宅配業者や銀行、通信事業者、電力会社...私たちの生活に不可欠な業者を装うSMSを送りつける詐欺「スミッシング」が横行している。
特殊詐欺やフィッシング詐欺対策のサービスを提供する「トビラシステムズ」(愛知県名古屋市)が2024年12月19日に発表した「スミッシングトレンドレポート2024」をみると、実に巧妙、悪らつな手口で騙しにかかることがわかる。
同社のセキュリティ専門家に身の守り方を聞いた。
毎年流行が変わる詐欺の手口、不動の1位は「ニセ宅配業者」
スミッシングとは、「SMS」と「フィッシング」を組み合わせた造語で、SMSを悪用したフィッシング詐欺を指す。スマホの普及やインターネットサービスの利用機会の増加に伴い、被害が拡大している。ます。
トビラシステムズの調査は、2024年に流行したスミッシングの主な手口や悪用されるブランド(企業名など)をランキング化した。
【図表1】のワードマップは、同社の調査で2024年中にスミッシングの文面で頻出した単語だ。文面に多く使われた単語ほど大きく表示されており、手口や悪用されたブランドが一目瞭然でわかる。
宅配事業者をかたるSMSに関連する「荷物」「不在」「配達」「住所」などの単語が頻出。また金融・決済サービスをかたるSMSに関連する「三菱UFJ」「銀行」「取引」などの単語も目立った。
2024年に確認された手口の1位は宅配事業者をかたるSMS(75.9%)で、2位は金融・決済サービスをかたる手口(10.8%)、3位は通信事業者をかたる手口(8.6%)となった。2024年の新たな傾向として、官公庁やEC事業者をかたる手口が減少した一方で、電力会社などさまざまな事業者をかたる手口が増加した【図表2】。
【図表3】は悪用されたブランド名のランキングだ。2024年は1位から順に「三菱UFJ銀行」「SoftBank」「KDDI」となり、金融機関のブランド名の悪用が目立ち、1位の「三菱UFJ銀行」のほかに「JCB」「りそな銀行」「みずほ銀行」が上位に入った。
また、「送電を停止する」などの脅しの文言が特徴の「東京電力」をかたるSMSが急上昇し4位に。また、実行役を集める「闇バイト」募集で悪用されるケースが多いメッセージアプリ「Telegram」も8位に上昇した。
宅配事業者をかたる手口で最も多いのは、「ヤマト運輸」や「日本郵便」などの名を使って宅配便の不在通知を装い、「ご不在のため配送センターに保管しています。ご確認後、再配送のご依頼をお待ちします」などの文面にURLを貼りつけ、クリックすると個人情報を抜き取るパターンだ【図表4】。
こうした文面の種類が増加し、変化が著しいことから、犯行グループが生成AIなどを使用し多種多様な文面を大量に作成している可能性がある。
通信事業者をかたる手口では、「SoftBank」「KDDI」「docomo」など名前をかたり、「お読みいただきたい緊急のお知らせ」「通信サービスの終了をお知らせします。ご確認ください」などと緊急性の高い通知を装い、SMS内のリンクにアクセスさせて偽サイトに誘導する【図表5】。
トビラシステムズでは、次の3つの対策を訴えている。
(1)身に覚えのないメールやSMSが届いた場合、文面に添付されたURLに触らない。
(2)日頃利用するサービスは、公式アプリやブックマークしたサイトから情報を確認しよう。
(3)迷惑SMS対策サービスを活用し、詐欺などの不審なSMSを自動で遮断する。
昨年は税務署など官公庁が流行、現在は銀行と電力に注意
J‐CASTニュースBiz編集部は、トビラシステムズのセキュリティリサーチャー柘植悠孝(つげ・ゆたか)さんに話を聞いた。
――スミッシングは、いつごろから出てきた詐欺の手口ですか?
