一般財団法人 日本サイバー犯罪対策センター JC3JC3 : Japan Cybercrime Control Center

脅威情報

  1. TOP
  2. 脅威情報
  3. トピックス
  4. JC3コラムーSMS(ショートメッセージサービス)にご用心
公開日:
2022.02.25

JC3コラムーSMS(ショートメッセージサービス)にご用心

SMSで届いた「アカウントの利用を停止されています」って本当?

SMS(ショートメッセージサービス)で突然届く「〇〇アカウントの利用を停止されています。解除手続きは・・・」「お荷物のお届けにあがりましたが、不在の為持ち帰りました。ご確認ください。」等といったメッセージ。

誰でも一度は受信したことがあるのではないでしょうか。

メッセージ本文には「http」や「https」で始まるURLリンクが記載されていて、思わずそのリンクをクリックしてしまいそうになります。中には、送信元に有名な配送事業者やネット通販名、携帯電話会社等の見慣れた社名が表示されたメッセージも・・・

しかし、そうしたリンクは、安易にクリックすることによりアカウント情報が盗まれたり金銭被害に発展することもあります。

このコラムでは、そうしたSMSの脅威について紹介していきます。

「誰からも」「誰にでも」送れる便利なSMS

普段みなさんがビジネスやプライベートでお使いになっているeメールは、受信者が設定したメールアドレスを正確に知っていないと正しく送信できません。しかしSMSについては電話番号さえわかれば「誰からも」「誰にでも」送信できる便利さを持っています。

その反面、こうした便利な仕組みは犯罪者にも悪用されています。

すなわち、犯罪者にとっては、相手方のメールアドレスを知らなくても数字の組み合わせで機械的に、無作為に誰にでもフィッシングのメッセージを効率よくばらまくことができるのです。

後を絶たない「スミッシング」被害

「不在だったため荷物を持ち帰りました。確認はこちら。」、「支払いが確認できません。こちらから手続き」等々、みなさんも一度はこうしたSMSを受け取ったことがあるのではないでしょうか。

SMSを悪用して、配送事業者や携帯電話会社等をかたったメールを送り付け、リンクからフィッシングサイト(偽のログイン画面)に誘導し、アカウント情報(IDやパスワード等)を詐取する事案が多数発生しています。

この記事を作成中、私の娘のスマートフォンにもこのようなSMSが届きました。

アカウント情報がだまし取られてしまうと、フィッシングサイトでかたられていた事業者のサイトで不正アクセスされてしまうだけでなく、同じID・パスワードの組合せを使い回しているサイトでは軒並み不正アクセスされてしまうおそれがあります。

こうしたSMSを使ってフィッシングサイトに誘導するメッセージを送り付ける手口は「スミッシング」(Smishing=SMS+phishing)と呼ばれます。キャッシュレス決済サービスや、配送事業者や携帯電話サービスを提供する携帯電話会社などをかたったメールにより、正規サイトのログイン画面に似せたウェブページに誘導され、IDやパスワードといったアカウント情報が詐取されて正規サイトにログインされたり、個人情報を詐取されたり・・・

中には、クレジットカード情報が盗まれたり、クレジットカードや銀行口座から課金型のキャッシュレス決済サービスにチャージされて、勝手に買い物されるなど、金銭被害に発展することもあります。

フィッシング対策協議会が2021年6月に公表したフィッシングレポート2021によれば、2020年中のスミッシングを含むフィッシング報告件数は22万4676件で、2019年と比較して約4倍と増加傾向にあるため、より一層の警戒が必要です。

フィッシング対策協議会(フィッシングレポート2021)

見慣れた差出人にご用心

日々ばら撒かれているショートメッセージの中には、「AMAZON」、「docomo」、「KDDI」、「佐川急便」、「クロネコヤマト」など普段皆さんが使っているサービス事業者の名前が。

思わず信用してリンクをクリックしてしまいそうになりますね。

しかし、これらは本当に表示された事業者から送られたものなのでしょうか。

実はショートメッセージの差出人名欄の文字列は容易に偽装することができる場合もあるのです。

通信事業者を騙るスミッシング詐欺の手法に係る注意喚起(JC3)

海外にはこうしたショートメッセージの差出人名を作成できるサービスがあり、こうしたサービスが悪用されている可能性も指摘されています。

ですから、普段見慣れている事業者の名前が差出人の欄に表示されているからといって安易にリンクをクリックしてはなりません。

リンクをクリックしてしまったら・・・

さて、メッセージ本文にあるリンクをクリックしてしまったらどうなるのでしょうか?改めて整理してみましょう。

リンクをクリックした先には、メールアドレス(ID)やパスワード、その他個人情報の入力を求める画面があり、ここで入力してしまった情報を犯人側に見られている、ということになります。

また、中にはクレジットカード情報の入力を求めてカード情報を盗むものもあり、その情報自体が売り買いされたり、犯人側に直接クレジット決済されてしまったりして金銭被害が発生することも少なくありません。

さらに、メッセージ本文中のリンクをクリックすることで、ウイルス(マルウェア)をダウンロードしインストールさせられてしまうものもあります。

通信事業者を装ったフィッシング(不正アプリに注意)(JC3)

もしインストールしてしまった場合には、あなたの端末から他の無数の端末に対して同じようなフィッシングメッセージを拡散してしまう場合があります。

意図せずマルウェアをダウンロードしてしまい、あなたの端末が悪意あるフィッシングメッセージの発信源になってしまう…

考えただけでちょっと恐ろしいですね。

SMSで送られてくる心当たりのないURLリンクはクリックしないことが一番ですが、もしリンクをクリックしてしまった場合でも、リンク先の画面でIDやパスワードを入力しない、プログラムファイルのダウンロードやインストールを求められても許可しないようにすべきです。そのためにもこうした手口の犯罪があるということを知識として事前に得ておくことも大切になります。

こうした手口の犯罪に気付くことができずリンクをクリックするなど、もし何らかのファイルを意図せずダウンロードしてしまった場合には、当該ファイルの削除といった対応や、マルウェアと思われるファイルをインストールしてしまった場合にはマルウェアの駆除といった対応が必要になります。

被害にあわないために

以上に見てきたように、被害にあわないようにするためには、SMSを正しく理解し、送られてくる情報を鵜吞みにしない、疑ってかかるということが必要になります。

「私は大丈夫」と思っていても、フィッシングメッセージが送られてきたタイミングでちょうどその事業者のサービスを使っていたなど、たまたま、なんとなく心当たりがあるタイミングでメッセージを受信してしまうものです。

突然送られてくるフィッシングメッセージに注意し、公式サイトや公式アプリから確認、アクセスするなど自分が信頼できる情報に基づいて行動したいものですね。

以上に見てきたように、フィッシングメッセージはいつあなたのところに届いてもおかしくないのです。

「自分のアドレス(電話番号)は漏えいしていないから大丈夫」と言い切れないのがSMSの怖いところ。

御家族や遠く離れて暮らす御両親にも是非注意を呼び掛けてくださいね。

関連リンク

ページの先頭へ