Jul 5, 2025

フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています

https://www.fsa.go.jp/ordinary/internet-bank_2.html (2024/01/24)

『メールやショートメッセージサービス(SMS)、メッセージツール等を用いたフィッシングと推察される手口により、インターネットバンキング利用者のID・パスワード等を盗み、預金を不正に送金する事案が多発しています。』


Q. 犯人側にリスクがあるのに何故?

A. SMSによるフィッシング(いわゆる「スミッシング」)は、確かに犯人側にとってリスクがある手法です。

  以下に、犯人目線でのリスクや避けられる理由をいくつか挙げてみます。

■ SMSフィッシングが「足が付きやすい」理由

  1. 電話番号のトレースが可能
    • SMSは携帯電話番号を使うため、通信キャリアや警察が捜査すれば、送信元の端末や契約者情報にたどり着ける可能性があります。
  2. 送信元の偽装が難しい
    • メールと違ってSMSは送信元の番号を偽装するのが難しく、送信元が特定されやすいです(ただし、SMS送信サービスを使って偽装する手法も存在します)。
  3. 国内法の適用範囲が広い
    • SMSは基本的に国内の通信インフラを使うため、日本国内での捜査がしやすく、国際的な捜査協力が不要な場合もあります。
  4. SMS送信にはコストがかかる
    • 大量送信には費用がかかるため、犯人にとってはリスクとコストのバランスが悪い。
  5. 端末の物理的証拠が残る
    • SMSを送るには端末が必要であり、押収された場合に証拠が残りやすいです。

■ それでもSMSフィッシングが使われる理由

  • 高い開封率:メールよりもSMSの方が開封率が高く、リンクをクリックされる可能性が高い。
  • 信頼性の錯覚SMSは「公式っぽく」見えるため、受信者が疑いにくい。
  • ターゲットが広いスマホを持っている人なら誰でも対象になり得る。

 

Q. SMS送信サービスを使った偽装手法とは

A. フィッシング犯が自分の電話番号を使わずに、第三者のサービスを経由してSMSを送信することで、送信元情報を隠したり、信頼性を装ったりする手法です。以下に代表的な方法を紹介します。

■ SMS送信サービスによる偽装の主な手法

  1. SMSゲートウェイサービスの悪用
    • 一部のSMS送信サービス(TwilioNexmoClickSendなど)は、APIを使って任意の番号や名前を送信元として設定できる場合があります。
    • これを悪用すると、「銀行名」や「宅配業者名」などを送信元として表示させることが可能です(ただし、正規のサービスでは本人確認や制限がある)。
  2. アルファベット送信元(Sender ID)の偽装
    • 一部の国やキャリアでは、SMSの送信元を電話番号ではなく「文字列(例:JP_BANK)」として表示できる機能があります。
    • これを使って、公式っぽい名前を表示させることで信頼性を装うことができます。
  3. 海外のSMS送信サービスの利用
    • 海外の規制が緩いサービスを使えば、送信元の偽装がしやすく、国内の捜査が及びにくくなります。
    • VPNや仮想通貨を使って匿名でアカウントを作成することも可能
  4. SIMボックスやSMSスプーフィングツールの使用
    • SIMカードを大量に挿した機器(SIMボックス)を使って、物理的に大量のSMSを送信する。
    • 一部のハッキングツールでは、送信元番号を偽装することも可能(ただし、技術的・法的リスクが高い)。

■ ただし注意点

  • 多くのSMS送信サービスは、不正利用を防ぐために厳しい審査や監視を行っています。
  • 日本国内では、SMS送信元の偽装は違法行為に該当する可能性が高く、通信事業法や刑法に抵触することがあります。
  • キャリア側も、フィッシングSMSの検知・ブロック技術を強化しており、成功率は下がってきています。

 

Q. 事例

A. 以下は、実際に報告されたSMS(スミッシング)詐欺のスクリーンショット例や文面の一部です。これらは日本国内で確認された事例で、信頼できる企業を装って個人情報を盗もうとする手口が使われています。

■ SMSのスクリーンショット例(文面)

📦 宅配業者を装った例(ヤマト運輸・佐川急便など)

「お荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください。https://bit.ly/xxxxxx

  • 特徴:短縮URLを使用し、再配達を装って偽サイトへ誘導。
  • 見た目:送信元が「YAMATOなどの文字列になっていることも。

🏦 銀行を装った例(三井住友銀行など)

「【SMBC】お客様の口座に不正アクセスがありました。確認はこちら:https://smbc-secure.com/xxxx

  • 特徴:緊急性を煽る文面で、偽サイトに誘導しログイン情報を盗む。
  • 見た目:本物そっくりのURLや銀行名を使う。

📱 通信事業者を装った例(ドコモ・auなど)

「【ドコモ】dアカウントがロックされました。解除はこちら:https://docomo-auth.com/xxxx

  • 特徴:アカウント停止などの不安を煽る内容。
  • 見た目:送信元が「DOCOMO」などになっている場合も。

🛒 ECサイトを装った例(Amazon・楽天など)

「【Amazon】プライム会費のお支払いに問題があります。確認はこちら:https://amazon-prime.jp/xxxx

  • 特徴:支払いトラブルを装ってカード情報を盗む。
  • 見た目:本物のAmazonからの通知に酷似。

■ スクリーンショット付きの事例紹介ページ

以下のページでは、実際の偽SMS画面例や手口の詳細が掲載されています:


References

[1] 【2025年最新】フィッシング詐欺の事例8選!対策と被害に遭った時の対処法も解説

[2] スミッシングとは?手口・被害事例・効果的な対策を徹底解説|総合ネットセキュリティサービス|GMOセキュリティ24

[3] フィッシング詐欺の実例 | お知らせ | NTTドコモ

 


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)