子育て家庭を狙う特殊詐欺「SMSフィッシング」と「スミッシング」を解説

その「再配達通知」は本物でしょうか。先日、小学生の息子の迎えから帰った直後にスマホを見ると、「お荷物をお預かりしています。再配達はこちら」というSMSが届いていました。

家族がネットで注文した商品の配送予定日だったし、日中不在だったからちょうど良いタイミング。これこそが詐欺師の狙いなのです。

登下校の送迎や夕飯準備で手が離せない忙しい時間帯に届く「再配達SMS」。つい条件反射でタップして、名前やカード番号まで入力してしまう。これが近年急増している被害の典型パターンです。

今回は宅配便やECサイトを装った「不在通知SMSフィッシング（スミッシング）」に絞って、最新の手口と具体的な対策を詳しく解説します。

執筆　元警察官　安井かなえ

なぜ今、この手口がこんなに多いのか

フィッシング対策協議会の月次レポートを見ると、宅配事業者・ECサイト・カード会社を装ったフィッシング詐欺が毎月のように上位に入っており、特にSMSを使った手口が急増しています。

警察庁や各都道府県警のサイバー犯罪対策ページでも、SMS経由での偽URL誘導や、配送アプリを装ったマルウェアに関する注意喚起が次々と出されています。正直、現役時代にこれほど手口が巧妙化・大規模化するとは想像していませんでした。

国民生活センターにも、「再配達手続きのつもりでカード情報を入力したら不正利用された」という相談が継続的に寄せられています。

手口のプロセスを見てみましょう

SMSの受信、「スミッシング」とは？

「スミッシング」とは、SMS（ショートメッセージサービス）とフィッシングを組み合わせた言葉で、SMSを利用して偽サイトへ誘導し、個人情報を盗み取る詐欺のことです。

携帯電話の番号だけで受信できてしまうSMSには、「〇〇運輸です。お荷物をお預かりしています」「Amazonから重要なお知らせ」など、本物そっくりの差出人名とメッセージが届きます。内容も「再配達のご依頼はこちら」「アカウントに異常が検出されました」など、日常的で緊急性のあるものばかり。

被害者の多くが「まさか偽物だと思わなかった」「いつも使ってるサービスだと思った」と話しており、“気づかないうちに情報を盗まれてしまう”のがこの手口の怖さです。

偽サイトへの誘導。そっくりすぎる罠

SMSのリンクをタップすると、本物と見分けがつかないほど精巧に作られた偽サイトに飛ばされます。ロゴ、配色、レイアウトまで完璧に再現されていて、私でも一瞬騙されそうになったことがあります。ここで「再配達の手続き」や「アカウントの確認」名目で、以下の情報を段階的に聞き出してきます。

・ID・パスワード

・生年月日・住所

・クレジットカード番号

・セキュリティコード

・スマホに届くワンタイムパスワードなど

そして最も巧妙なのが、情報を送信した後の仕掛けです。偽サイトで個人情報を入力し送信ボタンを押すと、画面が自動的に本物の公式サイトのトップページに切り替わります。被害者は「手続きが完了して、正規サイトのトップページに戻された」と勘違いし、偽サイトを経由したことにすら気づかないまま情報を奪われてしまうのです。

以前、仕組みを調べるために、架空の情報を入力しましたが、同様の結果になりました。つまり、「怪しい画面だった」と全く気付かないまま、個人情報だけが詐欺師の手に渡ってしまいます。これが現在の手口の最も恐ろしい部分なのです。

被害の拡大—取り返しのつかない事態へ

情報を盗まれると、あらゆる被害が連鎖的に発生してしまいます。

・ECサイトやメールアカウントの乗っ取り → 勝手に商品注文・配送先変更

・クレジットカードの不正利用 → 数十万円単位の被害や、数百円の少額決済が大量発生

高額な被害額だけではなく、少額の被害に遭うことがあることも覚えておきましょう。

連鎖はカードの不正利用だけにはとどまりません。Android端末へ「配送状況確認アプリ」と称して不正アプリをインストールさせ、端末の管理者権限を奪うケースも報告されています。

iPhoneでも、セキュリティ強化のためと称して、端末設定を乗っ取る構成プロファイルをインストールさせる手口が報告されています。構成プロファイルをインストールする時にはパスワードを求められることがあるため、一旦冷静になってから、本当に必要なプロファイルなのかを考えてみましょう。

