フィッシング詐欺、危険な見分け方してませんか?正しい対策をチェック!
突然スマホに「料金の支払いが確認できていません」「不正ログインがありました」などのSMS(ショートメッセージ)が届いたことはありませんか。「大変だ!」と、慌てて信じてしまうのはNG。なぜなら、これは個人情報を盗み取るフィッシング詐欺の可能性があるからです。
…と、ここまでは知っている方も多いかもしれません。ただし、油断厳禁。意外と多いのが「怪しいSMSが届いても、偽物か本物かを見分ければ大丈夫でしょ」という人。実はこれ、非常に危険な行為です!この記事で、正しいフィッシング詐欺の対策法を覚えていきましょう。
フィッシング詐欺のSMS、「スミッシング」とは?
実在する企業やブランドを騙るSMSやメールを送り、添付されたURLにアクセスさせて偽サイトに誘導し、個人情報を盗み取る犯罪をフィッシング詐欺といいます。
フィッシング詐欺の中でも、SMSで届くものは「スミッシング」と呼ばれています。「SMS」と「フィッシング」を組み合わせた造語です。
トビラシステムズ社の調査では、2021年に確認されたスミッシングの件数は、前年から比較してなんと約3倍にも増加。短いメッセージで届くスミッシングは情報が少ない上、「アカウントを停止する」「支払いに問題がある」など、焦らせる文面でユーザーの不安を煽ります。
慌ててSMSに添付されたURLに触ってしまうと、クレジットカードや暗証番号などの個人情報を盗み取られたり、架空料金の支払いをさせられたりと、金銭的な被害を受ける可能性があります。また、マルウェア(悪意のあるソフトウェア)をインストールさせられ、詐欺のSMSをばらまく端末として悪用されてしまうケースもあります。
スミッシングでは、宅配事業者、通信事業者、銀行やカード会社など、生活に身近な企業を騙る手口が多発中。さらに、新型コロナウイルスに便乗した手口や、国税庁を装う「税金が未納」という手口など、常に最新の手口が発生しています。
間違った対策していませんか?4つのNG行為
このような詐欺のSMSは、いつ、誰にでも届く可能性があります。しかし、企業からお知らせのSMSが日常的に届いていることも多く、その中に詐欺のSMSが紛れ込んでしまう可能性もあります。「このSMSは本物か偽物、どちらだろう?」と迷った時に、間違った判断をしてしまうと、危険に巻き込まれてしまいます。
ここからは、スミッシング対策でやってしまいがちな「間違った対策法」を見ていきましょう。普段やってしまっている人は要注意!
1.差出人情報を見て判断するのはNG
怪しいSMSが届いた時、差出人が正規の事業者かどうかを見極めようとするのは、実は危険です。その一例として、このSMSをご覧ください。
au PAYのアカウントが悪用されたという内容のSMS。差出人には「aupay」と書かれています。見た目だけの印象では、au PAY公式から届いたお知らせのように感じます。ところが、これは偽物!実際にあった詐欺のSMSです。
実は、差出人の文字列は書き換えることが可能なため、事業者の名前を騙り、本物から届いたような見た目にするのは、犯罪者にとって比較的簡単にできてしまうのです。差出人が「本物のように見える」からといって、簡単に信じてはいけません。
2.文面やURLを見て判断するのはNG
文面の日本語が不自然ではないか、添付されたURLが正しいかを、見た目で判断しようとする人がいますが、これは非常に危険です。
スミッシングの文面は巧妙化し、文面の日本語に不自然さを感じないものが非常に多くなっています。
また、「URLをよく見て確認すればよい」と考える人もいますが、これはNG行為です。よく利用するサービスでも、サイトのURLを最初から最後まで一字一句全て覚えることは困難です。数字の「1(いち)」とアルファベット小文字の「l(エル)」など、見分けづらい文字もあり、一文字でも間違えば偽サイトにアクセスしてしまう危険があります。また、事業者が配信する公式SMSに添付されるURLのドメインは全て公開されていない場合があり、本物かどうかを判断しづらい場合もあります。
文面やURLの見た目で、偽物か本物かを判断するのは危険です。
3.サイトにアクセスし、見た目で判断するのはNG
届いたメッセージが本物か偽物かを判断するために、添付されたURLにアクセスしてサイトの見た目で判断するのはNG行為です。そもそも大前提として、不審なSMSに添付されたURLに触ること自体がとても危険。
偽サイトは本物のサイトをコピーして作成されている場合もあり、ロゴや画像が本物と同じ見た目になっている可能性があります。サイトの見た目で判断しようとするのは危険です。
ロゴやサイトの構成は本物そっくりで、見分けがつかない。
4.「https」で始まるかで判断するのはNG
偽サイトにアクセスしないための対策として、「URLが『https』で始まっているかを確認すること」が推奨されている場合がありますが、実はこれもNG行為。
たしかに、「https」で始まるサイトでは、URLの表示欄に鍵マークが表示されています。一方で、末尾に「s」がない「http」から始まるサイトは、URLの表示欄に「安全ではありません」といった警告が出るようになっています。一見、「https」の方が安全な印象がありますが、フィッシング詐欺の対策においては、この判断基準は全く通用しません。いったいどういうことでしょうか?
