SMSにおけるフィッシング詐欺対策
SMSを用いたフィッシング詐欺でもご紹介の通り、2015年5月以降からSMSを用いたフィッシング詐欺の事例が多く報告されています。SMSの利用者として、増加するフィッシング詐欺の対策として、どんなことを留意すればよいのでしょうか。ここでは、SMSでフィッシング詐欺の被害に遭わないための5つのポイントをご紹介します。
1.心当たりのないSMSの内容を鵜呑みにしない
SMSは電話番号だけでメッセージを送れることができることに利便性の高いサービスです。携帯電話1台あたり1つの番号で、MNP(携帯電話・PHS番号ポータビリティ)などの影響もうけないことから、金融機関や会員制サービスの本人認証で使用されることが増えているのは事実です。一方で、基本的にはサービス利用者のアクションがないタイミングで金融機関側からSMSを用いてパスワード変更を促すことはありません。パスワード変更の連絡等の機密性の高いSMSが届くのは、利用者側が変更の手続を行ったタイミングのみです。突然SMSが届いた際は、その記載内容を鵜呑みにせず、個人情報を入力する前に真偽を確認することが重要です。
2.SMSに記載されているURLを確認する
偽サイトの場合、URLに不自然な点があることが多くあります。一連のドメイン(例:http://www.ex-sms.com)内のURLの一部を変更することで、ページを偽装できるようにする方法です。記載されているURLを用いる際はまずURLの内容に不信な記述がないかどうか(偽造されたURLでないか)を確認することが有効です。偽装URLの典型的なパターンを3点ご紹介します。SMSに記載されたURLは、十分ご注意の上で使用いただくことをおすすめします。
パターン1.見た目が似ている文字を使っている
0(数字ゼロ)とO(大文字のオー)やI(大文字のアイ)とl(小文字のエル)などのように、見た目が似ている数字やアルファベットを使ってサイト名を似せているパターンです。
<例>
[正]mizuho → [偽]mizuhO
[正]0109 → [偽]1O9
[正]MITSUBISHI →[偽]MlTSUBISHI
パターン2.スペルを変えている
スペルを紛らわしい表記に変えることや、音が近しい表記に変えることによって、偽サイトへの誘導を促す手口も多く存在します。
<例>
[正]mitsubishi → [偽]mitubishi
[正]banking → [偽]bankingu
[正]yahoo → [偽]yafoo
パターン3.短縮URLを使用している
短縮URLとは、長いURLの文字列を短く表記したものです。代表的な短縮URL作成サービスとしては、bit.ly(Bitly社)・goo.gl(google社)・ow.ly(HooSuite社)・t.co(twitter社)・fb.me(facebook社)などがあります。短縮URLは、遷移先のドメインを確認ができないため、偽サイトへの誘導をする際の偽装が行いやすくなります。さらにSMSの場合、70文字を目安とした文字制限があるため、短縮URLを用いることは自然に思わせることができます。
3.SSLがかかっているかどうかを確認する
IDやパスワードを含む個人情報を入力するページにおいては、SSL(Secure Socket Layer)がかけられていることが必須です。SSLとは、インターネット上で情報を暗号化して送受信するためのプロトコルで、個人情報のような機密性の高い情報を安全に取り扱うために必須となります。万が一、SSLがかかっていない個人情報入力ページがあった場合はフィッシング詐欺用のサイトである可能性が高いため、使用されないことをおすすめします。SSLがかかっているかどうかは、下記の手順で確認します。
手順1.URLが「https://」からはじまっていることを確認する
手順2.URLの横に鍵マークがついていることを確認する
[図1 SSLのかかったURLの表記]
PC利用の場合、鍵マーク部分をクリックするとサイトの提供元および認証局が表示されます。必要に応じて、この内容もごかくにんいただくことをおすすめします。
4.SMSの送付元に内容の真偽を確認する
重要度の高い連絡事項や依頼事項の場合、各金融機関やサービス事業者のWebサイトに何らかの案内があることが一般的です。また、もしフィッシング詐欺等が発生していた場合は、SMSを用いたフィッシング詐欺でもご紹介のように、トップページで注意を喚起する情報が発信されることが多いです。各社のWebサイトを確認し、届いたSMSに関連する情報発信があるかどうか確認をおすすめします。また、預金口座の出金が可能となるインターネットバンキングのID/Pass変更の連絡や、クレジットカード情報の入力を伴う連絡の場合は、サービス提供元となる金融機関やサービス事業者に直接連絡を取ってみるなどの慎重な対応をおすすめします。
SMSでフィッシング詐欺を発見した場合には
フィッシング詐欺を試みる連絡は、本人を狙い撃ちするパーソナライズドフィッシングという手法もあるとはいえ、基本的には不特定多数の利用者に送りつけられています。つまり、自分に届いたメールやSMSは、他の不特定多数の人にも届いている可能性が高いということです。フィッシング詐欺の被害の拡大は、詐欺業者増大の温床となります。被害者の増大を未然に防ぐため、下記の様な手段で情報の共有をお願いします。
・警視庁フィッシング110番に連絡
警視庁では、フィッシング詐欺の相談窓口を設けています。フィッシングサイトへ誘導するメールやSMSを受け取った場合や、フィッシングサイトを発見した場合、被害に遭われた場合は、速やかにご連絡をおすすめします。
フィッシング110番電話番号 : 03-3431-8109
(受付時間平日の午前8時30分から午後5時15分まで)
・フィッシング対策協議会に連絡
フィッシング対策協議会ではメールでの受付を行っています。警視庁フィッシング110番の対応時間外の場合は、こちらに連絡をおすすめします。
フィッシング対策協議会メールアドレス : info@antiphishing.jp