スミッシングとは、SMSを使ったフィッシング詐欺のことです。大手通信事業者からのお知らせや、宅配業者の不在通知を装い、正規サイトそっくりに偽造された請求サイトなどに誘い込み、クレジットカードやパスワードなどの重要情報を入力させて盗むのです。

攻撃の順序としては、正規の会社を装ったメッセージをSMSで送り、受信者がメッセージ内のURLにアクセスすると偽サイトが開きます。そこからいかにもありそうな手続きを要求されます。例えば、銀行の口座情報を更新しなければならないというような表示があると、つい正規の金融機関と信じて、IDやパスワードだけでなく、取引暗証番号などを入力してしまう方が多いのです。もしも、入力してしまうと、それらの情報は攻撃者に送信されて金融詐欺へとつながってしまいます。

また、宅配不在通知サービスでもこのような事例がありました。メッセージには、荷物を届けたが不在だったため、下記のURLで確認してほしいという内容で、そのサイトにアクセスするとアプリのダウンロード画面につながり、スマホ内に保存されている情報が盗み取られるようになっていました。

上図のような画面でURLからどのボタンを押してもアプリのインストール画面へと繋がってしまうのです。IPAの注意喚起のページを参考にして、端末設定によって提供元不明のアプリをインストールしないようにしておくことで、このような事態を防ぐことができるでしょう。

これまでは主にメールを使ったフィッシング詐欺が多かったのですが、近年、スマートフォンのSMS（ショートメッセージサービス）を使った金融詐欺が増えてきています。正規のものとほぼ変わらないウェブページによって、信用のある大手企業を装っているので騙されてしまう場合が多いのです。

これらの大手企業では、公式サイトでSMSを使った詐欺：スミッシングに対する注意喚起をしてはいますが、利用者自身が危機意識を持ってこのような詐欺に備えない限り、被害を防ぐことは難しいと思います。

対策方法として一番肝心なことは、知らないURLにアクセスする前によく確認することです。一般的にSMSから別サイトへ誘導することは多くはないので、URLが貼られているSMSはまず疑う必要があります。たとえ正規の金融機関名や有名な企業名を含むURLであったとしても、アクセス前の確認が重要です。また、このようなサイトに移動したとしても、アプリのダウンロードや個人情報の入力は避けましょう。アプリからウイルスに感染したり、個人情報が漏れたりしてしまうことがありますので、予期していないSMSのメッセージを受け取ったら十分に注意しましょう。