Overview
スミッシング(Smishing)とは、SMS(ショートメッセージサービス)を利用したフィッシング攻撃の総称です。「SMS」と「Phishing」を組み合わせた造語であり、攻撃者はSMSやiMessage、RCSなどのメッセージングプロトコルを通じて、受信者を偽のWebサイトに誘導し、個人情報やクレジットカード情報を窃取します。
スミッシングが特に危険な理由は、SMSの高い開封率にあります。メールのフィッシングと比較して、SMSは受信後数分以内に90%以上が開封されるとされており、攻撃者にとって非常に効率的な手段です。また、スマートフォンの小さな画面ではURLの確認が困難であり、短縮URLを利用されると正規サイトとの区別がほぼ不可能になります。
近年では、宅配便の不在通知を装った詐欺SMS、銀行やクレジットカード会社を騙る認証要求、税務署や年金機構などの公的機関を装った還付金詐欺など、手口が多様化・巧妙化しています。特に日本国内では、宅配便の不在通知を装う「お荷物をお届けに上がりましたが不在のため持ち帰りました」という文面のスミッシングが社会問題化しています。
Details
SMSフィッシングの基本的な仕組み
スミッシングの攻撃フローは比較的シンプルです。まず、攻撃者は大量のSMSを不特定多数の電話番号に送信します。メッセージには緊急性を煽る文面と、偽サイトへのURLリンクが含まれています。受信者がリンクをタップすると、正規サイトに酷似したフィッシングサイトに誘導され、ログイン情報やクレジットカード番号の入力を求められます。
攻撃者は、電話番号リストの購入、番号のランダム生成、過去のデータ漏洩から取得した番号など、さまざまな方法でターゲットの電話番号を入手します。送信にはSMS配信サービスや改造されたモデムバンクが使用されることもあり、一度に数万件規模のメッセージを送信できます。
iMessage・RCSを利用した高度な攻撃
従来のSMSに加え、AppleのiMessageやGoogleのRCS(Rich Communication Services)を悪用したスミッシングも増加しています。これらのリッチメッセージングプロトコルでは、リンクのプレビュー表示やボタン形式のUI要素が利用可能なため、より説得力のある偽メッセージを作成できます。
iMessageを利用した攻撃では、エンドツーエンド暗号化により通信事業者やセキュリティフィルターを回避できる点が攻撃者にとっての利点です。RCSでは、ブランドメッセージング機能を悪用して正規企業のロゴや認証バッジを偽装するケースも報告されています。
宅配便不在通知詐欺
日本国内で最も被害が多いスミッシングパターンが、宅配便の不在通知を装った詐欺です。攻撃者は「お荷物のお届けに上がりましたが不在のため持ち帰りました。再配達のご依頼はこちらから」といった文面で偽のURLに誘導します。
誘導先のフィッシングサイトでは、荷物の追跡番号の確認を装い、氏名・住所・電話番号などの個人情報に加え、再配達手数料と称してクレジットカード情報の入力を求めます。Android端末の場合は、不正アプリのインストールを促すケースもあり、インストールすると端末自体がスミッシングの送信元として悪用されることがあります。
銀行・金融機関を装った詐欺SMS
金融機関を騙るスミッシングでは、「お客様の口座に不正アクセスがありました」「セキュリティ強化のため認証が必要です」といった文面で、受信者の不安を煽ります。フィッシングサイトではインターネットバンキングのログインID・パスワード、ワンタイムパスワード(OTP)の入力を求め、リアルタイムで正規サイトに中継して不正送金を実行するリアルタイムフィッシングも確認されています。
特に危険なのが、正規のSMSスレッドに偽メッセージが紛れ込むSMSスプーフィングです。送信者IDを偽装することで、過去に正規の銀行から届いたSMSと同じスレッドに詐欺SMSを表示させることが可能であり、受信者が真贋を判別することが極めて困難になります。
スミッシングの検知技術
スミッシングの検知には複数の技術的アプローチが存在します。コンテンツベースフィルタリングでは、メッセージ本文のパターン分析により詐欺メッセージを識別します。機械学習モデルを活用し、緊急性を煽る表現、短縮URL、送信者IDの不一致などの特徴量から判定を行います。
