「お客様のお荷物のお届けにあがりましたが、ご不在でした。再配達のご依頼は下記より。」通勤電車のなかでこのSMSを見て、リンクを開きます。宅配業者そっくりの画面で、氏名と住所、再配達の希望日時を入力し、確認のためにと求められたクレジットカード番号も打ち込みました。数日後、身に覚えのない引き落としが並んでいました。
スミッシング(smishing)は、SMS(ショートメッセージ)とフィッシングを合わせた言葉です。宅配の不在通知、銀行や決済サービスの「アカウント制限」、税金や還付の通知。日常で誰もが受け取りうる連絡になりすまして、偽サイトへ誘い込みます。警察庁や各業界団体が繰り返し注意喚起しているとおり、日本ではここ数年、被害の件数が最も伸びている経路のひとつです。
スミッシングが効くのは、人がだませるからではありません。スマホという環境が「見分ける手がかり」を奪うからです。URLは途中で切れ、画面は本物と区別がつかず、移動中で注意も散っている。だから対策も、個人の注意力に頼らず「開かない・入力しない・別ルートで確かめる」を習慣にする方向に置きます。
何が起きたか
攻撃者は、実在の宅配業者や銀行を名乗るSMSを大量に送りつけます。文面はごく短い。荷物の不在、口座の異常、ポイントの失効。どれも「今すぐ対応しないと困る」と思わせるものです。そこに一本のリンクが貼ってあります。
リンクを開くと、本物とほとんど変わらない見た目のサイトが表示されます。ロゴも配色も、ボタンの位置まで再現されている。案内に従って個人情報やカード番号、あるいはIDとパスワードを入力すると、その情報はそのまま攻撃者のもとへ渡ります。スマホにアプリ(実際にはウイルス)を入れさせて、以降のSMSや連絡先を丸ごと抜き取る型もあります。
手口の分解
大量送信
電話番号あてに、宅配や銀行を装うSMSをばらまきます。番号は総当たりや流出リストから。届いた人の一部でも開けば成立する、確率のゲームです。
緊急の一文
「不在」「アカウント制限」「未納」など、放置できないと感じる文面で急かします。考える前に指が動くよう、リンクを一つだけ置きます。
偽サイトへ誘導
本物と見分けのつかない画面を用意します。URLは本物に似せた紛らわしい文字列で、スマホでは途中までしか見えません。
情報を入力させる
氏名・住所・カード番号、あるいはID・パスワードを入力させます。ワンタイムパスワードまでその場で聞き出す型もあります。
即時に悪用
盗んだ情報で不正利用や不正送金を行います。入力から実際の被害まで、時間はほとんど空かないことが多いです。
なぜスマホで効くのか
パソコンのメールなら、送信元アドレスやリンク先URLをマウスでかざして確かめられます。ところがスマホは、そもそも見分ける手がかりが少ない。アドレスバーは短く、URLは途中で省略されます。本物に似せた紛らわしい文字列を最後まで確認するのは、指先の操作では手間がかかります。
状況も味方してくれません。SMSを読むのはたいてい移動中や作業の合間で、注意が散っています。しかもSMSは、メールと違って「ちゃんとした連絡が届く経路」という感覚が残っている。実際、宅配業者や銀行が本物のSMSを送ることもあるので、なおさら区別がつきません。
そしてAIが、この手口の質と量を押し上げています。以前の詐欺SMSは日本語が不自然で、それが見分ける手がかりになっていました。いまは文面が自然になり、季節やニュースに合わせた「もっともらしい口実」も次々に量産される。偽サイトの作り込みも速く、安くなりました。「変な日本語だから偽物」という判断は、もう当てにできません。
ロゴ・文面・画面。攻撃者が本物をコピーしている以上、「見た目がおかしいか」で判断させるのには限界があります。判断の軸を「見た目」から「経路」に移す。SMSのリンクは開かず、必ず公式アプリや検索から自分でアクセスし直す。このほうが、ずっと確実です。
被害と、気づける兆候
個人であればカードの不正利用や口座からの不正送金。企業の端末で起きれば、業務アカウントの乗っ取りや、社内システムへの入口を与えてしまうことにつながります。私用スマホと会社の連絡が混ざっている環境では、個人の被害がそのまま組織の被害に地続きになります。
手がかりが少ないとはいえ、立ち止まれれば気づけるポイントはあります。
- 身に覚えのない荷物・請求・当選など、「心当たりのない」通知だった
- 「今すぐ」「24時間以内に」と、やたらと期限を切って急かしてくる文面だった
- 公式アプリではなくSMSのリンクから、いきなりログインや入力を求められた
- URLが本物と紛らわしい(余計な単語やハイフン、見慣れない末尾)
- ふだんSMSで連絡してこない相手・サービスからの通知だった
ただ、これらを移動中の数秒で判断するのは難しい。だからこそ、判断そのものを減らす習慣づくりが効きます。「SMSのリンクは押さない。用があれば公式アプリか、自分でブックマークから開く」。この一つを組織の全員に染み込ませるだけで、入口の大半は塞げます。
組織としての対策
1. 「リンクは開かず、自分から辿る」を標準にする
SMSやメールのリンクからログイン・入力はしない。用があるなら公式アプリを開くか、検索やブックマークから自分でアクセスし直す。当たり前に聞こえますが、いざ急かされると崩れます。だから標準動作として言語化して、全員に配っておきます。
2. 私用端末と業務の境界を決める
業務連絡を私用スマホのSMSで回す運用は、それ自体がリスクを増やします。会社の連絡経路を明確にして、「会社からSMSでリンクを送ることはない」と全員が知っている状態をつくる。そうすれば、会社を装うSMSはすべて疑えます。
3. 「踏んでしまったとき」の窓口を先に決める
入力してしまった、アプリを入れてしまった。そのとき責められる空気だと、報告が遅れて被害が広がります。誰にどう連絡すれば被害を食い止められるのか、報告して損をしない窓口を先に用意しておきます。速さが被害の大きさを決めます。
「押してしまう瞬間」を、被害のない環境で一度通しておく
supasecurity AI訓練はSMS型の訓練にも対応しています。宅配・銀行・社内通知を装った模擬メッセージを配信し、誰がリンクを開いたか、どこで情報を入力しかけたかがデータに残ります。うっかり開いてしまった人には、その場で「なぜ危なかったか」と「正しい辿り方」を短く学び直してもらう。叱るための訓練ではなく、次に押さないための訓練です。
- 宅配・金融・社内通知など、実際に多い型の模擬SMSを配信できます
- 開封・入力の一歩手前で気づけるかを、部署・役割ごとに可視化します
- 引っかかった人へ、リンクを辿らない習慣を身につける教材を自動で配信します
スミッシングは、頭のよさや注意深さで勝てる相手ではありません。環境が手がかりを奪ってくる以上、勝負は「判断させないで済む習慣」を全員が持てているかにかかっています。見た目で見破ろうとするのをやめて、経路で守る。そのうえで、押しかけた瞬間の反射を訓練で一度でも通しておく。地味ですが、これがいちばん効きます。