スミッシングとフィッシング：被害に遭わないために

「スミッシング（Smishing）」という言葉はご存じでしょうか？テキストメッセージ（SMS）を通じたフィッシングを指す言葉です。スミッシングについて、いま世界各地で警鐘が鳴らされています。例えば米国で、イタリアで、そしてブラジルで（リンク先は英語、イタリア語、ブラジルポルトガル語）。ドイツの警察は、スミッシングに関する正式な警告を発表しました（リンク先はドイツ語）。日本でも、宅配便業者を装ったスミッシングについて、数年前から警告されています。

以下のグラフは「Smishing」という言葉が検索された回数を時系列で示したものです。

Googleでの「Smishing」の検索数はここ数年で増えている

英語の「Smishing」だけでもこれだけ検索されていることから分かるとおり、スミッシングは実際に被害を出し続けています。今回は、スミッシングの手口と、スミッシング対策を見ていきたいと思います。

スミッシングとは、その手口とは

スミッシングは、英語で書くと「Smishing」。「SMS」と「Phishing」を足した造語です。メールを媒介とするのではなく、SMSを媒介とするフィッシングのことを言います。メッセンジャーアプリを通じてのフィッシングも含めてスミッシングとする分類方法もありますが、当社ではメッセンジャーアプリでのフィッシングは別カテゴリと見なしているので、今回の記事では取り上げません。

スミッシングの目的は、フィッシングと同様に、相手をだまして重要情報を差し出させることです。よく狙われるのは、オンラインバンキングのパスワードやクレジットカードの情報です。スミッシングで使われるSMSは、何らかの問題が発生したことを知らせる内容で（配送ができなかった、未払い料金がある、アカウントがブロックされたなど）、問題解決のためにはメッセージ内に記載されたリンクをクリックしなければならないような見かけになっています。リンクをクリックした後の挙動は、以下の2パターンがあります。

• パターン1：重要情報を入力させるために、正規のアプリに見せかけたマルウェアをダウンロードさせる。
• パターン2：重要情報を入力させるために、正規のWebサイトに見せかけたWebページを表示する。

どちらのパターンになるのかは詐欺師の選択によりますが、被害者に待ち受ける結末は同じです。こういった手口で、これまでに多額のドル、ユーロ、ポンドが盗まれる事態となっています（リンク先はいずれも英語）。では、なぜ近年スミッシングが増えているのか、なぜ通常のフィッシングよりも危険なのか、説明いたしましょう。

スミッシングが増えている理由、そして通常のフィッシングよりも危険な理由

程度の差はありますが、ほとんどの人はメールによるフィッシングに慣れており、フィッシングを見破る方法も大体の人が心得ています。しかし、SMSを使った詐欺についてはそこまで知られていないので、SMSを受け取っても「詐欺かもしれない」と思う可能性はメールの場合より低めです。

さらに、人はSMSをメールよりも信頼しがちですが、実際はメールほど安全ではない傾向にあります。最近は、それなりにちゃんとしたメールサービスならインテリジェントな迷惑メールフィルターが搭載されています。完璧にフィルタリングできるわけではありませんが、それでも、詐欺師たちはフィルターをかいくぐるための方法を常に模索しなくてはならないので、一定の歯止めにはなります。その一方で、残念ながら、モバイル通信業者の迷惑メールフィルターには、柔軟性や精度に関して不十分な点が残っています。

また、SMSが読まれるのは、だいたいが移動中や作業の合間といった空き時間です。SMSの危険性がメールほど知られていない事情も相まって、SMSを注意深く読まない人が多いことから、スミッシングによる攻撃が成功しやすくなっています。

さらに、SMSには詐欺を見抜くヒントとなるポイントが少なめです。メールの場合なら、送信者のアドレスを見たり、デザインやレイアウトを確認したり、メール本文の全体的な説得力を判断したりと、詐欺にありがちな兆候を探すことができます。ところがSMSの場合、正規のメッセージも含め、だいたい同じような見た目です。言葉遣いも標準的な言い回しとは違っていることが多く、デザインも何の変哲もないものばかりです。技術力のある詐欺師なら、送信者の電話番号を偽の番号に変えて送信者を偽装できてしまいます（英語）。

スミッシングの被害を防ぐには

フィッシングの場合と同様に、スミッシング対策としてできることはいくつかあります。

• SMSのスレッド内でリンクをクリックしたり個人情報をシェアしたりしない。原則として、アクションしないほど安全です。
• 2段階認証が利用可能な場合は、利用する。2段階認証を使用していれば、万が一パスワードが盗まれてしまった場合でも、アカウントが不正アクセスされずに済みます。
• アカウントのログイン情報がサイバー犯罪者の手に渡ってしまった可能性がある場合は、すぐにその会社または銀行に連絡する。カードの停止やパスワード変更などに対応してもらえるほか、その後の手続きについても教えてもらえます。

最後に、よくある質問とその答えで締めたいと思います。

Q. もう連絡してこないように、詐欺メッセージに返信した方がよいですか？

返信はしないでください。この電話番号が有効な番号だということを知らせる結果になるだけです。正規の企業から送られてくるダイレクトメールでも簡単に解除できない場合があるくらいですから、法を犯している人間が真っ当な対応をしてくれるなどと期待しないでください。

Q. スミッシングではなく、本当に重要なメッセージだったらどうしましょう？

判断に迷う場合は、その会社や銀行に直接連絡を取って確認しましょう。連絡を取る場合は、その会社や銀行の公式Webサイトなど、公式の情報源から問い合わせ用の窓口を探してください。SMSに返信したり、SMSに記載されている連絡先へ問い合わせたりすることは絶対にしないでください。

Q. SMSを通じたフィッシングを自動的に弾く方法はありますか？

あります。多くのセキュリティ製品には、SMSやメッセンジャーアプリ内の疑わしいリンクを検知して警告の通知を表示するフィルター機能が搭載されています。例えば、カスペルスキー インターネット セキュリティ for Androidにも、そのようなフィルター機能が搭載されています。