特集

若い人が引っ掛かりやすい「スミッシング」、偽装された“怪しいメッセージ“を受信したときにできる対処法(後編)

 SMSを悪用した「スミッシング」の実態について、前編ではアンケート結果を元にお伝えしました。そこで分かったのは、

  • スミッシングはだましやすくするために宅配業者やECサイトなど、おなじみの企業を装って送られてくる
  • 個人情報を盗まれるだけでなく、マルウェアをインストールさせられる恐れもある
  • 実際に被害にあった半数以上が1万円以上の被害を受けていた
  • 実際にスミッシング詐欺にあったことがある割合が高いのは、20~30代の男性

 といった特徴です。被害額も決して小さなものではない実情が浮かび上がってきました。

 今回は、こうしたスミッシングの脅威からどのように自分を守ればいいのか、具体的な対処法とともにお伝えいたします。

届いたSMSはスミッシング? どう判断する?

 自分の元に届いたSMSがスミッシングかどうか、どのように判断すればいいのでしょう?

 メールを悪用したフィッシングメールですと、文章の不自然さから「怪しい」と判断しやすいですが、SMSでは長い文章で送られてくることが少ないため、巧妙に作られたスミッシングは見分けることが難しいことも多いです。

 実際に被害にあった人(n=118)を対象としたアンケート結果では、53.4%と半数以上の人が「URL」でスミッシングだと判断すると回答していました。

(アンケート)正規のSMSとフィッシング詐欺のSMSを見分ける場合、何で判断しますか?※複数回答可 (n=118)

 URLに注目するのは確かに有効な手段の1つです。例えば、スミッシングのメッセージには、実在するウェブサイトの正規URLに偽装したものや、「https://www.」以下のURLにランダムな英数字を並べたもののほか、電話番号が記載されている可能性もあり、遷移先で重要な情報を抜かれる可能性もあります。

 そのため、

  • あらかじめ登録してあるブックマークを経由してアクセスする
  • 送信元企業のウェブサイトを自分で検索して確認する

 といった方法でリスクを低減できます。

 電話番号が記載されている場合は、企業のウェブサイトを確認し、運営者の正規の窓口へ問い合わせることが重要です。SMS内に記載されている電話番号へ直接電話することは避けるべきです。運営者によっては、SMSで連絡する場合に使用する電話番号を公開しており、その番号と照らし合わせることで、正式なSMSなのかを判断できます。

 とはいえ、SMSのメッセージを開封しただけでは何も被害は生じないので、その点は安心してください。ただ、その後の対応に注意が必要になるということです。

 ただ、URLよりも見極めやすい情報があります。それは 「発信者番号」 です。

「発信者番号」がアルファベットの場合の注意ポイント

 SMSの発信者番号に国内電話番号(例:03-、080-などで始まる)が表示されている場合、国内のSMS送信事業者の審査を通った企業から送られるSMSであると考えられるため、比較的安心です。ただし、絶対ではないので注意が必要です。

 一方で発信者番号が、


     ・アルファベット(例:Amazon、Yahoo など)
     ・海外電話番号(例:+1など ※+1はアメリカの国番号を指します)

 である場合は注意が必要です。これは、発信者の身元を隠しやすく、第三者へのなりすましを可能にする海外のSMS送信事業者を利用している可能性が高いためです。

 日本国内のSMS送信事業者では、発信者番号として国内の電話番号が付与されます。しかし、海外のSMS送信事業者では送信元名を変更可能な場合もあり、これを詐欺師がなりすましに悪用するのです。

 このように、国内で事業を展開する企業は国内の電話番号を発信元番号としてSMSを送信すれば信頼感が高まるのですが、企業によっては、なりすましか判別しにくいリスクを勘案せず、自社の公式なSMSの発信者番号にアルファベット・海外電話番号を利用して連絡してくる場合があるのも実情です。その際は、自身でその企業のサービスを利用したことがないか(例:海外から商品を取り寄せ、海外運送会社のSMSを受信)など、自身の行動を振り返ることも重要です。また心当たりがある場合でも、SMSに記載の連絡先が正しいか定かでない場合は、当該サービスのカスタマーサポート等に、SMSからではなく、検索サイトもしくはブックマーク等から正しい連絡先を調べて問合せすることをお勧めします。

 以下は発信者番号の表示イメージです。

  • 左:国内のSMS送信事業者の審査を通った国内電話番号のもの(03で始まるもの)
  • 中央:国際通信網を経由したもの(アルファベット)
  • 右:携帯電話端末から発信したもの(090で始まるもの)