この「https」の安全性とは、サイトと閲覧しているユーザー間の通信が暗号化され、守られているという意味です(SSL化)。例えば、そのサイト上でクレジットカード番号などの個人情報を入力しても、第三者にのぞき見されないということです。
しかし注意したいのは、サイトそのものが信頼できるとは限らないこと。つまり、「https」で始まるサイトを運営しているのが詐欺グループであれば、サイトに入力した個人情報は当然詐欺グループに渡ります。これでは、「https」だから大丈夫とは全く言えませんね。
最近のフィッシングサイトでは、「https」が非常に多く使用されています。国際的なフィッシング詐欺対策団体「APWG(Anti-Phishing Working Group)」によれば、なんとフィッシングサイトの約80%で「https」が使われているというデータもあります。URLが「https」であれば安全なサイトと判断するのは非常に危険なので、すぐにやめましょう。
正しい対策法をチェック
スミッシング対策のNG行為を確認しました。それでは、正しい対策法をチェックしていきましょう。
1.見分けない、触らない
SMSの差出人や文面、見た目などから、偽物か本物かを判断するのは危険です。届いたSMSを見分けず、添付されているURLに触らないようにして、フィッシング詐欺から身を守りましょう。
2.公式アプリやブックマークしたサイトから確認
よく利用するサービス名でSMSが届いたとしても、添付されたURLからアクセスするのを避け、あらかじめダウンロードしている公式アプリか、ブックマークしている公式サイトのマイページなどから確認してみましょう。公式アプリやマイページのお知らせで通知を行っているサービスの場合、アプリやマイページにお知らせが届いていないのにSMSが届いた場合は、スミッシングの可能性があります。少し面倒かもしれませんが、このひと手間で危険を回避できます。
3.注意喚起を調べて参考に
事業者名を騙るフィッシング詐欺が発生している場合、その事業者のホームページにフィッシング詐欺に関する注意喚起が出ている場合があります。受け取った不審なSMSの文面をインターネットで検索すると、注意喚起の情報が見つかる場合もあるので、気になる場合は調べてみると良いでしょう。
事業者のホームページでは、正規の案内方法、送信元として使用している電話番号、配信するSMSでのURL添付の有無、困った場合の問い合わせ窓口などが案内されている場合があります。
また、フィッシング詐欺の情報収集機関である「フィッシング対策協議会」のホームページでも、悪用された企業やブランドの最新情報が掲載されています。焦らず、落ち着いて情報を確認してみましょう。
ただし、フィッシング詐欺の新しい手口が現れて間もない時期は、注意喚起が出ていない場合があります。「注意喚起が出ていなければ安全」とは限りません。インターネット上の情報は参考にしつつ、あくまでもSMS内のURLに触らないことを徹底して自衛しましょう。
防犯アプリ活用でさらに安心・安全
フィッシング詐欺は、基本的な対策を守っていれば回避できます。ただし、どれだけ対策していても、人の注意力にはどうしても限界があります。基本的な対策だけで守りきれない部分は、防犯ツールを活用してスマホを安心・安全に保ちましょう。
スマホの防犯アプリ「トビラフォンモバイル」は、独自のデータベースをもとに、不審な迷惑SMSを自動検知して警告する機能を搭載。迷惑SMSを受信した際に、自動で警告表示(Android)や迷惑フォルダ振り分け(iPhone)ができるため、間違って開封したり、URLを触ったりなどの危険を軽減できます。
特殊詐欺や悪質営業などの迷惑電話を警告・拒否する機能も利用できます。スマホを安心&便利に利用するために、ぜひご活用ください。
トビラシステムズのデータベースを用いた迷惑情報フィルタアプリは、携帯キャリア各社からも提供されています。自分が利用する端末や携帯キャリアに合ったサービスを活用し、特殊詐欺やフィッシング詐欺を撃退しましょう!
この記事が気に入ったらサポートをしてみませんか?