2023.12.21 (Thu)
いま企業に求められる情報セキュリティ対策(第6回)
新たな詐欺「スミッシング」を防ぐ方法とは
顧客への連絡手段として、携帯電話番号宛てに短いメッセージが送れるSMS(ショートメッセージサービス)を利用している企業も多いでしょう。その一方で、SMSを利用したフィッシング詐欺「スミッシング」が流行しつつあります。本記事ではスミッシングの概要と代表的な事例、企業のスミッシング対策であるSMS共通番号「0005」について解説します。
SMSの配信数は伸び続けている
SMSの総配信数は、右肩上がりで増加し続けています。2016年度は1億6,460万通だったのに対し、2023年度には約38億6,000万通、2026年度には100億通に達すると予測されています(数値はデロイト トーマツ ミック経済研究所株式会社の調査より)。
これほどまでにSMSの配信数が増えている背景には、SMSの便利さがあることが予想されます。SMSは携帯電話の番号さえ把握していれば、メッセージを送ることが可能です。メールアドレスやコミュニケーションアプリのアカウントを持っていない顧客にも簡単にアクセスでき、加えて、「スマホに届く」という特性上、電話やメールに気付かない顧客にも、高い確率で情報が届けられます。
現在SMSは、本人認証、予約確認、契約更新の通知、イベントの告知、商品・サービスの販促、アンケート、電話不通時のフォローなど、ビジネスのさまざまなシーンで、さまざまな企業に活用されています。
スミッシングにはどんな手口があるのか?
このように利用されているSMSですが、配信数が伸びる裏で、スミッシングの問題が深刻化しています。
スミッシングとは、SMSを悪用したフィッシング詐欺のことで、企業や省庁などを装ったSMSを配信し、そこに記載されたURLをユーザーにタップさせ、フィッシングサイトに誘導します。その後、ユーザーに個人情報を入力させたり、マルウェアをダウンロードさせる詐欺となります。
ちなみにスミッシングとは、「SMS」と「フィッシング」を合わせた造語となります。2023年10月におけるフィッシング詐欺の発生件数は、9月よりも約34%増加して156,804件となり、過去最高を記録しています(フィッシング対策協議会調べ)。この数値の中には、スミッシングの発生件数も含まれています。
スミッシングの手口には、大きく分けて3つのパターンがあります。
一つ目は、国税庁を騙り、税金の納付を求めたり、差し押さえの予告をするケースです。メッセージとともに記載されたURLをタップさせて、氏名やメールアドレスなどの個人情報やクレジットカード情報を入力させます。さらに、不正なアプリがインストールされてしまうこともあります。国税局ではホームページにて注意喚起を行っています。
二つ目は、大手通販サイトのAmazonになりすましたケースです。「規約違反のためログインが制限されている」「Amazonプライム会費の支払いに問題がある」などのメッセージでURLに誘導し、個人情報を抜き取ります。
三つ目は、宅配業者を騙り、不在通知や各種案内を行うケースです。こちらも偽サイトに誘導し、個人情報や口座番号を抜き取る手口が報告されています。
これ以外にも、架空請求のSMSを送りつけ、URLをタップさせようとする例もあり、手口は日々巧妙化しています。怪しいSMSが届いたら、まずはいったん冷静になって、送信元が公式かどうかをチェックし、詐欺ページではなく公式ホームページにアクセスして、メッセージの真偽を確認すべきでしょう。
新たなスミッシング対策「0005」とは?
では、企業側はスミッシングに対し、どのような対策を取れば良いのでしょうか?自社がSMSをビジネスで利用している場合、顧客から「これもスミッシングでは?」と疑われ、正しいSMSメールであるにもかかわらず、クリックされない恐れがあります。
これを回避する方法のひとつに、企業名を名乗ることがあります。最近のスミッシング詐欺メールでは、実在の企業名を騙るとフィルタリング機能によって排除されるため、逆に企業名を名乗らないケースが増えています。この傾向を逆手に取り、正しい企業名を名乗ることで、ユーザーから信用を得ることが期待できます。
新たな対策としては、法人向けの共通番号「0005」から配信するという方法もあります。0005は、NTTドコモ、KDDI、ソフトバンク、楽天の4社が発行する法人向けの共通番号で、各キャリアの審査を通過した法人だけが取得できるものとなります。
審査を通過した法人からのSMSには、「0005」から始まる最大10桁の数字列が送信元として表示されます。これが発信者番号の頭に付いているということは、発信者は信頼できる法人である、ということを意味します。0005の共通番号を利用するためには、共通番号に対応可能なSMS送信サービス事業者に相談することが第一歩となります。
共通番号「0005」は、なりすましを防いで顧客をフィッシング詐欺から守り、かつ企業のブランド棄損の防止に寄与するものです。SMSをビジネスに利用にしている企業は、ぜひ0005の導入を検討してみてはいかがでしょうか。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)