偽のメールを送り、添付されたURLから偽サイトに誘導し重要な個人情報を盗み取る「フィッシング詐欺」。ニュースで聞いたことがある方も、実際に偽のメールを受け取ったことがある方も、そして中には、だまされてしまった経験がある方もいるかもしれません。それほど、フィッシング詐欺は多発しています。昨今はSMSで届くフィッシング詐欺、いわゆる「スミッシング」も多く、緊急を装う文面から偽サイトにアクセスすると、個人情報が盗まれるなどの被害に巻き込まれてしまいます。
スマホやインターネットの利用に慣れている人は「自分はだまされない」と油断しがちですが、手口は日々巧妙化しており、被害は年齢を問わず発生しています。
また、日頃から注意しているつもりでも、間違った対策をしていると逆に危険が忍び寄っている可能性があります。あなたの対策法は、間違っていませんか?フィッシング詐欺の実態と、その対策法を紹介します。
日々巧妙化する詐欺SMS、その手口とは?
実在する企業や有名ブランドを装うメールを送り、添付されたURLから本物そっくりの偽サイトにアクセスさせ、IDやパスワード、クレジットカードなどの重要な個人情報を入力させて盗み取る。これが「フィッシング詐欺」の手口です。
フィッシング詐欺の情報収集機関であるフィッシング対策協議会によると、2021年のフィッシング報告件数は52万6,504件で、前年に比べて約2.3倍も増加しています。
また近年はSMS(ショートメール)で届くフィッシング詐欺、いわゆる「スミッシング」も増加しています。
個人情報を盗むほか、マルウェア(不正なソフトウェア)をスマホにインストールさせ、大量の詐欺SMSをばらまくための端末として悪用されるケースもあります。トビラシステムズの調査では2021年は前年と比較してスミッシングが約3倍増加しました。
また、スミッシングのトレンドは日々変化します。2021年は、「お荷物のお届けにあがりましたが不在のため持ち帰りました」といったおなじみの宅配事業者を装う手口が多く見られました。対する2022年は通信事業者を装うSMSや、国税庁や警察庁などの公的機関を装うSMSが増加するといった変化が現れています。
個人情報の詐取のほか、国税庁そっくりの偽サイトに誘導し架空料金をプリペイド支払いさせる手口も増えているほか、時には、大きなニュースなどに便乗した手口が現れることもあります。例えば、新型コロナウイルスが流行し始めてからは、マスクや給付金、ワクチン接種などに便乗した詐欺SMSの事例がありました。詐欺師は常に時流を見ており、便乗できるネタを探しています。
その判断もしかして危険?間違った詐欺SMSの対策法
巧妙なスミッシングの被害を避けるには、日頃から適切な対策が重要です。しかし、間違った対策をすると逆に被害に遭う危険があります。危険な見分け方をしていないか、この機会にチェックしてみましょう。
文面やURLで見分けられる?
「詐欺のメールやSMSでは、カタコトの日本語が使われることが多いんでしょ?」と、届いたメールやSMSで日本語のあら探しをする人もいます。でも、実はこれは危険です。
インターネットの翻訳機能の精度が向上しているのと同様に、詐欺のメールやSMSもごく自然な日本語に見えるものが多くなってきています。日本語の不自然さで判断しようとすれば、ほとんどの詐欺にだまされてしまうことになります。
また、「URLが正しいかを確認すればよい」と考える人もいますが、これも危険な考えです。よく利用するサービスでも、サイトのURLを最初から最後まで一字一句全て覚えることは困難です。数字の「1(いち)」とアルファベット小文字の「l(エル)」、さらにはギリシャ文字やキリル文字など、非常に見分けづらい文字もあります。これらを無理やり見分けようとするのは危険すぎます。文面やURLの見た目で見分けようとするのはやめましょう。
差出人で見分けられる?
身に覚えのないSMSが届いた時、差出人の文字列に事業者名があれば、本物のように見えます。しかし、差出人の文字列は書き換えることが可能です。事業者の名前を装い、まるで本物のように見える詐欺SMSの事例は実際にあります。差出人の文字列が事業者名になっているからといって、そのまま信じてはいけません。差出人の文字列から本物か偽物かを判断しようとするのはやめましょう。
サイトの見た目で判断できる?
