また、新しいカードの発行を依頼することも検討してください。
警察に相談する
既にスミッシング詐欺に遭い、金銭被害を受けた場合は、警察に被害届を提出し、捜査を行ってもらいましょう。スミッシング(フィッシング詐欺)の被害報告は最寄りの警察署やサイバー犯罪対策窓口で行えますので、被害を受けたらすぐに相談や被害届の提出を行いましょう。サイバー犯罪相談窓口など、スミッシングやハッキングに関する相談窓口は以下の記事で紹介しています。
ハッキング調査で情報漏洩の有無を確認する
過去にSMSなどからフィッシングサイトに個人情報を入力してしまった場合、情報を元に時間差でハッキングや不正アクセスなどの被害に遭う場合もあります。このような被害に遭った場合、専門家によるハッキング調査を受けて被害を正確に特定し、被害に応じた適切な対処法を行うことで、再発防止に努めることができます。
専門家のハッキング調査では「フォレンジック」と呼ばれる専門技術を使用します。この技術を使用した調査では、端末のログや不審なアプリの有無、情報漏洩などについて詳細な分析作業を行い、不正アクセスやデータ漏えいの痕跡を特定します。
また、ハッキング調査会社では調査結果をレポートにまとめるサービスを行っているところもあります。このレポートは、証拠として警察や裁判所に提出することができるため、法的な手続きや捜査において非常に有用です。ハッキング調査会社のサービスは会社によって異なる場合があるため、信頼できる調査会社に相談したい方は以下の記事も参考にしてください。
おすすめのフォレンジック調査会社
公式サイトデジタルデータフォレンジック
編集部が厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
24時間365日の相談窓口があり、緊急時でも安心です。相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
まとめ
スミッシングはSMSを利用した巧妙なフィッシング詐欺で、個人情報や金融情報を盗み取る手段として広く利用されています。送信元の確認やメッセージ内容の精査、公式サイトでの確認を徹底して個人情報の入力を防ぎましょう。また、不審なリンクをクリックして個人情報やログイン情報などを入力してしまった場合は、速やかにカード会社や銀行、警察に相談しましょう。証拠が必要であればフォレンジック調査を行い、調査結果を証拠として提出するのも対処法として有効です。