柘植悠孝さん ごく最近の手口というわけではなく、以前から発生が確認されているものです。当社では注意喚起の目的で例年「スミッシングトレンドレポート」を年末に発表し、今回で4度目となります。
近年、コロナ禍を経て、宅配サービスやオンラインショッピングをする機会が増えていますから、宅配事業者をかたる手口が例年1位で最多となっています。
――手口の変化の中で、官公庁をかたるものが昨年から200分の1に激減する一方、東京」電力やインターネットサービスなどさまざまな会社をかたる手口が増加した理由は、ズバリ何でしょうか。
柘植悠孝さん スミッシングのトレンドは毎年変化しています。犯行グループは常にだましやすい手口や、新しい手口を考えています。
国税庁や厚生労働省、警視庁などの官公庁をかたる手口は2023年に増加し話題になり、人々が警戒し始めました。そこで敵もさるもの、次の手口としてなりすます事業者を次々と変化させているのです。
特に東京電力などの電力関係は、ほとんどの方の生活に直結するインフラサービスなので、信じてしまいやすい特徴があると思います。
――悪用されるブランド名に三菱UFJ銀行とか、りそな銀行、みずほ銀行といったメガバンクが上位にきている理由は何でしょうか。
柘植悠孝さん スミッシングは不特定多数に送信されるため、利用ユーザーの多いサービスは残念ながらブランド名の悪用ターゲットにされやすい傾向があります。その点、全国的に利用ユーザーが多いメガバンクは悪用されやすいといえます。
また、銀行をかたるスミッシングは消費者に「自分の口座に問題があるのか?」「お金に何かあったら大変!」といった不安をあおります。「早く対応しなければ」と焦ってリンクをクリックし、だまされてしまうケースが多いといえるでしょう。
SMSに記載されているURLは、絶対に触らないことが重要
――また、同じく地方銀行が悪用されるブランド名ランキングの上位にきていますね。そして、北海道銀行から琉球銀行まで、北から順番に1週間単位で地方銀行のブランド名が南下するのは、片っ端からAIを使ってSMSを送っているということでしょうか。
柘植悠孝さん SMSの送信にAIを使用しているかはわかりませんが、犯行グループがターゲットの電話番号に加えて住所など居住地まで情報をもっている可能性があります。なりすます地方銀行の所在地近辺に住む人を狙って、SMSの送信先としていることも考えられます。
――スミッシングの被害に合わない対策を主に3つ紹介していますが、専門家として特に大事だと思うことをアドバイスしてください。
柘植悠孝さん SMSに記載されているURL(リンク)は、絶対に触らないことが極めて重要です。見分けようとしたり、本物だと思ったりしても、実は精巧につくられた偽物である場合があります。
銀行をはじめ、近年は公式アプリを提供している事業者が多いため、SMSが届いてもリンクには触らず、公式アプリから改めて情報を確認することが重要です。日頃利用しているサービスは、あらかじめ公式アプリをブックマークしておくといいでしょう。
当社は迷惑SMS対策サービスを提供しており、当社サービスの利用ユーザーのもとに届くSMSをデータベースの情報と照合し、詐欺の可能性がある場合は警告や迷惑フォルダ振り分けを行うなどの対策が可能です。
――今回の調査で特に強調しておきたいことがありますか。
柘植悠孝さん 年末年始は家族で集まる機会も多いので、ぜひ家族とスミッシングの手口について情報を共有して話し合い、対策を行ってほしいです。
(J‐CASTニュースBiz編集部 福田和郎)
【プロフィール】
柘植 悠孝(つげ・ゆたか)
トビラシステムズ株式会社セキュリティリサーチャー
フィッシング詐欺、特殊詐欺対策の専門家として調査・分析に従事。特にSMSを悪用した「スミッシング」の手口や事例に精通、政府のワーキンググループやメディア等で解説を行う。詐欺SMSのリアルタイム観測サイト「詐欺SMSモニター」に主要メンバーとして携わる。
CISSP(公認情報システムセキュリティ専門家)/情報処理安全確保支援士(略称・登録セキスペ)保有。