添付されたURLにアクセスし、偽サイトかどうかを見た目で判断しようとする大胆な人がいるかもしれませんが、これも危険です。
偽サイトは本物のサイトをコピーして作成している場合もあり、ロゴや画像、掲載されている内容が本物と同じになっている可能性があります。コピーされていれば、本物か偽物か見分けようがありません。サイトの見た目で本物か偽物かを判断しようとするのはやめましょう。
「https」で始まるサイトは本当に安全?
「URLが『https』で始まっていれば、そのサイトは安全」と思っているなら、それも危険です。フィッシング詐欺の世界において、これは間違った見解だと言われています。
そもそも「https」の安全性とは、サイトと閲覧しているユーザー間の通信が暗号化され、守られているという意味。例えば、そのサイト上でクレジットカード番号などの個人情報を入力しても、第三者にのぞき見されないという意味を持っています。
でも、そのサイトを運営するのが詐欺グループだった場合はどうでしょうか。サイトに入力した個人情報は、当然詐欺グループに渡ってしまいます。実際に、最近のフィッシングサイトでは、「https」も非常に多く使用されるようになっています。これでは、「httpsならば安全」とは全く言えません。フィッシング詐欺の対策において、URLが「https」であるかどうかで見分けるのはやめましょう。
正しいスミッシング対策はシンプル
そもそも「見分けようとしない」
では、どうやって見分けるのか?と思う方もいるかもしれませんが、正しいスミッシング対策法はいたってシンプルです。それは、そもそも「見分けようとしない」ということ。見分けない・触らないを徹底することが一番大切です。
身に覚えのないSMSが届いた場合、文面やURL、差出人などを見分けようとせず、添付されたURLに触らない。まずはこれを徹底しましょう。
URLを触ってしまうことが全ての被害の入り口となります。どんなに緊急のメッセージが届いたとしても、一旦落ち着き、URLに触るのはやめましょう。
公式アプリ・ブックマークを利用
届いたSMSを見分けない・URLを触らない場合、もしも届いたメッセージが本物だったらどうするの?と思うかもしれません。そのために、事業者から提供されている公式アプリやブックマーク(お気に入り登録)を利用しましょう。
情報を確認したい場合は、事業者が提供している公式アプリや、あらかじめブックマークしておいたサイトから確認するようにします。たとえ本物の事業者から届いているように“見えた”としても、差出人などを詐称した偽物の可能性はあるため、SMSに添付されたURLから直接アクセスするのは避けましょう。
公式アプリやブックマークしているサイトのマイページなどから情報を確認し、何も問題がなければそれが詐欺のSMSだとわかります。また、公式アプリや正規サイトで、発生している詐欺に関して注意喚起が行われている場合もあるので併せてチェックしてみましょう。
何か新しいサービスを利用開始するときは、サービスの公式アプリを使ったり、マイページなどよく訪れるサイトをブックマークしておいたりすると良いでしょう。
迷惑SMS対策サービスを活用
スミッシングは日々巧妙化しているため、どれだけ注意を払っていても、突然届いた内容に焦ってしまうことがあります。被害が後を絶たない状況を見ると、手口を知っていても、だまされてしまう可能性が誰にでもあるということです。
より安全にスマホを利用するため、基本的な対策に加えて迷惑SMS対策サービスを利用するのが効果的です。迷惑なSMSの受信時に警告表示や、自動で迷惑メッセージフォルダに振り分けるなどの機能があります。フィッシングサイトへアクセスするリスクが減るのはもちろん、危険なSMSを誤って開封するのも防いでくれます。
例えば、トビラシステムズでは日々迷惑情報データベースを更新し、詐欺の恐れがあるSMSを約98%の精度で検知します。人の注意力だけで不十分な対 策は、テクノロジーで補うのが有効です。
SMSで届くフィッシング詐欺「スミッシング」の傾向と対策について紹介しました。常に変化する手口やトレンドについて知ると同時に、正しい対策法を身につけて被害を防止しましょう。