スミッシングとは何か、そしてそれに対して自分を守る方法は？

スミッシングは、SMSフィッシングの略で、詐欺師が欺瞞的なテキストメッセージを使用して個人から機密情報を得るサイバー犯罪の手法です。これらのメッセージはしばしば、銀行、仮想通貨プラットフォーム、または政府機関などの信頼されている団体からのものであるように見えます。スミッシングは、個人アカウントへの不正アクセス、金銭的損失、さらにはアイデンティティの盗難につながる可能性があります。

 

スミッシング詐欺は仮想通貨市場に重大なリスクをもたらします。詐欺師は仮想通貨取引所やウォレットプロバイダになりすまして被害者を誘い込み、秘密鍵、パスワード、またはシードフレーズを開示させることがあります。この記事では、スミッシングとは何か、その仕組み、実際の例、そして自分を守るための実行可能な手順について理解するのに役立ちます。

 

スミッシング攻撃の様々な段階 | 出典: Terranova Security

 

スミッシングはソーシャルエンジニアリングに依存しており、技術的な脆弱性ではなく人間の心理を利用する操作戦術です。通常、次のように展開されます。

 

1. おとり: 被害者は正当なように見えるテキストメッセージを受け取ります。それはアカウントの不審な活動の警告、報酬の約束、または資金を確保するための緊急の行動を要求するかもしれません。例としては次のようなものがあります。

• 「あなたのアカウントが侵害されました。情報を確認するにはこちらをクリックしてください：[悪意のあるリンク]。」

• 「$500のギフトカードに当選しました！今すぐ請求してください：[悪意のあるリンク]。」

• 「あなたのウォレットで異常なログインが検出されました。すぐに保護してください：[偽のサポート番号]。」

2. 偽装: スミッシングメッセージは信頼できる情報源からのものであるかのように見えることがよくあります。詐欺師は送信者名を偽装して、銀行、政府機関、または暗号通貨プラットフォームからのメッセージのように見せることができます。これにより、被害者が詐欺に引っかかる可能性が高まります。

3. フック: メッセージにはリンクや電話番号が含まれており、受信者に行動を促します。リンクをクリックすると、正当なウェブサイトを模したフィッシングサイトに誘導されます。被害者はログインや機密情報の提供を求められ、それが詐欺師に捕捉されます。

4. 結果: 被害者が情報を共有すると、詐欺師はアカウントにアクセスし、不正な取引を行ったり、盗まれたデータをダークウェブで売却したりすることがあります。

 

スミッシングは重要な脅威ですが、これは欺くことや盗むことを目的としたサイバー攻撃の広範な手法の一つに過ぎません。スミッシング、フィッシング、ビッシング、ファーミングの違いを分解して、これらの詐欺から身を守る方法を見つけましょう。

 

スミッシング vs. その他の暗号詐欺 | Fortinet

 

1. スミッシング（SMSフィッシング）

スミッシングは、テキストメッセージ（SMS）を使用して、被害者を欺き、機密情報を明かさせたり、悪意のあるリンクをクリックさせたりします。詐欺師はしばしば暗号通貨プラットフォームや銀行のような信頼できる団体を装い、緊急性を高めるために切迫したメッセージを送信します。

例:
「アカウントの停止を避けるために、直ちにアカウントを確認する必要があります。ここをクリックしてください: [悪意のあるリンク]。」

 

スミッシング攻撃の主な特徴

• テキストメッセージで配信されます。

• リンクや偽のサポート番号を含むことが多いです。

• 注意が行き届きにくいモバイルユーザーを対象としています。

2. フィッシング（メールフィッシング）

フィッシングは、被害者に個人情報、ログイン情報、または財務データを提供させるためにメールを使用します。これらのメールは、多くの場合、有名な組織からの公式な通信を模倣しています。

 

例:
暗号通貨取引所から来たように見えるメールで、「あなたのアカウントで疑わしい活動が検出されました。資金を保護するためにログインしてください：[フィッシングリンク]。」と記載されています。

 

