ショートメッセージのリンクは開くな！ 1500万円の被害、スマホ乗っ取り、「闇バイト」関与も…巧妙化するSMS詐欺最前線

通信事業者や金融機関など実在する企業・団体をかたった、怪しいSMS（ショートメッセージサービス）が届いたことはないだろうか。こうしたメッセージから偽サイトへ誘導し、結果的に金をだまし取られてしまう被害が相次いでいるという。巧妙な詐欺事例と対策についてITジャーナリストの三上洋さんに聞いた。

電子メールより開封率が高いSMS

「サイト利用の未払い金がある」「支払い期限が過ぎている」「ウイルスに感染している」など緊急度の高い内容の言葉を使い、メッセージから偽サイトへ誘導し、クレジットカード番号やアカウント情報（ユーザID、パスワードなど）を盗み取るフィッシング詐欺。

以前は偽の電子メールを送りつけることが主流だったが、現在はSMS（ショートメッセージサービス）を悪用した手口が増加している。

SMSを利用したフィッシング詐欺であることから「スミッシング」と呼ばれるこの手口は、2010年代後半から急増しているという。ITジャーナリストの三上洋さんが説明する。

「SMSはメールと比較して開封率が高いことが特徴です。メールはそもそも開かないという人もいますが、SMSは通知音をオンにしている人が多く、電話番号しか知らない人とのやり取り使っている人もいますよね。

また、SMSはスパム対策もまだまだ甘い。ちなみに、ショートメールは海外から送ったとしても1通1～3円ほどかかります。1万通送ったとしたら1～3万円も負担することになる。それでも犯罪グループは効果が見込めるからやっているということです」

実際の「スミッシング」のメール

フィッシング対策協議会によると、2022年はフィッシング情報の届け出件数が過去最多を記録。宅配業者や通信事業者、ECサイト大手、クレジットカード会社、金融機関などのなりすまし送信が多く報告されている。

「コロナ禍がありECサイトの利用やオンラインでクレジットカード決済をする機会が増えてきたことから、犯罪グループもだまされる人が増えるだろうと力を入れているのではないかと考えます」

手口は多様…被害額1500万円も

2018年に、佐川急便を装い「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください」というメッセージとリンクが書かれたSMSによって、個人情報が盗み取られる被害が出た。

また、Amazonをかたり「Amazon prime会費のお支払いに問題があります」と偽サイトに誘導し、AmazonのIDやパスワードを窃取。Amazonアカウントを乗っ取られ、ギフトカードを不正に買われてしまうという被害があった。

ほかにも、2022年には国税庁や税務署など公的機関を装い「未払い税金のお支払いのお願い」などというメッセージで偽サイトへ誘導する事例が確認されている。同年、SMSで「サイト料金の未払いがある」などと要求され、25回にわたって相手が要求する銀行に送金、約1500万円の被害があった。

実際に偽SMSのリンクにアクセスするとどうなるのだろうか。

スミッシングは、スマホのOSによって動作が異なるのが特徴のひとつだ。iPhoneの場合は、本物のサイトと酷似した巧妙な偽サイトに誘導し、ID・パスワードやクレジットカード情報を入力させて盗み取る手口が多い。一方、Androidの場合は、「ウイルスに感染した」などと偽の警告を表示し、不正アプリをインストールさせる。

「不正アプリがインストールされてしまうと、犯罪グループ側にスマホを遠隔操作されてしまいます。携帯電話番号などの個人情報を盗み取られ、スマホ決済サービスの不正利用に使われたという例もあります。

さらに悪質なのは、乗っ取った被害者のスマホからさらに大量のSMSを再送信するのです。これによって犯罪グループは自分の身元を隠しつつ、コストをかけずにショートメールを送ることができる。この被害に遭ったために数万円の請求が来た人もいます」

巧妙に作られた偽サイトが存在する

大胆な手口の裏に「闇バイト」

フィッシング詐欺のさらに一歩先の手口として、ここ1年ほどで大きな問題になっているのが「SIMスワップ詐欺」だ。SIMスワップとは、スマホの契約者になりすましてSIMカードを再発行して携帯電話番号を乗っ取り、ネットバンキングにログインして不正送金をするというものだ。

犯罪グループはまず、金融機関を装い「あなたのキャッシュカードが不正利用されています」「あなたのネットバンキングから300万円送金されました」などと危機感をあおるメッセージを送信。そこから偽サイトに誘導し、ネットバンキングのIDとパスワードに加えて、免許証を撮影した画像を送らせるという。

「実際にネットバンキングやクレジットカードの手続きの際に免許証の画像を送るというプロセスはありますし、『本人確認のために必要です』と言われて焦って画像を送ってしまう。これで万事休すです」

犯罪グループ側は、入手した個人情報や免許証の画像から偽造免許証を作成。被害者本人になりすまして「スマホを紛失した」などと言い携帯電話ショップでSIMカードを再発行する。

このSIMカードを犯人グループが持っているスマホに差し込めば、携帯電話番号を乗っ取ることができるのだ。

最後に、フィッシングで得ていたIDとパスワードでネットバンキングにログイン。金融機関側が不正を防ぐため設定されているワンタイムパスワードも、スマホのSMSに届く設定になっていれば犯罪グループの手元にあるスマホに届いてしまう。そこで2段階認証も突破され、不正送金が行われてしまうのだ。

「警視庁が5月末に詐欺容疑で女性を逮捕した事件では、SIMカードを再発行してからわずか15分でネットバンキングの不正送金が行われていました。報道によれば、この女性は『闇バイト』で応募して実行役を務めていたようです。

携帯電話ショップで偽造した免許証を提示していますし、逮捕されるのは時間の問題だったはずです。駒として動く末端の人間は『捕まることが前提』で動いている。そうなると大胆な行動もとってくるでしょうし、私たちの対策も難しくなってくる。単なるSMS詐欺といえども、かなり悪質なところまで来ているのが現状です」

ITジャーナリストの三上洋さん

偽サイトと本物の見極めはもはや意味がない

では、偽SMSを見極めるにはどこに注目すればよいのだろうか。三上氏は、ほぼ全ての偽SMSにはURLがついているため、リンクの有無で判断すべきだと語る。

「企業や国税庁などの公的団体も、URLを貼ったショートメールによる案内はしないことが社会通念とされています」

ひと昔前は、本物のサイトと偽サイトの違いが比較として出されていたが、この見極めも現在は過信すべきでないという。

「例えば、昔はアドレスバーに鍵マーク（通信が暗号化されていることを表すマーク）があれば安全だとか、ドメインが『.jp』であれば大丈夫だと言われていました。しかし、今や、偽サイトのほとんどは鍵マークがありますし『.jp』の偽サイトもあります。

メッセージの文章の日本語も不自然なところもなく、リンクの文字列は公式サイトと同じなのに、クリックしたら偽サイトに飛ぶこともあります。本物のサイトと偽のサイトの判別は、もはや意味がないと言っても過言ではありません」

URLをクリックして誘導された先の偽サイトで何らかの入力をすると、電話番号が犯罪グループ側に通知されたりする可能性も否定できない。

「SMSのリンクは、それがたとえ本物であっても押さないのが原則です。不安な内容だったとしても、そのリンクや電話番号をいっさい信用せず、自分で検索して公式サイトで確かめる。もしくは、ネットバンキング系なら直接電話をして確かめるようにしてください」

取材・文／堤 美佳子
画像提供／三上 洋
企画・編集／一ノ瀬 伸