スミッシング(SMS フィッシング):テキストメッセージ詐欺の解説
SMS とフィッシングを組み合わせた造語であるスミッシングは、急速に成長しているサイバー犯罪の脅威の一つであり、連邦取引委員会は 2020 年から 2023 年の間に SMS ベースの詐欺報告が 146% 増加したと報告しています。これらの攻撃は、テキストメッセージに関連する即時性と信頼性を悪用しており、被害者は事件あたり平均 800 ドルの損失を被っています。メールフィッシングがしばしばフィルタリングされるのと異なり、テキストメッセージは 98% の開封率を誇り、受信から 3 分以内に読まれるため、極めて効果的な攻撃手段となっています。 詐欺師は銀行、配送サービス、政府機関、または雇用主になりすました不正なテキストメッセージを送信し、緊急性とパニックを作り出します。これらのメッセージは通常、ログイン認証情報、クレジットカード番号、社会保障番号、その他の機密情報を収集するために設計された偽のウェブサイトに誘導する悪意のあるリンクを含んでいます。連邦捜査局のインターネット犯罪苦情センターは 2023 年だけで 52,000 件を超えるスミッシング苦情を受け取り、総損失は 4,200 万ドルを超えています。 スミッシングが特に危険な理由は、従来のセキュリティ対策を回避できることです。モバイルデバイスはコンピュータに存在する堅牢なスパムフィルタリングとセキュリティソフトウェアに欠けることが多く、ユーザーはメールよりもテキストメッセージを信頼する傾向があります。攻撃者はスプーフィング技術を利用してメッセージを正当な電話番号または企業のショートコードから送信されたように見せかけ、アカウント閉鎖への恐怖、パッケージ配送の失敗、税務問題などの心理的トリガーを利用して、批判的思考なしに即座の行動を促します。
主な手口
- • パッケージが遅延、未配達、または即座の対応が必要であると主張するテキストメッセージを送信する配送詐欺。偽の FedEx、UPS、USPS、Amazon サイトへのリンクが含まれており、支払い情報またはログイン認証情報を盗むことを目的としています。
- • 不正なアクティビティ、ロックされたアカウント、または必要な認証を虚偽に主張する銀行口座セキュリティアラート。被害者の実際の銀行と一致するなりすまし番号を使用して正当性を見せかけ、認証情報を収集するサイトにユーザーを誘導します。
- • 未払い税金、社会保障の停止、刺激給付金適格性、または偽造された問題を解決するための即座の支払いを要求する脅しを主張する税務または政府になりすましメッセージ。ギフトカード、送金、または暗号通貨による支払いを要求します。
- • 詐欺師が正当なサービスからのコードとして見えるメッセージを送信し、受信から数分以内に実際のアカウントへのアクセスを許可する認証コードを転送するよう被害者を騙す二要素認証バイパス攻撃。
- • 宝くじの当選、ギフトカード報酬、またはコンテスト賞品を虚偽に主張する賞金と懸賞通知。被害者に処理手数料の支払い、銀行詳細情報の提供、または存在しない賞品を請求するための悪意のあるリンククリックを要求します。
- • HR 部門または経営陣から偽のメッセージで従業員をターゲットにする雇用と給与詐欺。W-2 情報、直接デポジット変更、または緊急送金を要求します。検証がより可能性が低い忙しい時期にタイミングを合わせることが多いです。
見分け方
- 未知の番号またはショートコードからの予期しないテキストメッセージで、なじみのある企業を代表していると主張するもの。特に、その組織との保留中の取引、配送、またはアカウント問題がない場合。
- 「24 時間以内に返信」、「即座の対応が必要」、または「アカウントが閉鎖される」など、自然なスケプティシズムを回避し、性急な決定を強制することを目的とした人工的な時間圧力を作成する緊急な言語。
- 短縮 URL または疑わしいリンク。claimed 送信者の公式ドメインと一致しず、bit.ly、tinyurl.com、または正当な企業ウェブサイトの誤綴バリエーションを使用することが多い。
- パスワード、社会保障番号、クレジットカード詳細、またはアカウント PIN を含むテキストを通じた機密情報のリクエスト。正当な組織は SMS を通じてこのような情報をリクエストしません。
- 「親愛なるお客様」または「アカウント保有者」などの一般的な挨拶。実際の名前の代わりに、広く配信された詐欺メッセージで、実際の身元を知っている企業からの個別化されたコミュニケーションではないことを示します。
- 文法とスペルエラー、異常なフォーマット、または正当な組織の専門的なコミュニケーションスタイルと異なる不器用な表現。外国の詐欺操作からの翻訳を示唆することが多い。
身を守る方法
- 未承諾のテキストメッセージ内のリンクは決してクリックしないこと。代わりに、会社の公式ウェブサイトをブラウザに手動で入力するか、公式アプリを使用してアカウントステータスを直接確認してください。
- 可能な限り認証アプリを使用した多要素認証を有効にすること。SMS ベースの二要素認証は SIM スワップおよび洗練された犯罪者による傍受攻撃に対して脆弱なままです。
- 疑わしいメッセージを公式ウェブサイトからの電話番号またはクレジットカードの裏に記載されている番号を使用して組織に直接連絡することで確認する。疑わしいテキスト自体に記載されている連絡先情報は使用しないこと。
- スミッシング試行を 7726(SPAM)に疑わしいテキストを転送することで携帯キャリアに報告する。これにより、プロバイダーは詐欺メッセージを特定・ブロックでき、より広範な詐欺防止データベースに貢献します。
- フィッシング対策を含むモバイルセキュリティソフトウェアをインストールし、スミッシング攻撃がマルウェアまたはスパイウェアをインストールするために利用する脆弱性にパッチを当てるため、電話のオペレーティングシステムを定期的に更新する。
- 電話番号を全国登録なし電話リストに登録し、認証コードの確認が必要だと主張するテキストに特に注意する。正当な企業は、どの通信方法でも認証コードを共有するよう要求することはありません。
実例
シカゴの住民は USPS から送信されたと見える テキストを受け取りました。パッケージが住所不正のため配送不可能で、配送情報を更新するためのリンクが提供されていました。リンクは説得力のある偽の USPS ウェブサイトに繋がり、3.49 ドルの再配送料金のためのクレジットカード情報を要求しました。詳細を入力した後、詐欺師は直ちに 2,400 ドルの不正請求を行い、ダークウェブでカード情報を販売し、数ヶ月間の身元盗用の合併症をもたらしました。
テキサスの小企業オーナーは、銀行の公式ショートコードから送信されたと見えるテキストを受け取りました。不正なアカウント活動を警告し、リンクをクリックして即座に身元を確認するよう指示していました。偽の銀行ウェブサイトは彼のユーザー名、パスワード、セキュリティ質問への答えをキャプチャしました。45 分以内に、詐欺師は海外口座への 18,000 ドルの送金を開始し、ビジネスオーナーが正当な銀行アプリで詐欺を発見したときに初めて明かされました。
フロリダの高齢夫婦は、未払い税金 847 ドルがあり、72 時間以内にギフトカードで支払わない限り逮捕に直面すると主張するテキストを受け取りました。メッセージには偽の IRS エージェントへのコールバック番号が含まれており、3 時間の電話通話中に夫婦にプレッシャーを与えて 5,000 ドルの iTunes および Google Play カードを購入させ、カード番号を電話で指示してから、夫婦が正当な政府機関がギフトカード支払いを受け入れないことを気付きました。
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), スミッシング(sms フィッシング):テキストメッセージ詐欺の解説 is described at https://scamlens.org/ja/encyclopedia/smishing-sms-phishing.