巧妙に迫るSMS詐欺の罠―あなたのスマホを守るための最新情報と対策法

多くの企業では、フィッシング詐欺への対策としてセキュリティツールの導入や社員教育に取り組んでいますが、個人も同様に意識を高め、対策を講じることが重要です。フィッシング攻撃はメールだけにとどまらず、SMSを利用して仕掛けられるケースも増えています。この記事では、SMSを用いたフィッシングの具体的な手法と、個人で実践できる予防策についてご紹介します。

フィッシングは、サイバー攻撃の一環として悪用されることが多く、企業ではセキュリティ製品の導入や従業員への教育を通じた対策が行われています。しかし、こうした取り組みだけでサイバー犯罪のリスクを完全に防ぐことは難しく、個人の意識と対策も重要な役割を果たします。多くの人がメールによるフィッシング詐欺を思い浮かべがちですが、実際にはSMSを悪用した手口も確認されています。本記事では、SMSを利用したフィッシングの特徴や具体的な対策方法についてご紹介します。

SMSとは

SMS（Short Message Service）は、スマートフォンや携帯電話の電話番号宛に短いテキストメッセージを送信できる通信サービスです。電話では伝えにくい情報や、相手の連絡先が電話番号しか分からない場合などに役立つことから、さまざまな場面で利用されています。
近年では、このSMSを本人認証手段として活用する場面も増えており、私たちの生活において欠かせない存在となりつつあります。

認証には、「知識情報（IDやパスワードなど）」「所持情報（所持するデバイス等）」「生体情報（指紋や顔など）」の3つの要素があります（表1）。従来は、開発のしやすさやコストの面から「知識情報」による認証が一般的でしたが、サービスの増加によりユーザーが複数のパスワードを管理する負担が増し、また不正アクセスによる情報漏えいも問題となっています。
そのような背景から、「所持情報」による認証手段として、多くの人が持つスマホを活用するケースが増えており、SMSで認証コードやリンクを送信する方法が広まりました。
ただし、この便利さゆえに、SMSを悪用したサイバー犯罪も増えているため、適切な利用と警戒が求められます。

巧妙化する詐欺SMS

SMSを悪用した詐欺行為とは、個人情報の不正取得やマルウェアの拡散、さらには金銭のだまし取りを目的として、偽のメッセージを送りつけるサイバー攻撃です。
このような詐欺の中でも、特に情報の窃取や端末へのマルウェア感染を狙うケースは、「スミッシング（Smishing）」と呼ばれています。
詐欺SMSの多くは、怪しいURLを含む内容で構成されており、ユーザーにリンクをクリックさせることを狙っています。
本記事では、実際に確認された詐欺SMSの文面を例に挙げながら、その具体的な手口や種類についてご紹介します。

①金融機関を装うケース

「暗証番号の更新」や「アカウントの有効化」といった手続きを促す内容で、不審なリンク先に誘導するSMSが報告されています。
このようなSMSが、実際に自身が利用している金融機関からの連絡だと思い込んでしまうと、無意識のうちにリンクを開いてしまう恐れがあります。

②宅配業者を装うケース

配達業者を装って「不在通知」を騙り、再配達の手続きを促すような文面により、不審なURLへ誘導するSMSが確認されています。
特に、不在票の有無をすぐに確認できない状況や、直近でECサイトを利用した記憶がある場合などは、内容を信じてしまう可能性があるため注意が必要です。

③官公庁を装うケース

官公庁からの連絡を装い、「重要なお知らせをご確認ください」といった文言で、不正なリンクへ誘導しようとするSMSが確認されています。
引越しや確定申告など、行政手続きを行ったばかりのタイミングでは、こうしたメッセージに信憑性を感じやすくなるため、十分な警戒が求められます。

④株式投資の情報を引き合いにするケース

「資産運用に関する有力な情報がある」との誘い文句で、不正なURLへ誘導するSMSが出回っています。
また、証券会社の担当者を名乗り、より信憑性のある内容でリンクの確認を促す詐欺手口も確認されており、十分な注意が必要です。

上記の事例に加え、クレジットカード会社や通信事業者を装い、料金の支払いを促すSMSや、ECサイトになりすまして登録済みの個人情報の更新を求めるSMSも数多く確認されています。
これらのメッセージに記載されたURLをクリックしてしまうと、個人情報を盗み取るフィッシングサイトへ誘導されたり、マルウェアが自動的にダウンロードされるなどの被害につながる恐れがあります。
また、④のような投資情報を装ったケースでは、犯罪者のSNSアカウントに誘導され、最終的に投資詐欺に巻き込まれる危険性もあるため、十分な注意が必要です。

詐欺SMSからの被害を防ぐために

詐欺SMSの被害を避けるための有効な方法の一つは、情報収集を通じて脅威について知ることです。
例えば、トビラシステムズ株式会社が提供する「詐欺SMSモニター」というサービスが挙げられます。このサービスは、2024年のサイバーセキュリティ月間の関連行事として、当初は期間限定で公開されましたが、好評を受けて継続的に公開されることが決定しました。
「詐欺SMSモニター」は、詐欺SMSの発生状況をリアルタイムで可視化し、過去48時間に送信された詐欺SMSの件数、Androidマルウェアに感染して詐欺SMSを送信している端末の台数、また直近に確認された詐欺SMSの内容を見ることができます。
情報収集に加えて、もう一つ有効な手段として、SMSの発信元を判断する方法があります。特に共通ショートコードの利用が注目されており、これは「0005」から始まる8～10桁の番号で、携帯キャリア4社（NTTドコモ、au、ソフトバンク、楽天）が発行しています。この共通ショートコードを利用する企業は限られており、発信元の信頼性を迅速に確認するために役立ちます。
不審なSMSを受け取った場合は、これらのサービスや仕組みを駆使して、正規の通知かどうかを確認することが重要です。また、企業や公的機関が発信するフィッシングやスミッシングに関する最新情報を把握し、適切なセキュリティ対策を取ることも大切です。