スミッシング詐欺とは何か?


 GoogleやAmazon等を装い、不正なURLを貼り付けてユーザを誘導し、個人情報を入力させる「フィッシング詐欺」が問題視されています。

 「フィッシング詐欺」はパソコン端末における問題と思われていましたが、ここ最近ではスマートフォンにもそれらの脅威が広まっています。

スミッシング詐欺とはスマートフォン版フィッシング

 スミッシング詐欺とは、一言でいうとスマートフォン版のフィッシング詐欺です。

 スマートフォンの機能の一つであるSMS(ショートメール)を使用して不正なサイトにユーザを誘導し、個人情報を入力させようとします。

スミッシング詐欺にあう流れ

 どのような流れでスミッシング詐欺の被害にあうのでしょうか?実際にSMSが使用されたスミッシング詐欺を見てみましょう。

1.犯人が総当りで、あらゆる電話番号に不正サイトのURLが記載されたメッセージを送りつける。
2.送られたユーザは「セキュリティのため以下をクリックして最新のデータをダウンロードしてください」というメッセージを信じ、クリックしてしまう。
3.URLをクリックした先には「住所、電話番号、クレジットカード」等の個人情報を入力する欄がある。
4.それらに自身の情報を入力して送信してしまう。
5.後日、ユーザのクレジットカードが何者かに不正に扱われたり、迷惑メールが頻繁に届くようになる。

 このように、手軽に送受信することが出来るSMS(ショートメッセージ)の機能を悪用し、ウイルス対策において危機管理の低いスマートフォンを狙った詐欺が相次いでいるのです。

「フィッシング対策協議会」が最新の詐欺情報を常時公開中

 「フィッシング対策協議会」の公式サイトには、最新のフィッシング詐欺やスミッシング詐欺に関する情報を随時更新し掲載しています。

 頻繁に目を通し情報を得ておくことで、スミッシング詐欺にだまされる確率を低くすることが出来ます。

 また、「消費者庁」もフィッシング詐欺、スミッシング詐欺に関する注意喚起や情報を公式サイトに記載していますので、併せて見てください。

最近のスミッシング詐欺事情

 スミッシング詐欺の被害に合う人は年々増加傾向にあるようです。

 というのも、スマートフォンはパソコンに比べてセキュリティリスクが低いという考えが浸透しており、スマートフォンへの不正対策を怠っていたり正しい知識を持たないで使用している人が多いのです。

スミッシング詐欺の被害件数の推移

 実際に2008年~2017年の期間にスミッシング詐欺被害にあった人数の推移を見てみましょう。

参照元:フィッシング対策協議会「フィッシングレポート2018」より

 更に2019年1月7日に、2018年におけるURL記載ありのフィッシング詐欺被害件数を月別に表したレポートが公開されました。

参照元:フィッシング対策協議会「」より

 フィッシング詐欺やスミッシング詐欺の手口が巧妙化してきたことに伴い、被害件数や被害総額も同時に増加し、完全な対策は未だ見つかっていません。

iPhoneもスミッシング詐欺に会う

 iPhoneももちろんスミッシング詐欺の対象外ではありません。

 不正アプリ「XLoader」が攻撃の猛威を振るっています。

 始めにSMSが送信されます。

 SMSのメッセージには不正サイトへのリンクが記載されており、正式な企業や事業者の公式サイトに見せかけた偽サイトに誘導します。

 そして、国内の通信事業者が提供する正式なセキュリティアプリに見せかけた、偽造アプリ「XLoader」をインストールさせようとします。

 「XLoader」はAndroid端末用とiPhone端末用の両方に対応しており、Android端末に対しては公式のセキュリティアプリに偽装し、それらを公式であると勘違いしたユーザが誤ってダウンロードすることで端末内の情報を奪取します。

 一方でiPhone端末に対しては、一度公式サイトを装った別の偽造サイトに誘導し、そこで公式のセキュリティアプリだと偽ってユーザにダウンロードさせます。

スミッシング詐欺に利用された業者

 最近のフィッシング詐欺、スミッシング詐欺事情について「フィッシング対策協議会」が公式サイトに情報を記載しています。

 それらによれば、2019年に入ってから以下の企業や事業者を語った詐欺が横行しているようです。

・【メルカリ】
(件名)
メルカリ事務局[MERCARI]重要なご連絡
メルカリ事務局サービス変更予定のお知らせ
メルカリ事務局サービスが有効期限切れになります
・【LINE】:(件名)LINE【重要情報】、[LINE緊急問題] ・【ゆうちょ銀行】:(件名)ゆうちょ銀行からのご連絡 (英数字文字列)
・【VJAグループ】:(件名)【重要】クレジットカードから緊急のご連絡

 これらの他にもAmazon、PayPal、三井住友カードを名乗るSMSが報告されています。

 SMSまたはメールは、サービスのアカウント情報や、住所やクレジット情報などの個人情報を入力するよう要求してきます。

 SMSやメールでこのようなことを尋ねる事はないので、決して入力しないで下さい。

スミッシング詐欺の被害にあわないようにするためには?

 他のセキュリティ事故同様に、スミッシング詐欺に合わない完璧な対策法はまだ存在しません。

 それゆえに自分の身は自分で守らなくてはなりません。

 効果的な対策法を以下にまとめました。

 どれも、それほど難しい対策ではないので、意識するよう心がけましょう。

ウイルス対策アプリの導入

 パソコンには必ずセキュリティソフトを導入するように、スマートフォンにもセキュリティソフトいわゆるセキュリティアプリを導入すべきです。

 iPhone端末とAndroid端末共にオススメなのはやはりこの大手2社が出しているセキュリティアプリです。

○シマンテック社:ノートンモバイルセキュリティ(1年版:2800円)
○トレンドマイクロ社:ウイルスバスターモバイル(1年版:3065円)

 なお、聞いたことのない無名のメーカーや個人が出しているソフトは、念のため使用しないようにしましょう。セキュリティアプリ自体が不正アプリである可能性があるので、できるだけ上記でご紹介した大手の有料アプリを使用するのがオススメです。

URLを確認する

 URLにも偽造されていることを匂わせるヒントが隠されています。

 普通はURLの中に送信元のサービス名や企業名が含まれていることがほとんどです。

 偽造URLの場合、全く関係のない名前やランダムな文字列が並んでいるだけのものがあります。

 それらの条件が揃ったURLが送られてきた際は、クリックせずに削除するかネットで同じようなメッセージを受信している人が居ないか確認してみましょう。

 詐欺メッセージとして注意喚起が出ている場合は即削除する必要があります。

見に覚えがないならば無視

 受信したSMSの内容が、そもそも自身が使用していないサービスならば問題ありません。

 見に覚えがないのならば無視して即削除しましょう。

メッセージの日本語に違和感はないか?

 詐欺メッセージは主に海外から送られてくることが多いです。

 違和感のある日本語の使い方をしていた場合は間違いなく偽造URLなので、即削除します。

まとめ

 パソコンのメールのみだと思っていたフィッシング詐欺は、セキュリティのゆるさや知識のなさを狙いスマートフォンにまで脅威をもたらすようになってしまいました。

 しかし施す対策はそれほど特別なことではありません。

 使用しているサービスを装ってSMSが送られた場合、内容をよく読み本当にそのサービスから送信されたものなのかを見極めましょう。

 スマートフォンにもセキュリティリスクが潜んでいることを忘れないでください。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
おトクでラクラク加入のサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。