なりすましSMSとは
そもそもなりすましSMSとはどういったものなのかというと、送信元偽装メッセージのことをいいます。メッセージの送信者はおもに詐欺目的で企業になりすまし、偽のメッセージを送ってきます。
例えば、銀行になりすましてメッセージ内にリンクを貼り、自社のサイトに誘導するなどです。なりすましであることに気づかず、悪意のあるサイトにアクセス・ログインしてしまった場合は、そこから個人情報などを盗まれることになってしまいます。
また、A社を語るなりすましSMSの被害に遭ってしまったとしても、メッセージの送信者とA社は全く関係がないため、A社に対して補償などを求めることはできません。
名前や住所などのほか、クレジットカード情報、銀行口座の情報など、さまざまな情報が流出してしまうため、十分注意が必要です。
なりすましSMSは慌てず正しい判断を
なりすましSMSの内容は「今すぐに対応しなければ」と慌ててしまうものが多いです。例えば「個人情報が流出しておりすぐにサイトにアクセスして確認してほしい」「アカウントがロックされているため今すぐ対処してください」などのメッセージです。
普段は慎重に対応している方でも、焦ってしまうと正しい判断ができなくなってしまう恐れがあります。
近年のなりすましSMSは、注意している方でもうっかりクリック・アクセスしてしまうような巧妙な内容になっています。配信元が本家か怪しいと感じた場合、URLを確認する方もいるでしょう。URLが全く異なれば判断しやすいのですが、正しいURLに非常に似せているものもあります。
正しくは「l(小文字のエル)」が「I(大文字のアイ)」になっていたり「O(大文字のオー)」が「0(ゼロ)」になっていたりするケースです。
そのため、URLを確認するだけでは対応が不十分だといえます。
なりすまし・フィッシングの急増で被害増大
フィッシング対策協議会の報告によると、2019年は前年比で約3倍、2020年は同4倍に急増しています。
2021 年 7月のフィッシング報告件数は 34,787 件で、2020年8月から約1.7倍に増えています。
そのうち、Amazon をかたるフィッシングは報告数全体の約 33.1% を占めており、次いで三井住友カード、楽天、イオンカード、VISA をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 67.8% を占めています。
なりすましSMSの事例
具体的にどのようななりますましSMSが送られてくるのかについて紹介します。具体例を理解しておくと、同様のメッセージに注意を払えるようになります。
大手銀行
銀行の名を語るなりすましSMSは非常に多いです。
以下のようなメッセージが送られてきます。
●大手銀行からのなりすましSMS例
- 不正アクセスがありました。早急に口座を確認してください。
- 直近の取引について下記リンクからご回答ください。
- 今月度のお振替内容確定のご案内
不正アクセスがあったなどのメッセージが届くと、そのまま放置した場合大変なことになるのではないかと焦ってリンクをクリックしてしまう方がいます。
中には、大手銀行名乗るところから「ネットバンキングのシステム変更に伴い、口座番号と暗証番号を入力してください」とのメッセージが送られてきた方もいます。引き続きネットバンキングを使用するためには入力しなければならないのだと思い入力したところ情報が盗まれ、口座残高が不正に引き落とされてしまった事例です。
また「直近の取引についての質問があるため、アンケートに回答してほしい」とURLが添えられているものも多いです。
明らかに怪しいものは避けているものの、実際に自分が利用している銀行などから「振替内容確定のご案内」などが届くと、うっかりクリックしてしまう方もいるのではないでしょうか。そのため、一見怪しく見えないものについても注意が必要です。
ECサイト
Amazonや楽天といった大手のECサイトから、なりすましメッセージが届くこともあります。
●ECサイトからのなりすましSMS例
- 注文された商品の発送状況確認はこちら
- 支払い方法に問題が発生しているため、更新してください。
- 個人情報に問題があるため、アカウントが停止されました。確認してください。
例えば、注文をしていないのに配送状況確認のメッセージが届いた場合、誰かが自分の個人情報を用いて勝手に注文したのではと思ってしまう可能性があります。確認のためURLをクリックすると被害に遭うことがあるので、注意しましょう。
また、実際に自分が注文したタイミングでたまたまなりすましSMSが届き、何の疑いも持たずクリックしてしまうケースも考えられます。
宅配業者
宅配業者のなりすましSMSとして特に注意したいのが、不在通知や保管期限に関するメッセージです。以下のようなメッセージが代表的です。
●宅配業者からのなりすましSMS例
- 不在のため荷物を持ち帰りました。ここから再配達の依頼をしてください。
