偽サイトを見分けるのは危険！知っておきたいURLの豆知識

手軽にメッセージのやり取りができるSMSは、さまざまなサービスやブランドからのお知らせ通知としてもよく使われています。受信した時には、なんとなく気になって見ている方も多いのではないでしょうか？

そんな中で急増しているのが「スミッシング」という詐欺。実在する企業を装い、SMSに添付したURLからユーザーを偽サイトへ誘導する手口が増加しています。スミッシングでよく送られるURLにはどんなものがあるのか、詳しく見ていきましょう。

スミッシングとはSMSを使ったフィッシング詐欺

実在する企業やブランドを装い、偽サイトにアクセスさせることで個人情報を盗む犯罪を「フィッシング詐欺」といいます。フィッシング詐欺では、メールなどのメッセージ上にURLを添付し、そこから偽サイトへ誘導。ログイン画面に見せかけて、例えばアカウントIDやパスワードを入力させ、個人のデータを騙し取るのが代表的な手口です。

こうしたフィッシング詐欺の中でも、特にSMSを使って、なりすましのメッセージを送る手法を「スミッシング」と呼びます。「SMS」と「フィッシング」を組み合わせた造語です。

スミッシングといえば、宅配便の不在通知を装うケースはご存じの方も多いかもしれません。数年前から多く見られている手口です。しかし最近では、通信事業者をかたる事例も増加。フィッシング対策協議会の発表によれば、2021年11月から12月にかけて、モバイルキャリアになりすましたスミッシングが約3倍にも上っています。「利用料金が高額になっています」「未納の携帯料金があります」などの文面で受信者を焦らせる手口が多くなっています。

スミッシングではマルウェア感染の危険も

スミッシングでは、先ほども出てきたような個人情報が盗まれるケースのほかに、誘導した偽サイトから悪意のあるソフトウェア（マルウェア）をインストールさせるパターンも。このマルウェアが入ることで、詐欺グループからの遠隔操作により、知らないうちに自分のスマホからフィッシングSMSが大量送信されるようになってしまうこともあります。

スミッシングで使われやすいURLとは

スミッシングで送られてくるURLは、実在の事業者のものと見分けがつきにくく、詐欺とは気づけないのが特徴です。例えば、詐欺でよく見かけるURLには次のようなものがあります。

1.ドメインが「duckdns. org」

スミッシングでよく使われるドメインに、「duckdns. org」があります。「Duck DNS」というダイナミックDNSサービスで「duckdns. org」のサブドメインを取得し、詐欺に悪用するケースです。

「Duck DNS」では、無料で「duckdns. org」のサブドメインを複数取得することができます。「Duck DNS」自体は一般的に使用されているサービスですが、0円で何個でもサブドメインを取得できる仕組みを利用し、詐欺グループが使い捨てのURLを大量に作成できてしまう一面があります。この「duckdns. org」を使ったURLで、偽サイトに誘導する手口が多々発生しています。

2.短縮URL

長いURLの文字列を簡単に短くできる、便利な短縮URLサービス。例えば、字数制限がある場合などに、URLの文字列を短く変換して添付するといった使い方が基本です。代表的なのは、アメリカのBitly社が提供する短縮URLサービスを利用した「https://bit.ly/...」から始まる短縮URL。目にしたことのある方も多いのではないでしょうか。

スミッシングではこのような短縮URLを悪用することで、リンク先となる偽サイトのURLをカモフラージュする場合があります。短縮URLサービスの提供元自体には何ら問題がなくても、その仕組みが詐欺の手口に悪用されてしまうのです。

「httpsは安全なサイト」と考えるのは危険！

インターネットをよく使う方なら知っているかもしれませんが、「http」から始まるWebサイトでは、URLの表示欄に「安全ではありません」といった警告が出るようになっています。一方で「http」に「s」がついた「https」のサイトでは、通信が保護されていることを示す鍵マークが表示されます。

この「https」の安全性とは、各サイトと閲覧しているユーザー間の通信が暗号化され、守られているという意味。例えば、そのサイト上でクレジットカード番号などの個人情報を入力しても、第三者の誰かにのぞき見されることはありません。

しかし注意したいのは、サイトそのものが信頼できるとは限らない点です。つまり、サイトを運営しているのが詐欺グループであれば、サイトに入力した個人情報は当然詐欺グループに渡ります。つまり「https」のサイトであっても、運営者と閲覧者間の通信が保護されるだけで、そもそもサイト運営者が詐欺グループだったら全く意味がありません。

最近のフィッシングサイトでは、「https」が非常に多く使用されています。国際的なフィッシング詐欺対策団体「APWG（Anti-Phishing Working Group）」によると、フィッシングサイトの約80%で「https」が使われているというデータもあります。URLが「https」だから安全なサイトだと判断するのは非常に危険です！

＜参考文献＞
■フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/12 フィッシング報告状況
■APWG | Phishing Activity Trends Reports

SMSのURLを見分けない・触らない

ここまでに見てきたように、SMSに添付されるURLは、一目見ただけでは本物か偽物か判断できません。さらにアクセスした先の偽サイトも、本物の公式サイトそっくりに作ってあるので、詐欺だと分からないケースがほとんどです。

また今回ご紹介したものは、あくまで一例。手口は日々進化しています。文面やURLで詐欺を見分けるのはほぼ不可能です。見た目で判断するのは危険ですので、SMSで届いたURLには基本的に触らないようにしましょう。

もしもよく利用するサービス名でSMSが届いたとしても、添付のURLには直接触らず、あらかじめダウンロードしているサービスの公式アプリか、ブックマークしている公式サイトから確認するのが安全です。少し面倒かもしれませんが、このひと手間で危険を回避できます。

スミッシングの被害を根本からブロック！

SMSを開封してしまうと、いつもの癖でリンクを押してしまったり、誤ってURLに触ってしまったりする可能性もあるでしょう。間違って操作してしまうこともあるので、できれば届いた時点で不審なSMSをシャットアウトできると安全ですよね。日頃の対策に加えて、スマホの防犯ツールを活用するのもスミッシング対策の一つです。

トビラシステムズ提供の「トビラフォンモバイル」は、不審なSMSの警告表示（Android）や迷惑フォルダ振り分け（iPhone）を自動で行い、開封を未然に防いでくれるので安心。家族・友達にあやしい電話やSMSを受け取って不安を感じている方がいれば、ぜひこの“お守りアプリ”を紹介してみてください。

トビラシステムズのデータベースを用いた迷惑情報フィルタアプリは、携帯キャリア各社からも提供されています。自分が利用する端末や携帯キャリアに合ったサービスを活用し、フィッシング詐欺を撃退しましょう！