フィッシング詐欺の様々な事例と企業が送るSMSを詐欺だと思われないための対策を紹介| SMS送信サービスならCM.com

フィッシング詐欺の増加傾向に

フィッシング対策協議会の発表によると、新型コロナウィルスの混乱に乗じてフィッシング詐欺の件数が緊急事態宣言後に急激に増えています。

フィッシング詐欺とは、有名企業を装って偽サイトへ誘導する電子メールやSMS（ショートメッセージ）を送信し、IDやPW等の個人情報を騙し取る行為です。

頻繁に悪用される有名企業としては、誰もが利用している金融機関や大型ECサイト、配送業者があります。さらに2020年4月には一ヶ月あたりのフィッシング詐欺サイトとして報告されたURLの件数は4,283件にも上り過去最多となりました。

増加傾向のあるフィッシング詐欺、どんなの手法があるのか、ますは従来の手口をご確認ください。

SMSに関する基本情報

各種フィッシング詐欺手口の詳細

詐欺グループはさまざまな手口を使い、消費者を騙そうとします。よくあるフィッシング詐欺の手口は以下の6つです。

SMSを利用した手口
Eメールによる手口
SNSを利用する手口
ウイルス感染による誘導
【iPhone】フィッシングサイトに飛ばされる
【Android】不正な偽アプリがインストールされる

どのような手口があるのかをあらかじめ把握しておく事で、被害に遭う確率を減らせます。それぞれを詳しく見ていきましょう。

SMSを利用した手口

SMSを利用した詐欺メッセージには、以下のような内容が記載されていることが多くあります。このような内容のSMSが届いたら、詐欺の可能性を疑いましょう。

「あなたが利用した〇〇の料金が払われていません」といった不安を煽るショートメール
「あなたのクレジットカードが不正利用されています」など、緊急性の高い内容だと思わせるようなショートメール
弁護士や債権会社を装ったショートメール
寄付や義援金を募るような内容
頼んだ記憶のない荷物の不在通知のお知らせ
身に覚えのない当選通知
自治体や国からのお知らせを装ったショートメール

SMSで送られる詐欺メッセージの特徴は、短い文面で緊急性や危険性の高さを煽るものが多いことです。

SMSには地震速報や国からのお知らせなど、本当に大切なショートメールが届くことも実際にあります。そのため、つい「本当のお知らせかもしれない……」と、届いたSMSをクリックしてしまう人も多くいます。

Eメールによる手口

Eメールによるフィッシング詐欺には、以下のようなものがあります。

国税庁を名乗るEメール
銀行を名乗るEメール
Amazonや楽天などのショッピングサイトを名乗るEメール
LINEやGoogleなどを名乗るEメール

「オンラインバンクのログインに関する確認」や「税金の未払いについて」といった、重要な内容を装ったメールが配信されるケースが多発しています。「いますぐ下記のURLから確認してください」といった文言が記載されており、クリックすると偽サイトに誘導されてしまうのです。

Eメールを介したフィッシング詐欺の特徴は、発信元のメールアドレスを本物の（実在する）URLに見せかけていることです。例えば、本物のURLが「kokuzei.com」の場合、偽サイトは「kokuzeii.com」となっており、非常に似た文字列を使用しています。

一見、本物のお知らせメールに見えてしまうことがあるので、リンクされているURLをクリックしてしまう人が増加しています。

昨今は、多くのサービスで登録時にEメールが必要です。そのため、詐欺ではない本物のお知らせメールが届くこともあるでしょう。こうしたEメールに紛れさせて、多数のフィッシング詐欺のメールが配信されています。

SNSを利用する手口

SNSの利用者が増えたことによって、これらの媒体を用いたフィッシング詐欺も出てきています。2021年の主要SNSの利用者割合は以下のとおりです。

【2021年度/国内の10～60代のデータ】

LINE：国内の約90％が利用
Twitter：国内の約42％が利用
Instagram：国内の約42％が利用
TikTok：国内の約17％が利用

参照元：令和2年度情報通信メディアの利用時間と情報行動に関する調査報告書

上記のデータからも分かるように、現代は多くの人が何らかのSNSを利用しています。SNSで多いトラブルは、「ダイレクトメール」を通じてフィッシング詐欺を行うものです。

セールや割引の案内と称して偽物のショッピングサイトに誘導し、クレジットカードのデータや個人情報を奪いとろうとします。

その他にも、SNSに自動で表示される広告から知らない間に怪しいサイトへ移行してしまうケースもあります。

パっと見では見抜けないほど作りこまれたページが多いので、つい安心してクリックしてしまう人も多いでしょう。こうして抜き取られたクレジットカード番号が、海外サイトなどで不正利用されてしまうのです。