 となり、中央の発信者番号がアルファベットになっているものは、最も警戒すべきものです。

発信者番号のイメージ

 前編で私が受信した「Amazon」を装ったSMSも、まさに発信者番号がアルファベットで表記されていました。

筆者が受信した「Amazon」を装ったSMS

 国内のSMS送信事業者の場合、SMS送信を希望する企業に対して審査を行い、個別の電話番号を付与することが一般的です。一方、一部の海外SMS送信事業者においては、審査を行わず、発信者番号を任意の文字に設定することもあり、これを利用している可能性が高いと考えられます(全てではないことに留意ください)。

 詐欺師の立場を想像すると、なぜこのようなことになるかが理解いただけます。

 日本国内の事業者に比べ、安い料金でSMS送信サービスを提供している海外事業者が存在します。また、SMSの性質上、電話番号が分かりさえすれば送信できるという点があり、言い換えると「総当りで狙った番号がたまたま自分の番号であった場合、自分に届いてしまう」ということにもなります。

 つまり、詐欺師は低コストのSMS送信事業者を利用することで発信者番号を有名企業・ブランドなどを装いやすくなり(例:アルファベットの企業名など)、あとは総当りで電話番号に送信することで、その詐欺に引っ掛かった一部からお金をだまし取れれば良い(=かけたコストより、だまし取ったお金の方が多くなれば良い)という思考のもと活動していることが予想されます。

 ちなみに、発信者番号がアルファベットの場合、フィッシング詐欺の可能性が比較的高くなることを認知していない人が77.3%と、多くの人が危険性を認知できていないことが分かりました。

(アンケート)SMSの発信者番号がアルファベットの場合は、国内電話番号の場合と比べて、フィッシング詐欺の可能性が高くなる事をご存知でしたか? (n=5275)

一方的に送られてくるスミッシング、「疑う」ことも忘れずに

 各キャリアにて迷惑SMSをブロックする機能なども提供されはじめ、また、SMSを送ってほしくない電話番号を指定することで、スミッシングを少なくすることはできるようになってきています。ただ、ここまで説明してきたとおり、SMSを一括拒否することをしない限り、スミッシングを届かなくすることは難しいと考えられます。

 一方的に送られてくるスミッシングに対して、どのように自分を守るか、ということをまとめます。


    ・スミッシングと思われるSMSを受信した際は「発信者番号」を確認する
    ・怪しいSMSのメッセージ内のURLや電話番号を使わない
    ・SMSの発信者番号を企業のウェブサイトなどで確認する

 これらの対処法に加えて、例えば、NTTドコモ、KDDI、ソフトバンクが2018年に提供開始した「+メッセージ」のアプリを使うことも有効です。

 「+メッセージ」は公式アカウントとして認証された企業からのメッセージを受け取ることができます。SMSの進化版といったイメージのサービスで、企業が「+メッセージ」内で公式アカウントを持てることも特徴です。公式アカウントを通じてメッセージが送られてくる場合は、企業の公式アカウントは、認証を受けていることが保証されているため、通常のSMSに比べ安全性を確認するコストは低くなります。

+メッセージは、端末によってはプリインストールされている場合がありますが、Google PlayやApp Storeからもダウンロード可能です

 SMSはとても便利なものである一方で、それを悪用する詐欺師もいるのが実情です。今後、さらに巧妙な手段でSMSを悪用する手口が出てくる可能性もあり、最終的にはご自身で安全かどうかを判断する必要があります。

 SMSに限らず、メール、SNSといったインターネット上の情報を閲覧する際にも、頭のどこかに「疑う」といった気持ちを忘れないようにすることが大切と言えます。

・著者プロフィール:

 黒田 和宏(くろだ かずひろ)。NTTコム オンライン・マーケティング・ソリューション株式会社ビジネスメッセージ・サービス部長/エバンジェリスト。「電話番号の中に、新しいコミュニケーションサービスを創る」をコンセプトにSMS送信サービス「空電プッシュ」を中心としたビジネスメッセージ・サービス事業の責任者を務めるとともに、「空電プッシュ」のエバンジェリストとしてさまざまなセミナー・講演会にて登壇。また、フィッシングに関する情報収集・提供・注意喚起等、対策を促進するフィッシング対策協議会のメンバーとして参画している。