近年はSMSに届いた不審なメールから巧妙な手口で個人情報を盗む、スミッシング(SMSフィッシング)と呼ばれる詐欺が流行しています。スミッシングとは、信頼できる企業やサービスを装ったSMSを送り、リンクをクリックさせて偽サイトにクレジットカード番号やパスワードなどの個人情報を入力させる詐欺です。
誤ってリンクをクリックしただけでは個人情報が漏えいする可能性は低いですが、個人情報の入力フォームは実在する企業のものと非常に酷似しているため、見分けることが困難です。本記事ではスミッシング詐欺の手口と対処法を実例付きで解説します。
SMSを乗っ取るスミッシングの手口
スミッシングとは、SMSを介して行われるフィッシング詐欺の一種で、ユーザーを騙して個人情報や金融情報を盗み取る手法です。これにより、ハッカーは漏えいした情報を元にして不正アクセスや詐欺に利用します。スミッシングに使われるメールは、不正アクセスやサービスの利用停止のお知らせなど、緊急性が高い内容であることが多い傾向にあるため、詐欺に遭ったことに気づけないことも少なくありません。
スミッシングによって流出した個人情報が悪用されると、「SIMスワップ」と呼ばれるスマホの乗っ取りが行われる可能性があります。「SIMスワップ」では偽サイトで入力された個人情報を基に、ハッカーが身分証明書を偽造して、被害者のSIMカードの再発行を行います。再発行が承認されると、ハッカーの端末に被害者のSIMカードがわたり、電話番号や銀行口座などにログインするための二要素認証コードがハッカー側の端末で行われます。その結果、不正送金やクレジットカードの不正利用などが可能になります。
SMSを利用したフィッシング詐欺が確認された企業
SMSを利用したフィッシング詐欺(スミッシング)は、有名な企業を騙るケースが多い傾向にあります。
以下はスミッシング詐欺に使われたことが確認された企業と詐欺メールの文章の実例です。
- Amazon…「アカウントが一時停止されました。カードや住所が期限切れになりました。確認してください」「【アマソン】プライム会費のお支払いに問題があります」
- Apple…「口座の支払い情報に問題があります。更新してください」
- 銀行や金融機関…「【smbc】お客様の三井住友銀行口座に対し、第三者からの不正なアクセスを検知しました。ご確認ください。」
- 携帯電話会社…「【ドコモ】お客様がご利用のdアカウントが不正利用の可能性があります。ご確認が必要です。」
- 宅配会社…「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。配送物は下記よりご確認ください」
- 電力会社…「TEPCOよりご利用料金のご請求です」
以上のようなメールに添付されたメールにログイン情報や個人情報を入力してしまうと、第三者に送信されてしまいます。メールを見つけたらすぐに削除するか無視しましょう。
SMSでスマホを乗っ取られないための対処法
スミッシング詐欺に遭うと個人情報が漏えいし、漏えいした情報を元に、アカウントやスマホの乗っ取りが行われ、金銭被害に発展するリスクがあります。
スミッシングによる被害を防ぐには、添付されたリンクをクリックする前に詐欺と気づく必要があります。
SMSからスマホを乗っ取られないための対処法は以下の通りです。
送信元を確認する
SMSの送信元を確認することは、フィッシング詐欺を防ぐための第一歩です。不審な番号や見覚えのない連絡先からのメッセージは開かないように注意しましょう。公式の送信元は通常、企業の公式名や認識しやすい短縮番号で表示されます。例えば、銀行からの通知はその銀行名が表示されることが一般的です。送信元が疑わしい場合、そのメッセージは削除するか無視しましょう。
添付されたURLやメールの文章を確認する
メッセージに含まれるURLやメールの文章は、公式のものと見分けるために注意深く確認する必要があります。詐欺メッセージは実在する企業のメールと細かな点が異なるため、以下の点に注意してください。
- URLが公式のものと一致するかどうか
- メールアドレスに公式のドメインが使用されているか
- メールの文章が日本語として不自然でないか
SMSのメッセージやドメインに不自然な表現や文面が含まれている場合、そのリンクは偽サイトの可能性が極めて高いため、クリックしないでください。