ウイルス感染による誘導

「このパソコンはウイルスに感染しています」といった警告文が突然画面上に表れるのも、代表的なフィッシング詐欺の一種です。近年は、スマホの画面上にも「警告」や「感染」といったポップアップメッセージが出るケースもあります。

特にパソコンのウイルスには高度なものも多く、「1分以内に〇〇をクリックしないと全データが消えます」といった警告画面が突然表示されます。ポップアップ画面が消えなくなったり動作がおかしくなったりすると、焦ってしまい表示されているリンクをクリックしてしまうこともあるでしょう。

パソコンにあまり詳しくない人が操作していた場合、とっさにどのように対処すればよいか判断するのは非常に難しいです。時間を表示することで慌てさせて、冷静な判断ができないようにさせる巧妙な手口です。

iPhone：フィッシングサイトに飛ばされる

iPhoneを利用している人が、フィッシング詐欺にあってしまうケースも増えています。iPhoneの提供元であるAppleから、以下のような注意勧告が出ています。

以下Appleより引用：

詐欺に引っかからないためのヒントや、疑わしいメールやその他のメッセージを受信したり、そうした電話がかかってきたりした場合の対処法をご案内します。

正規の企業（Apple など）を装った詐欺のメールやその他のメッセージ
デバイスのセキュリティの問題があると伝え、誤導するポップアップや広告
Apple サポートを装った詐欺の電話や留守番電話
製品や商品を無料で提供すると謳った偽のプロモーション
迷惑なカレンダー出席依頼や照会カレンダー

思い当たるふしのないメールや電話、個人情報や金銭の提供依頼など、不審に思ったらまずは詐欺の可能性を疑い、必要ならその会社に直接問い合わせてみるのが安心です。

上記のように、ショートメールや広告からフィッシングサイトに飛ばされることがあるので注意が必要です。Appleのセキュリティについてや問い合わせは、Apple（サポートページ）でチェックしてみてください。

Android：不正な偽アプリがインストールされる

2021年に、Google Playストアを通して、ウイルスアプリの「トロイの木馬」が30万件以上ダウンロードされていたという事件が発生しました。

このときに出回ったトロイの木馬は「バンキング型」と呼ばれ、オンラインバンクの情報にアタックし個人情報を抜き取るタイプのウイルスです。

オンラインバンクの口座情報やパスワードが漏えいすると、勝手に送金や引き出しができてしまうため重大な被害を及ぼします。

このトロイの木馬は、有名なアプリに見せかけて作られたもので、ユーザーが本物だと思ってダウンロードするように仕向けられていました。

表向きのアプリの作りは無害なものになっていて、Google Playストアのセキュリティチェックを潜り抜けて、サイト内に掲載されていたのです。

ユーザーのデバイスにアプリがダウンロードされたあとで、「アップデート」と称して、悪意のある機能を送り込みます。

ダウンロードした時点では異常が分からないため異変に気付く人が少なく、知らない間に多くのユーザーがウイルスに感染していました。

このように、普段使用しているサイトやショップからフィッシング詐欺に繋がってしまうケースもあります。

詐欺SMSを詳しく解説

このように様々なフィッシング詐欺が横行しています。受信者がメッセージのどの部分を不審に思うのでしょうか。ここでは SMSに注目して、なぜSMSが詐欺SMSだと思われてしまうのかを解説していきます。

原因1：身に覚えのない電話番号からメッセージが届く

一般的に企業から配信されるSMSは電話番号表記のため、突然、身に覚えのない電話番号からメッセージが届くと、顧客は架空請求を装った迷惑メールやフィッシング詐欺ではないかと疑ってしまいます。

原因2：怪しいURLが届く

フィッシング詐欺被害はしばしばニュースで取り上げられ、有名企業が顧客へ常に注意喚起をおこなっていることから、消費者はURL付きのSMSに対してより警戒心を持っています。

何度かAmauoun、Amaznなど、正規のURLを装ったメッセージを自身の携帯電話で受け取っているため、あまり送られてこないSMSにURLが添付されていると、間違ってクリックしないように注視する傾向があります。

企業のSMSを詐欺だと思われないメッセージ送信フロー

詐欺と思われないように送るSMS

企業から送信するSMSが詐欺やなりすまし、フィッシングだと思われないようにはするためには、以下の順番でSMSを送信する方法がおすすめです。

1.初回はURLなしでSMSを送る

一般的に受信者が詐欺SMSで被害に合う場合はリンクをクリックした時です。クリックしただけでウイルスに感染することもあれば、クリックしてその先で個人情報を入力することで被害に逢います。

