スミッシングとは？ その目的や手口、対策法を具体的に解説

スミッシングとは、SMSを悪用したフィッシング詐欺のこと

スミッシング（Smishing）とは、SMS（Short Message Service：ショートメッセージサービス）を使ったフィッシング（Phishing）詐欺の一種です。携帯電話やスマートフォンの電話番号宛てにテキストメッセージをSMSで送信し、本文に記載した悪意のあるURLリンクを受信したユーザーにタップするよう促すのがスミッシングの主な手口です。

スミッシングによる被害が拡大する背景

スミッシングによる被害が拡大しやすい要因として、SMSの手軽さが挙げられます。サービスの入会やアプリのインストールなどが必要な電子メールやSNSのダイレクトメールと比べると、SMSはスマートフォンなどの携帯電話番号に付随した標準アプリであり、携帯電話を契約しているユーザーなら誰でも利用できる点が特徴です。また、SMSはスパムメールや迷惑メールとして判定されにくいという特徴があり、電子メールよりも開封率が高いといわれています。開封率が高く、ユーザーの目に触れやすい点も、スミッシング被害が拡大する要因の一つと考えられます。

スミッシングの主な目的

スミッシングは、どのような目的で行われているのでしょうか。ここでは、スミッシングの主な目的と考えられる「個人情報の入手」「アカウント情報の入手」「クレジットカード情報の入手」の3つについて解説します。

個人情報の入手

攻撃者は、ユーザーの個人情報を入手するためにスミッシングを行うことがあります。ユーザーの名前や電話番号、生年月日などのほか、SMS認証コードなどを狙う手口も見られます。SMSに記載されているURLリンクをタップすると悪意のあるWebサイトへ誘導され、マルウェアを仕込んだアプリのインストールを促されたり、偽サイトにて個人情報の入力を要求されたりするケースが少なくありません。こうして不正に入手した個人情報は、悪用されることもあれば、匿名性が高く非合法の情報が集まるダークウェブにおいて不正に売買されることもあります。

アカウント情報の入手

攻撃者は、ユーザーのアカウント情報を盗み取ることもあります。一例として、SNSへのログインに必要な情報が窃取された場合、アカウントを乗っ取り、詐欺などの犯罪行為をすることも可能となります。また、ユーザーが複数のサービスで同じユーザー名やパスワードを使い回していた場合、ほかのサービスでもアカウント情報が不正利用されてしまう可能性も否定できません。

クレジットカード情報の入手

攻撃者はスミッシングによってユーザーのクレジットカード情報を不正に入手することもあります。不正入手したクレジットカード情報によってECサイトで製品を購入されたり、ダークウェブなどで情報が売買されたりするといった被害が想定されます。実際、クレジットカードの不正利用被害は年々拡大傾向です。2023年の1年間に発生したクレジットカード不正利用の被害額は540億円にも上っており、このうち、クレジットカード情報の盗用による被害が93.3％を占めているのが実情です（※）。

スミッシングの主な手口

スミッシングによる詐欺被害が後を絶たないのは、スミッシングの手口が巧妙化しているからです。ここでは、スミッシングの主な手口について解説します。

知名度が高いECサイトを装う

ユーザー数が多く知名度の高いECサイトを名乗り、不正なURLリンクをタップさせるのはスミッシングによく見られる手口です。ユーザーは、正規のECサイトから届いたメッセージだと誤認してしまい、スミッシングを仕掛けた相手の要求に従ってしまう可能性があります。

宅配業者を装う

実在する宅配業者を装い、ユーザーを不正なWebサイトへと誘導する手口もあります。この場合、不在通知や再配達サービスであるかのように装うパターンが多いようです。実際、正規の宅配業者がSMSでメッセージを送るケースもあるため、発信元を確認した上で、不審なメッセージに記載されたURLリンクはタップしないよう注意が必要です。

携帯キャリアを装う

携帯キャリアの事業者であるかのように装い、不正なURLリンクのタップを促す手口もあります。料金の未払いや督促に関するSMSが届くケースも多いことから、ユーザーが慌ててURLリンクをタップしてしまう可能性も否定できません。