送信されたサービスの公式サイトを確認する
送信されたSMSが詐欺かわからない場合は、サービスの公式サイトにアクセスして確認することが重要です。公式サイトには、詐欺に関する注意喚起や最新情報が事例つきで掲載されていることが多いため、フィッシング詐欺に関する情報を確認することで、メッセージが本物かどうかを判断できます。また、公式のカスタマーサポートに問い合わせて確認することも有効です。
SMSのURLをクリックした時の対処法
SMSに添付されたURLをクリックし、ログインぺージなどに遷移してしまった場合でも、適切な対処をとれば個人情報などが漏えいすることはありません。こちらではURLをクリックしてサイトに遷移した時の対処法を解説します。
個人情報は入力せずブラウザを閉じる
誤ってSMSに添付されたリンクをクリックしてしまった場合、個人情報を入力せずに即座にブラウザを閉じることが重要です。遷移先は詐欺サイトのため、フォームに個人情報やログイン情報を入力して、送信すると不正アクセスなどの被害に遭うリスクが高まります。ブラウザを閉じた後は、心配であればパスワードを変更するなど、追加でセキュリティ対策を講じましょう。
ウイルススキャンを行う
不審なリンクをクリックした後は、マルウェア(ウイルス)などに端末が感染していないか調べるために、デバイスにウイルススキャンをかけることが推奨されます。最新のウイルス対策ソフトを使用して、悪意のあるソフトウェアやファイルがインストールされていないか確認できます。
カード会社や銀行に連絡する
SMSからフィッシングサイトにアクセスし、クレジットカード番号などの個人情報を送信してしまった場合は、金銭被害やスマホの乗っ取り被害に遭うリスクが高まります。誤ってSMSから偽サイトに個人情報を入力してしまった場合は、速やかにカード会社や銀行に連絡して状況を説明し、アカウントの凍結やカードの利用停止手続きを行いましょう。これにより、金銭被害を予防できたり、被害を最小限に抑えることができます。また、新しいカードの発行を依頼することも検討してください。
警察に相談する
既にスミッシング詐欺に遭い、金銭被害を受けた場合は、警察に被害届を提出し、捜査を行ってもらいましょう。スミッシング(フィッシング詐欺)の被害報告は最寄りの警察署やサイバー犯罪対策窓口で行えますので、被害を受けたらすぐに相談や被害届の提出を行いましょう。サイバー犯罪相談窓口など、スミッシングやハッキングに関する相談窓口は以下の記事で紹介しています。
ハッキング調査で情報漏洩の有無を確認する
過去にSMSなどからフィッシングサイトに個人情報を入力してしまった場合、情報を元に時間差でハッキングや不正アクセスなどの被害に遭う場合もあります。このような被害に遭った場合、専門家によるハッキング調査を受けて被害を正確に特定し、被害に応じた適切な対処法を行うことで、再発防止に努めることができます。
専門家のハッキング調査では「フォレンジック」と呼ばれる専門技術を使用します。この技術を使用した調査では、端末のログや不審なアプリの有無、情報漏洩などについて詳細な分析作業を行い、不正アクセスやデータ漏えいの痕跡を特定します。
また、ハッキング調査会社では調査結果をレポートにまとめるサービスを行っているところもあります。このレポートは、証拠として警察や裁判所に提出することができるため、法的な手続きや捜査において非常に有用です。ハッキング調査会社のサービスは会社によって異なる場合があるため、信頼できる調査会社に相談したい方は以下の記事も参考にしてください。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
スミッシングはSMSを利用した巧妙なフィッシング詐欺で、個人情報や金融情報を盗み取る手段として広く利用されています。送信元の確認やメッセージ内容の精査、公式サイトでの確認を徹底して個人情報の入力を防ぎましょう。また、不審なリンクをクリックして個人情報やログイン情報などを入力してしまった場合は、速やかにカード会社や銀行、警察に相談しましょう。証拠が必要であればフォレンジック調査を行い、調査結果を証拠として提出するのも対処法として有効です。