ネットワークレベルフィルタリングでは、通信事業者が大量送信パターンの検出、既知の悪性番号のブロック、送信者IDの認証(STIRやSHAKENプロトコル)を実施します。スマートフォンOS側でも、Google Messages のスパムフィルターやiOSの不明な差出人フィルターなど、端末レベルでの保護機能が強化されています。
Security Measures
- 01不審なSMS内のURLを絶対にタップしない:SMSに記載されたリンクは原則としてタップせず、公式アプリやブラウザのブックマークから直接アクセスしてください。特に短縮URLや見慣れないドメインには注意が必要です。正規のサービスであれば、SMSのリンクを使わなくても公式サイトから同じ操作が可能です。
- 02送信元の電話番号・送信者IDを確認する:正規企業からのSMSは通常、固定の送信者ID(例:銀行名やサービス名)を使用します。個人の携帯番号や国際番号から送信されたメッセージは詐欺の可能性が高いため、安易に信用しないでください。ただし、送信者IDの偽装も可能なため、送信元だけで安全性を判断しないことも重要です。
- 03SMSフィルタリング機能を有効化する:スマートフォンのOS標準機能やキャリアが提供するSMSフィルタリングサービスを有効にしてください。iOSでは「不明な差出人をフィルタ」、Androidでは「スパム保護」機能を設定から有効化できます。通信事業者の迷惑SMS対策サービスの利用も推奨されます。
- 04二要素認証にSMS以外の方法を優先する:SMSベースのOTP(ワンタイムパスワード)はSIMスワップ攻撃やSMSインターセプトにより窃取されるリスクがあります。可能な限り、認証アプリ(Google Authenticator、Microsoft Authenticator)やハードウェアセキュリティキー(FIDO2/WebAuthn)を使用してください。
- 05不審なアプリのインストールを拒否する:SMSからの誘導でアプリのインストールを求められた場合は、絶対に従わないでください。正規アプリは公式ストア(App Store、Google Play)からのみインストールし、「提供元不明のアプリ」の許可設定は常に無効にしておきましょう。
- 06被害発生時の迅速な対応手順を準備する:万が一、フィッシングサイトに情報を入力してしまった場合は、直ちに該当サービスのパスワード変更、クレジットカード会社への連絡・利用停止、不正アプリの削除と端末の初期化を実施してください。警察への被害届の提出やフィッシング対策協議会への報告も重要です。
Incidents
📋 宅配便不在通知スミッシングによる大規模被害(2020年〜)
2020年以降、日本国内で宅配便の不在通知を装ったスミッシングが爆発的に増加しました。フィッシング対策協議会の報告によると、この手口による相談件数は年間数万件に達し、被害総額は数十億円規模と推定されています。
被害者はフィッシングサイトでApple IDやGoogleアカウントの認証情報を入力してしまい、アカウントを乗っ取られるケースが多発しました。さらに、Android端末では不正アプリのインストールにより端末がボット化し、被害者の端末から新たなスミッシングSMSが大量送信されるという二次被害も深刻な問題となりました。
📋 銀行を装ったリアルタイムフィッシングによる不正送金(2022年)
2022年、複数の大手銀行の顧客を狙ったスミッシング攻撃が確認されました。攻撃者は「セキュリティ強化のため」と称してフィッシングサイトへ誘導し、入力されたインターネットバンキングの認証情報をリアルタイムで中継して不正送金を実行しました。
この手口ではワンタイムパスワードもリアルタイムで窃取されるため、従来のOTP認証では防ぐことができませんでした。被害額は数億円に上り、金融庁が注意喚起を発出する事態となりました。各銀行はその後、取引認証(トランザクション認証)やFIDO認証の導入を加速させました。
📋 税務署を装った還付金詐欺スミッシング(2023年)
2023年の確定申告時期に合わせ、国税庁を装ったスミッシングが大量に送信されました。「所得税の還付金があります。受取手続きはこちらから」という文面で、e-Taxに酷似したフィッシングサイトへ誘導し、マイナンバーカードの暗証番号や銀行口座情報を窃取するものでした。
確定申告シーズンという時期を狙い、実際に還付金を期待している納税者を標的としたこの攻撃は、ソーシャルエンジニアリングとしての完成度が非常に高く、多くの被害を生みました。国税庁はSMSで還付金に関する連絡は一切行っていないことを繰り返し周知しましたが、被害の拡大を完全に防ぐことはできませんでした。