いずれもURLが原因を作っているので、URLなしのSMSで安心を与えます。本文には企業の電話番号や名前をきちんと挿入することを忘れないでください。

2.URLつきでSMSを送る

お客様のクリック率を確認し、反応が良い場合はURLをつけて再度送ります。

この場合同じ送信者名であれば前回送信したスレッドに入りますので、前回送信したメッセージも一緒に携帯に表示されますので、受信者の信頼を維持しながらURLを表示することができます。

3.2で反応が悪かった場合は再びURLなしで送る

この手法は飲食業界のクライアント様が実施した方法です。飲食店の場合、必ずしも予約がウェブサイトである必要がなく、予約手段としてお店の電話番号を記載することで予約したいお客様をスムーズに予約に結びつけることができました。

EC、美容サロン等その他の業界でも電話受付がある場合はURLではなくあえて電話番号だけ記載するとURLなしのSMSでもコンバージョンを期待できます。

オンライン上での手続きが双方にとって便利なのでURLに頼りがちですが、客層やサービスによっては電話連絡が普通のケースもあります。

その場合はSMSが信用されるまで電話番号の記載にしておくという手段も有効であることが今回の事例で分かりました。

企業のSMSが詐欺だと思われないように注意すること

企業から顧客にSMSを配信した時、顧客に詐欺SMSと思われてないためには信頼性の高いメッセージを送るようにしてください。顧客から疑われたないように、事前にきちんと注意点を確認しましょう。

1.送信者名の表示を分かりやすく

アルファベット表記でSMSを送信

SMSは送信者名を電話番号かアルファベットに設定できます。電話番号にするメリットとしてはお客様がメッセージを受信した時に電話番号から送信者を判断できます。デメリットとしては、一部のキャリアでは電話番号ではなく固定の4桁の数字に変換されてしまいます。

アルファベットにするメリットとしては電話番号よりも分かりやすく送信者を判断できます。デメリットとしては、同じアルファベットの文字列で他者も送れるため、なりすまし被害に遭う可能性があります。

もしそれ以上になりすましを防止したい場合、SMSと同じように携帯電話番号宛に送れる＋メッセージ（プラスメッセージ）を利用することをお勧めいたします。

法人利用の場合、配信時に公式マークがメッセージ配信時に付与されるのと、送信者名を漢字やかな表記にできます。そのため、受信時には一眼でどのブランドから送られてきたのかを把握しやすくなります。

2.メッセージ内で送信相手の名前を明記する

詐欺SMSは相手の名前まで把握せずに不特定多数に一斉配信をしています。そのため、メッセージ内に宛先となる氏名を記載しないケースが多いです。

SMSでもメールのように「○○様」と送信者の正式名称を明記することでSMSの信憑性を高めることができます。

実際、弊社サービスをご利用のクライアント様で、送信先のユーザーの名前をSMS本文に挿入したところ、SMS内のURLの開封率が挿入前と比べ、10%上昇しました。メッセージ内に送信相手の名前とを入れるのは非常に有効です。

3.ウェブサイトで告知する

SMSでお客様へ連絡していることをウェブサイトで告知すると、受信者が不審に思って検索した際にその告知を見ることで安心できます。

告知する際はどういう送信者名で送っているのか、どういう内容で送っているのか、URLを記載している場合はどういう文字列なのかをご案内すると良いでしょう。

以上がSMS送信時の注意点です。これらに加えて今回新たな手法としてご紹介するのが「SMSのメッセージ内にURLを記載しない」という使い方です。

4.＋メッセージを利用する

SMSとプラスメッセージの違いサンプル

SMSではありませんが、同様に携帯電話番号宛に送信できる＋メッセージの公式アカウントを発行することで、より信頼性の高いメッセージを送信することができます。

企業向けのプラスメッセージアカウントはキャリアの審査を経で、承諾された企業しか発行できないため、悪意ある第三者によるなりすましができません。

発行されたアカウントは送信者名を漢字、公式マークをつけて送信できるため、受信した顧客は一目でどこから配信されてきたのかを把握できます。

企業は顧客からフィッシング詐欺だと思われないためにもプラスメッセージを検討すると良いでしょう。

詐欺SMSだと思われないようなメッセージ配信を

企業が便利に使えるSMS配信サービスですが、正しく利用しないとフィッシング詐欺と間違われてしまうことがあります。

疑われてしまうようなショートメールを送ってしまうと、企業イメージがダウンしてしまうため、文面やリンク内容には十分注意しましょう。

CM.comのSMS送信サービスでは、「メールが届かない・読まれないを解決できる」さまざま施策を担当者が共に考えます。顧客にパーソナライズしたLPを簡単に作成することもできるので、企業の業績アップにも一役買ってくれることでしょう。

SMS配信サービスを導入してみたい方は、ぜひ「CM.com」の無料トライアルをご検討ください。