サポート詐欺との連携―被害の’’二重化’’

最近増えているのが、フィッシング詐欺の後に「お客様のアカウントに異常が検出されました」とサポート詐欺の電話をかけてくる手口です。「解決のため」と称してリモート操作アプリの導入を促され、パソコン内部の情報まで盗まれる二重被害につながることもあるため、決して指示に従わないようにしましょう。

5秒でできる！見分けチェックポイント

送信者とURLをまず疑う

大手宅配会社のほとんどは「URL付きSMSで直接手続きを案内することはない」と明言しています。再配達は公式アプリか公式サイトからのアクセスを推奨しているのです。ただし、会社によって運用方針が異なるので、普段利用するサービスの正式な方針は事前に確認しておきましょう。

ドメイン名の不自然さ

「.top」「.cn」などのあまり見慣れないドメインや、意味不明な文字列のドメインは要注意。短縮URLの場合は、どこに飛ぶか分からないので絶対にタップしないでください。もし誤って開いてしまった場合はすぐにブラウザを閉じましょう。

入力項目の過剰さ

再配達手続きでクレジットカード番号を求められることは通常ありません。「着払いの事前支払いが可能」など、巧妙な手口で入力を促してきますが、これも詐欺の典型です。さらに、ワンタイムパスワードまで求められたら、完全にアウトと考えてください。

日本語の不自然さ

「お客様各位」「ご利用頂き」など、微妙に不自然な敬語や表現の場合は、ほぼ間違いなく偽物と考えてよいでしょう。また、問い合わせ先がフリーメールや、ドメイン名が不自然に長いなど、細かい部分に違和感があったら、一旦冷静になって考えてみてください。

いきなりカード情報画面が出たら警戒を

正規のサービスなら、必ずログインや本人確認のプロセスを経るはずです。いきなりカード情報を求められたら、詐欺を疑いましょう。

もし入力してしまったら？初動対応が勝負

「入力してしまった…」と気づいたら、1分1秒でも早く対応することが被害を最小限に抑えるカギです。焦らず、次の手順を落ち着いて行いましょう。

① パスワードをすぐに変更する

アカウント・パスワード関連を偽サイトに入力してしまった場合は、正規サイトから速やかにパスワード変更をしましょう。その際、アクセス先が本物の公式ドメインなのかを必ず確認しましょう。

同じパスワードを他のサービスでも使っている場合は、すべて変更してください。ログイン履歴、メール転送設定、二要素認証が勝手に無効化されていないかも要確認です。

② カード情報を入力したら即連絡

クレジットカード情報を入れてしまった場合は、すぐにカード会社に電話して利用停止・再発行手続きをしてください。不正利用の監視と調査も依頼しましょう。家族カードがある場合は、そちらも念のため確認を。

③ スマホ・端末の安全確認

端末に異常がある場合、Androidなら、最近インストールした怪しいアプリと、その権限設定を確認・削除。心配なら思い切って初期化も選択肢です。

iOSなら構成プロファイルをチェックしましょう。どうしても心配なら、キャリアや端末メーカーの公式サポートに相談するのが確実です。

④ 被害に気づいたらすぐ相談・通報

具体的な金銭被害や犯人からの接触があるなら110番。緊急でない相談や整理・助言が欲しいなら#9110（警察相談専用ダイヤル）、または消費者ホットライン（188）も活用してください。被害の証拠として、スクリーンショットやURLなどは必ず保存しておきましょう。

まとめ

・URL付きSMSからは絶対に手続きしない。公式アプリ・公式サイトに自分でアクセスする

・入力してしまったら「パスワード変更・カード停止・証拠保存」を慌てず同時並行で行う

・迷ったら#9110で相談、緊急時は110番

リンクはむやみに開かず、正規のサイトへ自力でアクセスし、二段階認証を設定、そして万が一の時は冷静に対処しましょう。この一連の流れを家族全員が同じように実行できれば、慌ただしい毎日の中でも確実に身を守れると思います。何か心配なことがあれば、一人で抱え込まず、警察など頼れる力を借りることも大切な選択肢です。