小学館IDをお持ちの方はこちらから
ログイン
初めてご利用の方
小学館IDにご登録いただくと限定イベントへの参加や読者プレゼントにお申し込み頂くことができます。また、定期にメールマガジンでお気に入りジャンルの最新情報をお届け致します。
新規登録
人気のタグ
おすすめのサイト
企業ニュース

「緊急」「至急」のメッセージが届くフィッシングやスミッシングの見分け方

2022.07.21

「【緊急】支払いが確認できません。」「【至急】クレジットカード情報をご確認ください。」

という風に、実在する企業名を名乗り、利用者の不安を煽るような見出しでURLを開かせて、詐欺サイトに誘導する「フィッシング詐欺」が年々増加傾向にある。その実情や対応策について本記事でまとめた。

■本記事に出てくる用語のまとめ

・フィッシング(phishing)
実在する企業や団体名を名乗って、クレジットカード番号、通販サイトのIDやパスワード、ATMの暗証番号などを搾取する詐欺行為のこと。電子メールやSMSなどを使って偽サイトに誘導するなど手口は多様化している。

・スミッシング(Smishing)
フィッシングのうちSMSを使ったもの。スマホの普及により、気軽にメッセージをやり取りできるSMSを使うユーザーが増えたため、それを使った詐欺も増えた。

フィッシングサイトの数は4万件以上!被害を受けやすいのは「20〜30代男性」

■フィッシングサイトのURL件数

引用元:フィッシングレポート2022/フィッシング対策協議会
2020年上半期には2万件台だったのが、2021年下半期には2倍以上に増えている。今後も増加の一途をたどりそうだ。

実在する企業になりすまし、文面やサイトのデザインなどを似せているため、非常にタチが悪く、冷静さを失っているときに開くと、コロっと詐欺に引っかかってしまいかねない。

フィッシングの中でも、SMS(ショート・メッセージ・サービス)を使ったフィッシングのことを「スミッシング」または「SMSスミッシング」という。

フィッシングに対するスミッシングの比率は、同資料から読み取れないが、用語が分かれている点を踏まえると、その比率は決して低くないだろう。上述のフィッシングレポート2022のP18にあるNTTコム による調査結果では、スミッシングによる金銭的な被害を受けた人は、全体だと調査対象の3.9%だが、20代・30代の男性になると調査対象の10%超と、全体の3倍近い結果となっている。

なぜスミッシングが詐欺として横行しているのか。理由は以下の2つだ。

理由①:携帯電話番号に直接送るので、到達率が高い

LINEやTwitterなどのSNSアカウントは、そのアカウントがわかっていないと詐欺メッセージは送れないが、携帯電話番号の場合は、11桁の番号さえわかれば無条件に送れる。

理由②:重要な連絡だと思い確認してしまう「開封率」の高さ

携帯電話に連絡が来ると、やはりSNSに比べて重要なものと認識してしまうので、中身をきちんと確認してしまわないだろうか。やはりSNS経由で受信するメッセージに比べて、開封率が高くなる傾向にある。

SMSスミッシングの実際の手口

開封率の高さを実感するために、実際のスミッシングの手口を見てみよう。

■スミッシングの手口①(受信したSMS)

重要、警告、利用停止などの文言に加えて、有名企業の名前が並んでいる。

ちなみにこのSMSの中では、上から3つめのAmazonの認証と、8つめのUberの確認コード、9つめのS.RIMEの認証コードが正規の利用であり、それ以外はフィッシング(スミッシング)だが、パッと見では見分けがつかない。

■スミッシングの手口②(届いたURLを開いた)

例えばヤフーウォレットになりすましたスミッシングのサイトのURLを開いた場合の表示例。本物のヤフーのサイトのようにデザインされている。サイトのURLが正規のものと異なっているので、URLで見分けることが可能

スミッシングから身を守るための3つのポイントを整理

 スミッシングの被害に遭わないためには、SMSを利用しないのが一番だ。

しかし、金融サービスやネット通販などの利用で、2段階認証を行なうのにSMSが欠かせなくなっている。友人や仕事の同僚とのコミュニケーションにもSMSを使っている人もいるだろう。SMSの利用をやめるのは現実的ではない。

 そこでスミッシングかどうかを見分けるためのポイントを整理しておき、被害に遭わないように自衛に努めたい。

■スミッシングかどうか見分ける3つのポイント

ポイント①:メッセージのタイトルや社名を警戒する

タイトルには即時対応を煽るような、【緊急】【至急】【利用停止】【滞納】などの文言が並ぶ場合が多く、ほぼすべての場合で、社名には実在する企業の名前が使われている。実際に自分が利用している企業やサービス名だとつい、そこに目が行ってしまいがちだが、SMSを受信したらまず警戒するクセを付けておきたい。

ポイント②:メッセージの内容に心当たりがあるか確認する

二段階認証を行なう操作をした直後に受信したSMSのように、自らSMSを利用しようとしたか。また、知り合いから送られてきたSMSである場合でも、その内容に覚えがあるかどうかを確認する。知り合いが詐欺行為をしようとしている可能性を否定してはいけない。

ポイント③:メッセージに記載のある社名や団体名とURLが一致するか確認する

フィッシングに使うサイトのURLは正規のものと異なっていると見分けがつきやすいが、手口が高度化するにつれ、URLの一部に正規のサイト名が記述されていることもある。例えば、NTTドコモの場合だと、「https://www.docomo.ne.jp/」が正規のアドレスであるが、「docomo.xxxxx.yy」のように、その企業っぽいアドレスや短縮URLを仕込んでいる場合もある。できればURLを開かないことが自衛につながるが、真偽の判断が付かずURLを開いてしまった場合は正規のサイトなのか、慎重に確認したい。

フィッシングの情報がすぐに手元に来るようにして防御力を高めよう

 フィッシングやスミッシングの被害を防ぐための情報収集には、「フィッシング対策協議会」から情報を得るのがよい。「緊急情報」として、企業名やサービス名ごとの情報を公開してくれている。WebサイトとTwitter(@antiphishing_jp)で情報を配信しているので、これらで得られた名称にはより一層の注意を向けておきたい。

■フィッシング対策協議会

Twitterをフォローしておく方が迅速に情報を入手できる。

 仮にフィッシング詐欺に遭ってしまったら、恥ずかしがらずに警察に通報し、自分の被害を最小限に抑えるために行動しよう。警察庁ではフィッシング110番というサイトを開設しているが、手っ取り早く110番に電話して相談するのもアリだ。

文/久我吉史


@DIME公式通販人気ランキング


興味のあるジャンルを登録して@DIMEをもっと便利に!話題のコーヒーメーカー「BALMUDA The Brew」やAmazonギフト券が当たるキャンペーン実施中

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2022年7月14日(木) 発売

DIME最新号の特別付録は「USBパワフル扇風機」! 特集は「空旅VS鉄旅」「2022上半期トレンドキーワード」!

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。