新たな詐欺「スミッシング」を防ぐ方法とは

　SMSの総配信数は、右肩上がりで増加し続けています。2016年度は1億6,460万通だったのに対し、2023年度には約38億6,000万通、2026年度には100億通に達すると予測されています（数値はデロイト トーマツ ミック経済研究所株式会社の調査より）。

　これほどまでにSMSの配信数が増えている背景には、SMSの便利さがあることが予想されます。SMSは携帯電話の番号さえ把握していれば、メッセージを送ることが可能です。メールアドレスやコミュニケーションアプリのアカウントを持っていない顧客にも簡単にアクセスでき、加えて、「スマホに届く」という特性上、電話やメールに気付かない顧客にも、高い確率で情報が届けられます。

　現在SMSは、本人認証、予約確認、契約更新の通知、イベントの告知、商品・サービスの販促、アンケート、電話不通時のフォローなど、ビジネスのさまざまなシーンで、さまざまな企業に活用されています。

　このように利用されているSMSですが、配信数が伸びる裏で、スミッシングの問題が深刻化しています。

　スミッシングとは、SMSを悪用したフィッシング詐欺のことで、企業や省庁などを装ったSMSを配信し、そこに記載されたURLをユーザーにタップさせ、フィッシングサイトに誘導します。その後、ユーザーに個人情報を入力させたり、マルウェアをダウンロードさせる詐欺となります。

　ちなみにスミッシングとは、「SMS」と「フィッシング」を合わせた造語となります。2023年10月におけるフィッシング詐欺の発生件数は、9月よりも約34％増加して156,804件となり、過去最高を記録しています（フィッシング対策協議会調べ）。この数値の中には、スミッシングの発生件数も含まれています。

　スミッシングの手口には、大きく分けて3つのパターンがあります。

　一つ目は、国税庁を騙り、税金の納付を求めたり、差し押さえの予告をするケースです。メッセージとともに記載されたURLをタップさせて、氏名やメールアドレスなどの個人情報やクレジットカード情報を入力させます。さらに、不正なアプリがインストールされてしまうこともあります。国税局ではホームページにて注意喚起を行っています。

　二つ目は、大手通販サイトのAmazonになりすましたケースです。「規約違反のためログインが制限されている」「Amazonプライム会費の支払いに問題がある」などのメッセージでURLに誘導し、個人情報を抜き取ります。

　三つ目は、宅配業者を騙り、不在通知や各種案内を行うケースです。こちらも偽サイトに誘導し、個人情報や口座番号を抜き取る手口が報告されています。

　これ以外にも、架空請求のSMSを送りつけ、URLをタップさせようとする例もあり、手口は日々巧妙化しています。怪しいSMSが届いたら、まずはいったん冷静になって、送信元が公式かどうかをチェックし、詐欺ページではなく公式ホームページにアクセスして、メッセージの真偽を確認すべきでしょう。

　では、企業側はスミッシングに対し、どのような対策を取れば良いのでしょうか？自社がSMSをビジネスで利用している場合、顧客から「これもスミッシングでは？」と疑われ、正しいSMSメールであるにもかかわらず、クリックされない恐れがあります。

　これを回避する方法のひとつに、企業名を名乗ることがあります。最近のスミッシング詐欺メールでは、実在の企業名を騙るとフィルタリング機能によって排除されるため、逆に企業名を名乗らないケースが増えています。この傾向を逆手に取り、正しい企業名を名乗ることで、ユーザーから信用を得ることが期待できます。

　新たな対策としては、法人向けの共通番号「0005」から配信するという方法もあります。0005は、NTTドコモ、KDDI、ソフトバンク、楽天の4社が発行する法人向けの共通番号で、各キャリアの審査を通過した法人だけが取得できるものとなります。

　審査を通過した法人からのSMSには、「0005」から始まる最大10桁の数字列が送信元として表示されます。これが発信者番号の頭に付いているということは、発信者は信頼できる法人である、ということを意味します。0005の共通番号を利用するためには、共通番号に対応可能なSMS送信サービス事業者に相談することが第一歩となります。

　共通番号「0005」は、なりすましを防いで顧客をフィッシング詐欺から守り、かつ企業のブランド棄損の防止に寄与するものです。SMSをビジネスに利用にしている企業は、ぜひ0005の導入を検討してみてはいかがでしょうか。