スミッシング!SMSを送り付けて偽サイトに誘い出す今急増中の詐欺

SMS(ショートメッセージサービス)は電話番号宛に送信されるメッセージサービスで、ススマホアプリの個人認証でよく使われれています。
このSMSを使って偽サイトに誘導したり、不正アプリをダウンロードさせるといった手口の詐欺が急増しています。
例えば佐川急便やヤマト運輸を騙って偽サイトに誘導させてIDやパスワードを盗んだり、携帯電話会社を騙って情報を抜き取る不正アプリをダウンロードさせようとします。
ここではSMSを使って偽サイトに誘導する(フィッシング詐欺)という最近急増している「スミッシング」について見ていきましょう。

SMSを使った二段階認証導入の陰で

以前ならば登録したメールアドレス宛に送られてきた本文内のURLをクリックして本人確認とするケースが多かったのですが、最近はSMS宛に送られてきた認証コードを入力するという二段階認証が多くなっています。
SMSは電話番号宛に送信するメッセージサービスのためメールアドレスより確実に本人確認ができるとともに、メールアドレスと違って電話番号は簡単に変えられなかったり、個人でたくさんの電話番号(SIMカード)を所有していることが少ないなど個人の認証がしやすいためです。

ところがこの手軽さのわりに確実性が比較的高い点に付け込んで、実際に存在する会社名を使ってのフィッシング詐欺(スミッシング)が横行しているのです。

・運送業者を装ったスミッシング

ヤマト運輸・佐川急便・日本郵便といった日頃通販でお買い物をした時にお世話になることが多いこれらの会社の名前を騙ったスミッシングです。
その多くは不在通知を装ったものですが、最近ではお届け先がはっきりわからないので住所と名前等を送信してほしいというものまで、あらゆる方法で個人情報を盗もうとしています。

例)
お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。
http://×××.com

また佐川急便や日本郵便を騙ったスミッシングには、Android端末の場合には端末内の情報をすべて盗む不正アプリをダウンロードさせたり、iPhoneの場合にはAppleIDとパスワードを入力するように求める手口など、スマホの種類によって使い分けているケースも多くみられます。

携帯電話会社を装ったスミッシング

DoCoMoなど携帯電話会社を騙ったSMSが送りつけられ、スマホのセキュリティーの強化を推進するためと書かれている。
書かれたURLをクリックするとDoCoMoのサイトそっくりな偽サイトが表示されて、アプリをダウンロードするようにと書かれている。
このアプリも端末内の情報をすべて盗み取ろうとしたり、すでにスマホ内に入っているアプリをすべて不正なものに置き換えてしまうといったことが実行されます。

iPhoneの場合には公式サイト(App Store)以外からのアプリをインストールできないため、iPhoneのOSの設定を不正行為がしやすいように更新させるサイトへ誘導もあるようです。

そのほかには
「端末が不正利用された」というお知らせ
「Apple IDが不正に利用された」というお知らせ
「ご利用額のお知らせ」
などさまざまな内容のスミッシングSMSが送りつけられ、本文内のURLをタップするように誘導するのです。

本当に正規の会社から送られたSMSなの?

ヤマト運輸・佐川急便・日本郵便ではSMSによる不在通知などのお知らせは行っていません。
ですのでこれらの宅配・運送業者からSMSが届いた=スミッシング(SMSによる詐欺)だと言えるのです。

また携帯電話会社からのお知らせはSMSではなくメールで届くことが一般的。
DoCoMo・au・Softbankといった大手キャリアの場合は各スマホが使用しているキャリアメールアドレス(.docomo.co.jpなど)が当然分かっていますので、SMSではなくお知らせはメールで配信されます。

慌てずに書かれたURLを確認

まずはSMS本文中に書かれたURLをチェックしましょう。
ヤマト運輸・佐川急便・日本郵便・DoCoMo・SoftbankではURLに「jp」のドメインを使用しています。
またauでは「.com」を使用していますが「au.com」という間違えにくいドメインとなっています。

ですので書かれているURLをチェックするだけで、偽サイトに誘導しようとしているのかが分かるのです。

書かれていたURLをタップしてしまった

SMS本文に書かれていたURLをタップし、偽サイトを訪れただけでは被害が及ぶことは皆無です。
あくまでIDやパスワードを入力すると盗まれる、不正アプリをダウンロードすると情報が盗まれるというものですので、偽サイトを訪れてしまったからといって慌てる必要はありません。

ただ念のためにブラウザのcookieを消去しておくことをおすすめします。

例)
Chromeの場合
右上の点
→履歴
→閲覧履歴データを削除
→パスワード以外にチェックを入れて「データを削除」

IDやパスワードを入力してしまった

まずは本物のサイトへ行きログインし、すぐにパスワードを変更します。
また同じパスワードを他のサイトでも使っておれば、それらのパスワードもすべて変更します。

ここで重要なこと。

パスワードをあちこちのサイトで使いまわしていると、Aというサイトで漏れた場合ほかのBやCというサイトでも被害にあう危険性が非常に高まります。
ですのでパスワードは一つのサイトに一つだけ使用し、使いまわしは絶対にしないようにしましょう。

金融機関の口座番号や暗証番号を入力してしまった

すぐに口座番号や暗証番号を入力してしまった銀行などの金融機関に連絡します。
連絡先は各金融機関のwebサイトに相談ダイヤルなどの電話番号が記載されていますし、口座を開設している支店へ電話するなど早急に金融機関に連絡します。

すでに出金されていたなど被害にあった場合には、銀行に連絡するとともに警察へも被害を届け出ます。
警察庁が開設しているフィッシング110番も活用しましょう。

クレジットカードの情報を入力してしまった

クレジットカードの番号など情報を入力してしまった場合、すみやかにカード会社に連絡します。
届け出た時点で不正利用されていなければ、それ以上の被害は食い止めることができます。

また不正利用された場合ですが、この場合もまずはカード会社に連絡します。
カード会社によっては第三者の不正利用と確認されれば、請求の取り消しや補償が受けられることもあります。
不正利用に気付いたのが明細が届いてからという場合も同様に、まずはカード会社に連絡しましょう。

アプリをダウンロードしてしまった

スミッシングに引っかかってしまいアプリをダウンロードしてしまった場合ですが、まずはすぐにアプリをアンインストールします。
そしてスマホで使用しているパスワードを変更してください。

不正アプリによっては端末内のIDやパスワードをすべて盗み取っているケースもあるので、すべてのパスワードを変更することが望ましいです。

アプリに関してはGoogle PlayやApp Storeといった公式サイト以外からはダウンロードをしないこと。
スマホの設定で「提供元不明のアプリ」のインストールを許可しないようにするなど、ちょっとしたことで十分な対策にもなるのです。

まとめ

実在する会社名を騙ってSMSを送り付け、偽サイトに誘導したり端末自体の設定を変更させるなど様々な被害が出ているスミッシング。
SMSからサイトへ誘導するのがこの詐欺の入り口ですから、書かれたURLが怪しくないかをチェックすることが重要です。
またIDやパスワードを入力した後にスミッシングだと気付いた場合、冷静に金融機関などへの連絡やパスワードの変更をしましょう。
不正アプリをインストールしてしまった場合も、まずはアンインストールとパスワードの変更を行いましょう。