BULLCOM Security

スミッシング(SMS詐欺)が急増中|宅配・銀行を装う手口

スミッシング(SMS詐欺)が急増中|宅配・銀行を装う手口

「お荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください」——スマホに突然こんなショートメッセージ(SMS)が届いて、思わずリンクを押しそうになったことはありませんか? ちょうど通販で何か頼んでいたり、家族からの荷物を待っていたりすると、「あ、あの荷物かな」とつい反応してしまいますよね。

実はいま、こうしたSMSを使った詐欺「スミッシング」が急増しています。メールの迷惑フィルターはだいぶ賢くなりましたが、SMSはすり抜けやすく、しかも「電話番号宛て」なので妙にリアルに感じてしまうのが厄介なところです。この記事では、宅配や銀行を装うスミッシングの手口と見分け方、そして「うっかり押してしまった」ときの対処法をわかりやすくお伝えします。

そもそも「スミッシング」って?

スミッシングとは、SMS(ショートメッセージ)+フィッシング詐欺を組み合わせた造語です。やることはフィッシングと同じで、

  • 偽のメッセージで本物そっくりのサイトに誘導する
  • そこでID・パスワード・クレジットカード番号などを入力させて盗む
  • あるいは不正なアプリ(ウイルス)をインストールさせる

という流れです。メールと違ってSMSは文字数が少なく、短い文+リンクだけというシンプルな見た目。だからこそ「怪しい長文」を見抜く判断材料が少なく、ついリンクを押してしまいやすいのです。

よくある「宅配を装う」手口

いちばん多いのが宅配業者をかたるパターンです。文面はだいたいこんな感じです。

  • 「お荷物をお届けにあがりましたが不在でした。ご確認ください+短縮URL」
  • 「住所不備のため配達できません。下記より再入力をお願いします」
  • 「関税のお支払いが必要です」

ヤマト運輸や佐川急便、日本郵便などの名前を使ってきますが、本物の宅配業者がSMSのリンクから住所やカード情報を入力させることは基本的にありません。再配達はあくまで「追跡番号」を使って、自分で公式アプリや公式サイトから手続きするのが正規の流れです。

正規ドメインの例を覚えておくと安心です。

  • ヤマト運輸:kuroneko-yamato.co.jp(追跡は kytrack も使われます)
  • 佐川急便:sagawa-exp.co.jp
  • 日本郵便:日本郵便の公式アプリ・公式サイトで確認

リンク先がこれらと違う見慣れない文字列(例:yamato-xxxx.com のような偽物)なら、まず詐欺と考えてよいでしょう。

「銀行・カード会社」を装う手口

もう一つ多いのが、銀行やクレジットカード会社をかたるものです。

  • 「お客様のアカウントに異常なログインを検知しました。ご確認ください」
  • 「カードが一時利用停止されました。下記より解除手続きを」
  • 「本人確認が完了していません。期限内に更新してください」

これらは「不安をあおって急がせる」のが共通の特徴です。「○時間以内に手続きしないと利用停止」などと書いて、冷静に考える時間を奪おうとします。

ここでも正規ドメインを知っておくと強い味方になります。

  • 三井住友銀行:smbc.co.jp
  • JCB:jcb.co.jp
  • PayPay:paypay.ne.jp

そして大前提として、銀行やカード会社が、SMSのリンクから暗証番号やカード番号を入力させることはありません。少しでも不安なら、SMSのリンクは押さず、いつも使っている公式アプリを開くか、カード裏面に書かれた電話番号に自分からかけ直して確認しましょう。

怪しいSMSの見分け方チェックリスト

届いたSMSが本物か迷ったら、次のポイントを確認してみてください。

  • リンクのドメインが正規のものか(上で挙げた公式ドメインと一致するか)
  • 短縮URL(bit.lyなど)や見慣れない文字列になっていないか
  • 「至急」「○時間以内」など、やたら急かしてくる内容ではないか
  • そもそも、その荷物・その手続きに心当たりがあるか
  • 日本語が微妙に不自然ではないか(最近は自然な文面も増えているので過信は禁物)

迷ったときの鉄則はシンプルです。「SMSのリンクは押さない」「確認は公式アプリ・公式サイト・ブックマークから」。これだけで被害のほとんどは防げます。

もしリンクを押してしまったら

「もう押しちゃった…」という方も、落ち着いて段階的に対処すれば大丈夫です。

1. 情報を入力していない場合:リンクを開いただけなら、まずは入力せず画面を閉じればOK。念のためアプリを勝手にインストールしていないか確認しましょう。 2. ID・パスワードを入力してしまった場合:すぐにそのサービスのパスワードを変更してください。同じパスワードを他で使い回している場合は、そちらも全部変えるのが鉄則です。 3. カード番号を入力してしまった場合:すぐにカード会社へ連絡し、利用停止・再発行の手続きを。身に覚えのない請求がないか明細も確認しましょう。 4. アプリをインストールしてしまった場合:すぐに削除し、不安なら機内モードにして専門家へ相談を。

そして、不審なSMSは返信せず削除し、迷惑SMS報告(「+メッセージ」や各キャリアの窓口)に通報するのも効果的です。

---

「これって詐欺かな? でも本物だったら困るし…」と、その判断こそが一番むずかしいところですよね。BULLCOM Securityでは、届いたSMSのスクリーンショットをLINEで送っていただければ、詐欺かどうかを無料で判定します。「リンクを押してしまったかも」という段階でも構いません。一人で抱え込む前に、まずはお気軽にLINEで無料相談してください。早めの一報が、被害を防ぐいちばんの近道です。

← ブログ一覧に戻る