スマートフォンや携帯電話の電話番号だけでメッセージを送受信できるSMS(ショートメッセージサービス)を使ってフィッシングサイトに誘導させる「スミッシング」と呼ばれる手口が拡大している。国内では2015年にこの手口が横行し、再び流行する気配を見せている。
日本サイバー犯罪対策センターは、5月と6月に相次いでスミッシングを使ったサイバー犯罪への注意を呼び掛けた。2018年後半から実在する宅配会社になりすましてSMSでフィッシングサイトに誘導したり、不正アプリをインストールさせたりする攻撃が発生している。
同センターによれば、6月時点では宅配会社に加えて、通信事業者になりすます手口も確認された。宅配会社になりすます手口では、受信者に心当たりがなければ、メッセージを無視するなどの対策で被害を回避できる場合があるものの、通信事業者になりすます手口では、受信者が正規のメッセージと信じてしまいやすく、被害に遭いやすいと解説する。
フィッシング対策協議会が公開しているフィッシング事例によると、スミッシングは2015年に金融機関になりすます手口が大規模に発生した。当時はインターネットバンキングのユーザーなどを標的に、「セキュリティ更新」「パスワードが失効」といったメッセージで受信者をフィッシングサイトに誘導し、認証情報など入力させる手法が横行した。
その後は、2017年にGoogle Playになりすます事例が確認され、2018年は宅配会社と金融機関になりすます手口が見つかった。2019年は7月8日時点で、これら以外にクレジットカード会社や携帯電話会社、ネット通販会社になりすます手口が発生しており、スミッシングが再び増加する気配を見せ始めている。
フィッシング犯罪は、実在する企業や組織になりすました電子メールを使ってフィッシングサイトへ誘導する手口が常とう手段だが、最近では2段階認証をはじめオンラインサービスでSMSを利用する機会が拡大していることから、スミッシングにも十分注意する必要がある。
SMSで通信事業者になりすますフィッシング(スミッシング)のイメージ(出典:日本サイバー犯罪対策センター)