公的機関を装う

官公庁などの公的機関を装ったSMSを送り、不正なWebサイトへ誘導する手口もあります。健康保険やマイナンバー関連のメッセージを装った事例も見られます。以下のように、公的機関を装ったメッセージがSMSで届いた場合には、スミッシングの可能性を疑うことが重要です。

金融機関を装う

銀行やクレジットカード会社を装い、不正なURLリンクのタップを促す手口もあります。金融機関がSMSに記載したURLを通じて、口座情報やログイン情報の入力を要求することは通常ありません。以下のように金融機関を装ったメッセージがSMSで届いた場合は、正規のWebサイトや問い合わせ窓口にて状況を確認することが大切です。

スミッシング被害を防ぐための具体的な対策方法

スミッシングの被害を防ぐには、基本的な対策を押さえておくことが大切です。最も基本的な対策方法は、記載されているURLに不審な点がないかを確認することです。公式サイトのURLであるか、不自然な文字や短縮URLが使われていないかを確かめることによって、多くの場合スミッシングか正規サービスから届いたメッセージかを判別できます。なお、スミッシングは同時期に多くのユーザー向けに送信される傾向があるため、企業などがスミッシングの手口や手法に関する情報を収集し、詐欺の周知を図ることで被害の拡大を防げるケースも少なくありません。

組織に求められるスミッシング対策

スミッシングによる被害の拡大を防ぐには、組織として取り組むべき対策がいくつかあります。企業などの組織は、以下の4つのスミッシング対策を早急に講じておくことが大切です。

利用者にスミッシングへの注意を促す

スミッシング被害の拡大を防ぐためには、企業はサービスの利用者へ注意喚起を行うことが必要です。例えば、普段自社がSMSでメッセージを発信していないのであれば、その旨を利用者に周知することが重要です。また、実際に企業名やサービス名をかたったスミッシング被害が確認された際には、不正なメッセージの例とともに、対処法を自社のWebサイトなどに掲載し、注意を促すといった対応が求められます。

報告の流れを仕組み化する

社用携帯電話を利用している従業員がスミッシングの疑いのあるSMSを受信した場合や、SMSに記載されたURLリンクをタップしてしまった場合は、速やかにその事実を報告する仕組みを構築しておくことも重要です。不審なメッセージが届いた際には、誰に何を報告するのかをルール化し、周知徹底を図る必要があります。従業員が個々の判断で対処したり、スミッシングの疑いのあるメッセージが届いた事実を報告しないまま放置したりすることのないよう、報告の流れを仕組み化しておくことが大切です。

ログイン認証を強化する

万が一スミッシングによってログイン情報を窃取されてしまった場合に備えて、ログイン認証を強化しておくこともお勧めします。例えば、ID・パスワードに加えて生体認証やワンタイムパスワードなどを要求する多要素認証を導入することにより、ログイン情報のみでは不正アクセスが実行できなくなるからです。スミッシングの手口は年々巧妙化しているため、ログイン情報が盗み取られた場合の対処についても検討しておく必要があります。

不正アクセス検知サービスを導入する

不正アクセス検知サービスを導入し、なりすましによる不正なログインを早期に検知する仕組みを整えておくこともスミッシング対策として有効です。不正アクセス検知サービスの中には、ログイン時の挙動やアクセスに使われた端末情報などの分析に対応しているツールもあるため、正規のユーザーによるログインであるかどうかを判別しやすくなります。リアルタイムで不正アクセスを検知することは、早期に異常を発見し、被害の拡大を防ぐ上でも有効です。

スミッシングの脅威に備えて対策を講じておくことが重要

SMSを悪用するスミッシングは、誰もが直面する可能性のある脅威といえます。スミッシングの被害を防止するためのルールの整備や注意喚起を行うことに加え、仕組みの面から事前対策を講じておくことが重要です。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、デバイス（PCやスマートフォン、タブレット端末）やネットワーク機器など、さまざまなIT資産の一元管理に必要な各種機能・ソリューションを提供するツールです。ウイルスが検知されたPCをネットワークから自動遮断し、速やかな調査の実施を支援する機能や、指定したURLへのアクセスを禁止したり、Webページの閲覧を制限したりする機能なども搭載しています。

スミッシングへの対策を講じる際には、充実の機能をそろえた「SKYSEA Client View」の導入をご検討ください。