DIME MAGAZINE
「【緊急】支払いが確認できません。」「【至急】クレジットカード情報をご確認ください。」
という風に、実在する企業名を名乗り、利用者の不安を煽るような見出しでURLを開かせて、詐欺サイトに誘導する「フィッシング詐欺」が年々増加傾向にある。その実情や対応策について本記事でまとめた。
■本記事に出てくる用語のまとめ
・フィッシング(phishing)
実在する企業や団体名を名乗って、クレジットカード番号、通販サイトのIDやパスワード、ATMの暗証番号などを搾取する詐欺行為のこと。電子メールやSMSなどを使って偽サイトに誘導するなど手口は多様化している。
・スミッシング(Smishing)
フィッシングのうちSMSを使ったもの。スマホの普及により、気軽にメッセージをやり取りできるSMSを使うユーザーが増えたため、それを使った詐欺も増えた。
フィッシングサイトの数は4万件以上!被害を受けやすいのは「20〜30代男性」
■フィッシングサイトのURL件数
引用元:フィッシングレポート2022/フィッシング対策協議会
2020年上半期には2万件台だったのが、2021年下半期には2倍以上に増えている。今後も増加の一途をたどりそうだ。
実在する企業になりすまし、文面やサイトのデザインなどを似せているため、非常にタチが悪く、冷静さを失っているときに開くと、コロっと詐欺に引っかかってしまいかねない。
フィッシングの中でも、SMS(ショート・メッセージ・サービス)を使ったフィッシングのことを「スミッシング」または「SMSスミッシング」という。
フィッシングに対するスミッシングの比率は、同資料から読み取れないが、用語が分かれている点を踏まえると、その比率は決して低くないだろう。上述のフィッシングレポート2022のP18にあるNTTコム による調査結果では、スミッシングによる金銭的な被害を受けた人は、全体だと調査対象の3.9%だが、20代・30代の男性になると調査対象の10%超と、全体の3倍近い結果となっている。
なぜスミッシングが詐欺として横行しているのか。理由は以下の2つだ。
理由①:携帯電話番号に直接送るので、到達率が高い
LINEやTwitterなどのSNSアカウントは、そのアカウントがわかっていないと詐欺メッセージは送れないが、携帯電話番号の場合は、11桁の番号さえわかれば無条件に送れる。
理由②:重要な連絡だと思い確認してしまう「開封率」の高さ
携帯電話に連絡が来ると、やはりSNSに比べて重要なものと認識してしまうので、中身をきちんと確認してしまわないだろうか。やはりSNS経由で受信するメッセージに比べて、開封率が高くなる傾向にある。
SMSスミッシングの実際の手口
開封率の高さを実感するために、実際のスミッシングの手口を見てみよう。
■スミッシングの手口①(受信したSMS)
重要、警告、利用停止などの文言に加えて、有名企業の名前が並んでいる。
ちなみにこのSMSの中では、上から3つめのAmazonの認証と、8つめのUberの確認コード、9つめのS.RIMEの認証コードが正規の利用であり、それ以外はフィッシング(スミッシング)だが、パッと見では見分けがつかない。
■スミッシングの手口②(届いたURLを開いた)
例えばヤフーウォレットになりすましたスミッシングのサイトのURLを開いた場合の表示例。本物のヤフーのサイトのようにデザインされている。サイトのURLが正規のものと異なっているので、URLで見分けることが可能
スミッシングから身を守るための3つのポイントを整理
スミッシングの被害に遭わないためには、SMSを利用しないのが一番だ。
しかし、金融サービスやネット通販などの利用で、2段階認証を行なうのにSMSが欠かせなくなっている。友人や仕事の同僚とのコミュニケーションにもSMSを使っている人もいるだろう。SMSの利用をやめるのは現実的ではない。
そこでスミッシングかどうかを見分けるためのポイントを整理しておき、被害に遭わないように自衛に努めたい。
■スミッシングかどうか見分ける3つのポイント
ポイント①:メッセージのタイトルや社名を警戒する
タイトルには即時対応を煽るような、【緊急】【至急】【利用停止】【滞納】などの文言が並ぶ場合が多く、ほぼすべての場合で、社名には実在する企業の名前が使われている。実際に自分が利用している企業やサービス名だとつい、そこに目が行ってしまいがちだが、SMSを受信したらまず警戒するクセを付けておきたい。
ポイント②:メッセージの内容に心当たりがあるか確認する
二段階認証を行なう操作をした直後に受信したSMSのように、自らSMSを利用しようとしたか。また、知り合いから送られてきたSMSである場合でも、その内容に覚えがあるかどうかを確認する。知り合いが詐欺行為をしようとしている可能性を否定してはいけない。
ポイント③:メッセージに記載のある社名や団体名とURLが一致するか確認する
フィッシングに使うサイトのURLは正規のものと異なっていると見分けがつきやすいが、手口が高度化するにつれ、URLの一部に正規のサイト名が記述されていることもある。例えば、NTTドコモの場合だと、「https://www.docomo.ne.jp/」が正規のアドレスであるが、「docomo.xxxxx.yy」のように、その企業っぽいアドレスや短縮URLを仕込んでいる場合もある。できればURLを開かないことが自衛につながるが、真偽の判断が付かずURLを開いてしまった場合は正規のサイトなのか、慎重に確認したい。
フィッシングの情報がすぐに手元に来るようにして防御力を高めよう
フィッシングやスミッシングの被害を防ぐための情報収集には、「フィッシング対策協議会」から情報を得るのがよい。「緊急情報」として、企業名やサービス名ごとの情報を公開してくれている。WebサイトとTwitter(@antiphishing_jp)で情報を配信しているので、これらで得られた名称にはより一層の注意を向けておきたい。
■フィッシング対策協議会
Twitterをフォローしておく方が迅速に情報を入手できる。
仮にフィッシング詐欺に遭ってしまったら、恥ずかしがらずに警察に通報し、自分の被害を最小限に抑えるために行動しよう。警察庁ではフィッシング110番というサイトを開設しているが、手っ取り早く110番に電話して相談するのもアリだ。
文/久我吉史
最新号
