スミッシング - スミッシング(SMS フィッシング)
SMSを使ったフィッシング。配送通知や口座通知を装い、偽サイトへ誘導する。
概念図
攻撃シナリオ
宅配不在通知を装ったスミッシング
bash
【ヤマト運輸】お荷物のお届けにあがりましたが不在でした。
下記よりご確認ください。
https://kuroneko-yamato.example-delivery.top/クレジットカード会社を装ったスミッシング
bash
【MyJCB】不正利用の疑いがあるため一時的にカードを停止しました。
24 時間以内にご確認ください。
https://myjcb-secure.example.vip/スミッシングがメール型フィッシングより効果的な理由
スミッシング(Smishing = SMS + Phishing)は SMS を経由するフィッシング攻撃です。
国内外で被害件数が急増しており、特に 2021 年以降、日本国内では宅配業者・キャリア・銀行を騙る手口が常態化しています。
| 観点 | メール型フィッシング | スミッシング |
|---|---|---|
| スパムフィルター | 強力(Gmail、Microsoft 365 が機械学習でブロック) | ほぼ存在しない(キャリアによる簡易フィルタのみ) |
| 表示される情報 | 送信者アドレス、件名、本文、ヘッダ | 送信元番号と本文のみ。URL もドメイン判定しにくい |
| リンク検証 | PC ブラウザならホバーで確認可能 | スマートフォンでは URL 全体が見えにくい |
| 緊急性の演出 | 受信箱に埋もれる | 通知バナーで即座に目に入る |
| 信頼度 | 迷惑メール多数で警戒されがち | 「SMS は本人確認用」という既成概念で信用しがち |
スマートフォンの小さな画面と「SMS = 信頼できる連絡手段」という思い込みが、スミッシングの成功率を押し上げています。
国内でよく見る手口
| 騙る主体 | 典型的な文面 | 狙い |
|---|---|---|
| 宅配業者(ヤマト / 佐川 / 日本郵便) | 「お荷物の受け取り失敗、再配達日時を指定してください」 | 偽サイトでクレジットカード情報入力 / 不正アプリのインストール |
| クレジットカード会社(JCB / VISA / セゾン) | 「不正利用検知のためカードを停止しました」 | クレジットカード番号・セキュリティコード・暗証番号 |
| 銀行(三菱 UFJ / 三井住友 / ゆうちょ) | 「重要なお知らせ:本人確認が必要です」 | インターネットバンキングのログイン情報 |
| キャリア(ドコモ / au / ソフトバンク) | 「料金の未納があります。本日中にお支払いください」 | キャリア決済、d アカウント / au ID の認証情報 |
| Amazon / 楽天 | 「アカウントが制限されています」 | EC サイトのログイン情報とクレジットカード |
| 国税庁 / 税務署 | 「還付金の振込手続き」 | マイナンバーカード情報や口座情報 |
Android ユーザーを標的にした不正アプリ(APK)のインストール誘導も多く、インストールすると SMS の乗っ取りや電話帳の吸い上げが行われます。
個人でできる防御と組織対応
個人レベル:
- 届いた SMS 内のリンクは原則タップしない。公式アプリまたはブックマーク済みの公式サイトから確認する
- 「荷物を待っていた」タイミングでも、追跡番号や差出人を公式サイトで直接検索する
- iPhone: 設定 → メッセージ → 「不明な差出人をフィルタ」を ON
- Android: Google メッセージのスパム保護を ON、Play プロテクトを有効化
- 公式アプリ以外からの APK インストールを許可しない(Android「提供元不明のアプリ」を OFF)
- 被害に気付いたら即座にカード停止・パスワード変更・警察の「サイバー相談窓口」へ通報
組織レベル:
- 従業員の業務用携帯に MDM(Intune, Jamf)でスパム SMS フィルタ設定を配布
- クレジットカード会社・銀行の公式通知手段を社内周知(「当社は SMS でリンク付き通知を送らない」という公式アナウンスは有力な指標)
- 誤ってリンクを踏んだ・情報を入力してしまった場合の 報告窓口 を明示。叱責せず早期報告を奨励する文化が最も重要