スミッシング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. スミッシング
             

スミッシング

スミッシング(Smishing)とは、SMS(ショートメッセージサービス)を利用したフィッシング詐欺のことを指します。

「SMS」と「フィッシング(Phishing)」を組み合わせた造語で、スマートフォンや携帯電話のユーザーを標的にし、メッセージ内に偽のリンクや詐欺サイトへの誘導を含め、個人情報やクレジットカード情報を盗むことを目的としています。

スミッシングはSMSやメッセージアプリの通知を通じてユーザーに即時的にメッセージを送りつけるため、内容によってはユーザーに信じ込ませやすく、被害につながりやすい特徴があります。

スミッシングの仕組み

  1. 偽メッセージの送信: 攻撃者は「口座がロックされています」「配送確認が必要です」など、緊急性を装った内容のメッセージをSMSやメッセージアプリでユーザーに送信します。こうしたメッセージには、偽のURLやQRコードが含まれ、ターゲットを詐欺サイトへと誘導します。
  2. リンクをクリックさせる: メッセージを受け取ったユーザーがリンクやQRコードをクリックすると、偽のログインページや個人情報を入力させるフォームに誘導されます。ここで、ユーザー名、パスワード、クレジットカード情報などが求められることが多いです。
  3. 個人情報の盗取: 偽サイトに入力した情報は、すべて攻撃者に送られ、個人情報や認証情報が盗まれます。その後、盗まれた情報は不正アクセスや不正な取引、さらなる詐欺行為に悪用されます。

スミッシングの例

1. 銀行を装ったスミッシング

「口座がロックされています。こちらのリンクから再確認してください」といったメッセージで、ユーザーを偽の銀行サイトに誘導し、アカウント情報やパスワードを入力させます。

2. 配送業者を装ったスミッシング

「配達物が届いています。こちらで配送状況を確認してください」として、リンクをクリックさせる方法です。偽のサイトで住所やクレジットカード情報を入力させ、情報を盗みます。

3. ショッピングサイトのアカウント確認

「あなたのアカウントが異常な活動によりロックされました。確認のためにログインしてください」というメッセージで、偽のショッピングサイトに誘導し、アカウント情報を盗むケースもあります。

4. 公的機関を装ったスミッシング

「税金の還付申請が行われていません」や「特定の給付金を受け取れます」として、政府機関や自治体を装い、リンクをクリックさせて個人情報や口座情報を入力させる手口です。

スミッシングの対策

1. 不審なリンクをクリックしない

送信元が不明なSMSや、緊急性を強調したメッセージには注意し、リンクやQRコードを安易にクリックしないことが重要です。

2. SMSの送信元を確認する

多くの公式機関や企業は、正式なドメインや番号を使用します。不審なメッセージを受け取った場合、企業の公式ウェブサイトや連絡先を直接確認し、送信元を確かめることが推奨されます。

3. 個人情報を送信しない

SMSやリンク先のサイトで個人情報やクレジットカード情報、ログイン情報を求められる場合は、詐欺の可能性が高いと疑い、情報を入力しないようにしましょう。

4. セキュリティソフトの導入

スマートフォン向けのセキュリティソフトには、不審なSMSや詐欺サイトを検出・ブロックする機能が備わっていることが多く、スミッシング対策に役立ちます。

5. 二要素認証の利用

重要なアカウントに二要素認証(MFA)を設定しておくと、万が一アカウント情報を盗まれても、不正アクセスを防ぐことができます。

6. 個人情報の公開を控える

SNSなどで電話番号や個人情報を公開していると、スミッシングの標的になりやすくなります。個人情報の公開範囲を制限することで、スミッシングリスクを減らせます。

スミッシング被害に遭った場合の対応

  1. アカウントのパスワード変更: スミッシングによりアカウント情報が盗まれた可能性がある場合、すぐにパスワードを変更し、関連するすべてのアカウントで安全なパスワードに設定し直します。
  2. クレジットカードの停止: クレジットカード情報が漏洩した恐れがある場合、カード会社に連絡し、カードを停止します。
  3. 警察や関係機関に相談: スミッシング詐欺被害に遭った場合、警察や消費者センターに相談し、今後の対応について指導を受けることが推奨されます。
  4. モニタリングの強化: 口座の不正な引き出しや、不正アクセスの兆候がないか、クレジットカードの利用明細やアカウント履歴を定期的に確認し、不審な取引がないか監視します。

まとめ

スミッシングは、SMSを通じて個人情報やアカウント情報を盗むフィッシング手法であり、銀行や配送業者を装うメッセージによって多くの被害が出ています。緊急性を装ったメッセージに惑わされず、送信元を確認すること、リンクやQRコードを安易にクリックしないことが対策として重要です。また、二要素認証やセキュリティソフトの導入によってスミッシングリスクを低減できるため、適切なセキュリティ対策を講じ、スミッシング被害から身を守ることが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。