スミッシングとは
この記事は約 2 分で読めます
スミッシング (Smishing) とは、SMS (ショートメッセージサービス) を利用したフィッシング攻撃の総称です。 「SMS」と「Phishing」を組み合わせた造語で、偽の SMS メッセージを送りつけて 受信者を不正なウェブサイトに誘導し、個人情報や認証情報を窃取します。 メールフィッシングと比較して開封率が圧倒的に高く (SMS の開封率は 98% 前後とされる)、 URL の真偽を確認しにくいモバイル環境の特性を巧みに悪用する攻撃手法です。
メールフィッシングとの違い
| 観点 | メールフィッシング | スミッシング (SMS) |
|---|---|---|
| 開封率 | 約 20-30% | 約 98% |
| URL 確認 | ホバーで確認可能 | タップ前の確認が困難 |
| フィルタリング | 迷惑メールフィルタが成熟 | キャリアのフィルタは発展途上 |
| 送信者偽装 | DMARC 等で検証可能 | 送信者 ID の偽装が容易 |
| 心理的信頼度 | 「怪しいメール」の認知が浸透 | SMS は信頼されやすい傾向 |
SMS はメールと異なり、送信者認証の仕組みが未成熟です。DMARC のような ドメイン認証がメールには存在しますが、 SMS にはそれに相当する標準規格がありません。 攻撃者は SIM ファームや VoIP サービスを利用して大量の SMS を低コストで送信でき、 送信者名を正規の企業名に偽装することも技術的に可能です。
宅配便不在通知詐欺 - 日本で猛威を振るう手口
日本で最も被害が多いスミッシングの手口が、宅配便の不在通知を装った SMS です。 「お荷物のお届けにあがりましたが不在のため持ち帰りました。再配達はこちら」という メッセージとともに短縮 URL が送られ、タップすると正規の宅配業者そっくりの偽サイトに 誘導されます。 Android ユーザーは不正アプリのインストールを促され、マルウェアに感染すると 端末から大量のスミッシング SMS が自動送信される「加害者化」が発生します。 iOS ユーザーは Apple ID やキャリア決済の認証情報を窃取されるケースが多く報告されています。
正規の宅配業者は SMS で再配達の URL を送信しません。不在通知が届いた場合は、 SMS 内のリンクをタップせず、公式アプリや公式サイトから直接確認してください。
スミッシング攻撃のフロー
RCS メッセージングの普及と新たなリスク
従来の SMS に代わる次世代メッセージング規格 RCS (Rich Communication Services) の普及は、 スミッシングに新たな次元をもたらしています。 RCS はリッチメディア (画像、動画、カルーセル) や 既読確認、タイピングインジケーターをサポートし、企業の公式メッセージと見分けがつきにくい 精巧な偽メッセージの作成を可能にします。ブランドロゴの表示機能を悪用すれば、 正規企業からのメッセージと視覚的に区別することがさらに困難になります。スマートフォンセキュリティの解説書 (Amazon)でモバイル環境の最新脅威を把握しておくことが重要です。
キャリアのフィルタリング技術と限界
日本の主要キャリア (NTT ドコモ、 KDDI 、ソフトバンク) は迷惑 SMS フィルタリング機能を 提供していますが、その効果には限界があります。フィルタリングは既知のパターンや ブラックリストに基づくため、新しい文面や送信元には対応が遅れます。 また、感染端末から送信されるスミッシング SMS は正規の電話番号から発信されるため、 送信元ベースのフィルタリングでは検出できません。SIM スワッピングと 組み合わせた攻撃では、被害者の電話番号自体が乗っ取られるため、 知人からの SMS であっても安全とは限りません。
スミッシングはソーシャルエンジニアリングの モバイル版ともいえる攻撃です。迷惑メッセージ対策やフィッシング対策ガイド、フリー Wi-Fi の罠も あわせて確認し、モバイル環境のセキュリティを総合的に強化してください。
この記事は役に立ちましたか?