- お預かりしている荷物の保管期限が迫っています。詳細を確認してください。
再配達については、何も注文していなければ不正に注文されてしまったのではないかとの不安に繋がりますし、何かを注文していた場合は再配達を依頼しようとクリックしてしまう可能性があります。
事例として、不在に関する通知が届いて記載のURLにアクセスしたところ、不正にアプリをインストールされてしまった事例が報告されています。このアプリにより、自身のスマホから偽SMSを大量に送信してしまい、覚えのない通信量を請求されてしまうこともあるのです。
下手をすれば、意図せず自分が送った偽SMSによって、知らない誰かが被害にあってしまう可能性も十分に考えられます。
また、不正アプリのインストールはされないものの、偽サイトからIDやパスワードを入力することにより、キャリア決済などの不正利用に繋がってしまうことも多いです。
なりすましSMSに引っかかるとどうなるのか
もしも、なりすましであることに気づかず、悪意のあるSMSを受け取ってアクセスしてしまった場合、どのようになるのでしょうか。
主な被害は、個人情報の流出、不正アクセスの被害、迷惑メールの受信といった3つです。それぞれ解説します。
個人情報の流出
なりすましであることに気づかず、誘導されたリンクにアクセスすると、該当サービスへのログインを促されるケースが多いです。実際のサービスと同じようなログイン画面が表示されるため、怪しむことなく情報を入力してしまう方もいます。
ECサイトに似せた詐欺サイトでログインしてしまうと、ECサイトのログインに必要な情報が流出するので、第三者がECサイトに不正ログインできるようになってしまいます。サイト内に登録してある名前や住所、クレジットカードの情報をなどがすべて盗まれてしまう可能性もゼロではありません。
なりすましSMSを配信した詐欺会社が詐欺行為に使用することもありますし、名簿業者に転売されるケースもあります。
注意点として、なりすましSMSが届いてうっかりURLをクリックしたとしても、情報を入力しない限り大丈夫とは言い切れません。URLをクリックするだけでも個人情報の流出につながってしまうことがあります。
不正アクセスの被害
流出した個人情報を使って不正アクセスの被害に遭ってしまうことがあります。
例えば、銀行口座に関する情報と暗証番号を入力してしまった場合、それらの情報が盗まれ、預金口座の残高をすべて引き落とされてしまうことも考えられます。ECサイトに登録してあるクレジットカードを用いて、自分とは全く関係ないものを購入されてしまうことも多いです。
他にも、企業のアカウントが乗っ取られ、ホームページを改ざんされたり、機密データを外部に送信されたりする被害もありました。サーバーのシステムが破壊され、サービス停止につながってしまうようなケースもあります。
アカウントの乗っ取りに気づいて慌てて正しいサイトにログインしようとしても、その時点ですでにパスワードが書き換えられており、ログインできなくなってしまうことも多いです。対応が遅れている間に被害が大きくなってしまうことも十分に考えられるでしょう。
そのため、個人情報が流出した可能性がある場合は、素早い対応をしなければなりません。
中には個人情報の流出や不正アクセスに気づかず、被害にも気づけていない方がいます。例えば、クレジットカードの明細などをあまり確認しない方の場合、購入した覚えのない品があったとしてもなかなか気づけません。
ある日突然カードの利用限度額を超えていて使えなくなってしまい、調べたところ被害に遭っていたといったケースも多いです。
迷惑メールの受信
なりすましSMSに反応してアクセスしてしまった場合、大量の迷惑メールが送られてくることがあります。これは、送られてきたメールに反応することにより「この電話番号は現在使われている」と伝える結果になってしまうからです。
大量に送られてくる迷惑メールの中には「配信停止はこちら」などのURLが添えられているものもあります。ただし、これも罠であり、クリックしたり情報を入力したりすると、更に被害が拡大してしまう可能性が高いです。十分注意しましょう。
なりすましSMSの事前対策
電話番号を変更すればなりすましSMSが減ることも期待できますが、電話番号を変更するのはなかなか手間がかかります。変更のための手続きも必要ですし、繋がっている方に新しい電話番号を伝えなければなりません。
電話番号を変更する以外の方法で、なりすましSMSの被害に遭わないためには、普段から十分注意しておくことが重要です。以下2つの対策を取っておきましょう。
身に覚えのないメールを削除する
全く身に覚えのないSMSについては、届いた時点で削除してしまうことをおすすめします。保存したままの状態だと、後からSMSを読み返した際などに、誤ってクリックしてしまう可能性があるからです。
また、身に覚えのあるメッセージについても、URLが添えてあるものはすぐにアクセスするのはおすすめできません。例えば、いつもはメールで届くはずの電話料金の明細がSMSで送られてきた場合、なりすましSMSである可能性が高いです。
