対象試験と出題頻度
詳細をクリックして確認
情報セキュリティマネジメント試験
ITパスポート試験
★★★☆☆
ランクB(標準)
用語の定義
スミッシング(SMSフィッシング)とは、一言で言うと「SMS(ショートメッセージサービス)を使って偽サイトに誘導し、個人情報やクレジットカード情報を騙し取る詐欺手法」のことです。
イメージとしては、「スマホに届く”不在通知”や”料金未払い”のSMSに騙されてリンクをタップしてしまう行為」と同じです。
「Smishing」は「SMS」と「Phishing(フィッシング)」を組み合わせた造語です。メールよりもSMSの方が開封率が高く、電話番号宛に届くため「公式からの連絡」と誤認しやすい特徴があります。
解説
スミッシングは、スマートフォンの普及とともに急増しているサイバー攻撃です。メールのフィッシングと比べて、SMSならではの特性を悪用している点が特徴です。
- 高い開封率: SMSはメールよりも開封率が高く(90%以上とも言われる)、攻撃の成功率が高い
- 電話番号への信頼: メールアドレスより電話番号は「公式っぽい」と感じやすく、警戒心が低下する
- 短いURLの使用: SMSは文字数制限があるため短縮URLが使われやすく、リンク先が偽サイトか判別しにくい
- スマホ特有の操作性: スマホの小さな画面ではURLの確認がしにくく、タップしやすい
よくある手口としては、「宅配便の不在通知」「携帯キャリアからの料金請求」「銀行のセキュリティ警告」「ECサイトの支払い確認」などを装ったSMSがあります。リンクをタップすると本物そっくりの偽サイトに誘導され、ログイン情報やクレジットカード番号を入力させられます。また、不正なアプリをインストールさせるケースも増えています。
具体的な活用例・対策
スミッシングの被害を防ぐために、以下のような対策が有効です。
- SMSのリンクは原則タップしない: 公式アプリや公式サイトにブックマークから直接アクセスする習慣をつける
- 送信元番号の確認: 知らない番号や海外番号からのSMSは特に警戒する(ただし番号は偽装されることもある)
- 公式に問い合わせる: 不安な場合は、SMSのリンクではなく、公式サイトや公式アプリ、電話で直接確認する
- 不審なアプリをインストールしない: SMSから誘導されたアプリのインストールは絶対に行わない
- セキュリティアプリの活用: スマホ用のセキュリティアプリで、フィッシングサイトや不正アプリを検知・ブロックする
- 多要素認証の設定: 万が一情報が漏れても、二段階認証で不正ログインを防ぐ
試験ではこう出る!
情報セキュリティマネジメント試験・ITパスポート試験で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- フィッシング(Phishing)
- ビッシング(Vishing:音声通話を使うフィッシング)
- スピアフィッシング(特定の標的を狙う)
- ワンクリック詐欺
- SMS(ショートメッセージサービス)
- 偽サイト・フィッシングサイト
試験問題で「SMSを使って偽サイトに誘導する」「宅配便の不在通知を装ったショートメッセージで個人情報を詐取する」といった記述があれば、それは「スミッシング」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. スミッシング(SMSフィッシング)に関する説明として、最も適切なものはどれでしょうか?
- A. SMS(ショートメッセージ)を使って偽サイトに誘導し、個人情報やクレジットカード情報を詐取する手法
- B. 電話(音声通話)を使って銀行員などになりすまし、暗証番号や口座情報を聞き出す手法
- C. 偽のメールでマルウェア付き添付ファイルを開かせ、PCに感染させる手法
正解と解説を見る
正解:A
解説:
スミッシング(Smishing)とは、「SMS」と「Phishing」を組み合わせた造語で、ショートメッセージを使って偽サイトに誘導し、個人情報やクレジットカード情報を騙し取る手法です。「宅配便の不在通知」「料金未払い」などを装ったSMSが代表的な手口です。
Bは「ビッシング(Vishing:Voice + Phishing)」、Cは「標的型攻撃メール」や「マルウェア感染」に関する説明です。フィッシングの派生形として、使用する媒体(SMS、音声、メール)によって名称が異なることを押さえておきましょう。