こういったものについては、添えられているURLにアクセスするのではなく、正式なサービスのホームページから情報を確認しましょう。なりすましに関する注意喚起が発表されている可能性もあります。
万が一のことを考え、メッセージ内のURLからではなく、公式サービスのホームページからログインして情報を確認したほうが安心です。
スマホをアップデートして最新状態に保つ
スマホのアップデートのお知らせがきた場合、放置するのではなくすぐに対応して最新の状態に保ちましょう。
アップデートの中には、なりすましの脆弱性に対応するような内容が含まれているケースがあります。そのため、適切にアップデートをするだけでもなりすましSMS対策になります。
長期にわたってアップデートを行わずにいると、なりますしSMSの被害に遭うリスクが高くなってしまうともいえるので、注意が必要です。
なりすまし防止対策に企業ができること
なりすまし防止対策として企業ができることは、おもに以下4つです。
- ブラックリスト管理(監視)
- 人力でのモニタリング
- 不正検知システムの導入
- 多要素認証
ブラックリスト管理(監視)
インターネットに接続された機器を識別するためのIPアドレスを管理(監視)します。
IPアドレスはパケットを送受信する機器を判別するために使われており、機器ごとに単一の番号が割り当てられるのでブラックリスト管理が可能です。
ただし、IPアドレスは変更・偽装ができるため、ブラックリスト管理(監視)の効果は短期間・限定的です。
人力でのモニタリング
人力でのモニタリングは、もっとも原始的な方法です。
しかし、すべての決済やログインを人力でモニタリングするには人件費などのコストがかさみ、監視できる時間帯も限らるため効果は限定的です。
不正検知システムの導入
大量のアクセスでもリアルタイム・高精度に不正アクセスを検知できるシステム(不正検知システム)の開発が進んでいます。
取引データなどの情報から危険性を判断するもので、金融機関等での導入が増えています。
多要素認証
多要素認証とは決済やログインをする際、ユーザーに対し複数の異なる要素を要求する認証方式です。
パスワードの入力の他に、SMSで送られるワンタムパスワードの入力や、秘密の質問への回答でユーザーを認証し、セキュリティを強化します。
なかでもSMS認証(電話番号認証)は、そのほかの認証サービスと比較しても強力なセキュリティで、信頼度の高い認証方法です。
なりすまし防止対策でSMS認証を導入するメリット
SMS認証には以下のような特徴があるため、なりすまし防止策として効果的です。
個人を確実に特定しやすい
ひとり1台は必ず持っている携帯電話を使うため、電話番号から個人を特定しやすいです。
また特別な機器は必要ないので、システム整備のため導入コストが低く抑えられます。
Eメールアドレスはひとりで複数持つことができるため、メールが届かなかったり気づいてもらえないことがあります。
携帯電話番号は変更されにくい
携帯電話番号はEメールアドレスと異なり、変更されにくいという特徴があります。
特に、ナンバーポータビリティーサービスに普及により、契約している携帯会社を変更しても電話番号はそのまま利用している人が増えています。
そのため、認証サービスにも同じ電話番号が利用できます。
不正アクセスを防止しやすい
基本的に携帯電話は常に自分の手元においておくものなので、パソコンと異なり第三者に勝手に利用されるリスクが低くなります。
紛失や盗難にあった時に気付きやすく、端末の利用をすぐに止めることができます。
また、IDとパスワードがあればどの端末からもできるEメールアドレスと異なり、携帯電話端末が必要なので不正アクセスを抑制できます。
ガラケーも利用可能
LINEのようなメッセージングアプリと異なり、SMSの利用にはアプリなどのダウンロードが不要なため、スマホに限らずフューチャーフォン(ガラケー)でも使えます。
そのため、幅広いユーザーに低コストで高いセキュリティサービスを提供可能です。
補足:個人のなりすまし防止対策
各種キャリアでは、パソコンからケータイのアドレスになりすまして送信されたメールを受信しないようにするための「なりすましメール拒否」サービスを提供しています。
また、携帯会社によっては携帯のアドレスだけではなく、「送信ドメイン認証技術」を利用して他のドメインになりすましたメールを拒否する方法もあります。なりすましメールが届かないよう、あらかじめ設定しておくとよいでしょう。
企業側でできるなりすまし防止対策を
なりすまし対策は、「個人の責任」とユーザーに求められるものが多いですが、企業側でできることも多くあります。
自社に責任はなくとも、一度のっとりなどをされてしまうと「セキュリティのあまい会社」というイメージから顧客の離脱につながりかねません。
まずは企業側でできるなりすまし防止対策で顧客を守りましょう。