フィッシング詐欺の主な特徴

• メールで配信されます。

• 偽のロゴ、公式風の言葉、緊急の要求を含むことが多いです。

• リンクは被害者をフィッシングウェブサイトに誘導します。

暗号フィッシング詐欺の見分け方とそれから身を守る方法をもっと学びましょう。 

 

3. ビッシング（ボイスフィッシング）

ビッシングは、銀行、技術サポート、または暗号通貨プラットフォームの代表者を装った詐欺師からの音声通話を伴います。これらの詐欺師は恐怖や緊急性を利用して、被害者に情報を共有したり支払いを行ったりするよう操作します。

 

例：
ある発信者があなたの暗号ウォレットプロバイダーからの者だと主張し、「あなたのウォレットが危険にさらされています。資金を保護するために2FAコードを共有してください。」と言います。

 

暗号市場でのビッシング詐欺から身を守る方法についての詳細はこちらをご覧ください。 

 

ビッシング詐欺の仕組み

• 電話による通話で行われます。

• 正当であるかのように見せかけるために偽装された電話番号を使用することが多いです。

• 威圧や緊急性のような社会工学的手法に依存します。

4. ファーミング（ウェブサイトリダイレクト）

ファーミングは、被害者を偽のウェブサイトにリダイレクトするためにウェブトラフィックを操作します。たとえ正しいURLを入力しても、これはDNS（ドメインネームシステム）サーバーの脆弱性を悪用するか、被害者のデバイス上のマルウェアを通じて行われます。

 

例:
暗号通貨取引所のURLを入力すると、マルウェアがログイン資格情報を取得するために似たようなサイトにリダイレクトします。

 

ファーミング攻撃の主な特徴

• ユーザーに知られずに偽のウェブサイトにリダイレクトします。

• リンクをクリックするなどのユーザーの行動に依存しません。

• 実行には技術的な専門知識が必要です。

スミッシングのような詐欺から自身と資産を守るための第一歩は、意識を持つことです。以下は、スミッシング詐欺がどのようなものかを理解するための例です: 

 

1. 偽のアカウントセキュリティアラート

ユーザーは以下の内容のメッセージを受け取ります:
「アラート: KuCoinアカウントで不審なログインが検出されました。今すぐ資金を保護してください: [悪意のあるリンク]。」

 

リンクは被害者をKuCoinの公式プラットフォームとそっくりなウェブサイトに誘導します。このページでは、ユーザーにログイン資格情報と2FAコードを入力するよう促されます。詐欺師はこの情報を使用してアカウントにアクセスし、資金を外部のウォレットに転送します。 

 

KuCoinからの正当な通知と同じスレッドにメッセージが表示されたため、被害者はこれが本物だと信じました。

 

2. KYC認証によるフィッシング

 

詐欺のSMSは被害者に通知します：
「アクションが必要です: KYC情報をすぐに更新しないと、アカウントは停止されます。ここで確認してください: [悪意のあるリンク]。」

 

ユーザーはアカウントの無効化を恐れてリンクをクリックし、政府発行のIDや個人データを含む機密情報をアップロードします。詐欺師はこのデータを使って身分盗難を行い、不正な暗号通貨取引を行ったり、被害者の名前でアカウントを作成したりする可能性があります。

 

3. 偽のサポート番号詐欺

 

被害者は次のようなメッセージを受け取ります:
「あなたのKuCoinアカウントは危険にさらされています。すぐに私たちのサポートチームに連絡してください。[偽の電話番号]」

 

それを本物だと思い込み、ユーザーはその番号に電話をかけ、アカウントの詳細やSMS認証コードを共有するように説得されます。詐欺師がアクセスを取得すると、出金を開始し、アカウントの残高を引き出します。

 

4. 偽の報酬通知

メッセージには次のように記されています:
「おめでとうございます！あなたは私たちのギブアウェイで0.2 BTCを獲得しました。ここで報酬を請求してください: [悪意のあるリンク]」

 

大きな儲けの可能性に興奮し、ユーザーはリンクをクリックし、ウォレットにログインするよう求められます。そのサイトは本物のプラットフォームを模して作られており、ログイン情報を捕捉します。詐欺師はこの情報を利用して被害者のウォレットを空にします。

 

5. 二要素認証 (2FA) の悪用

被害者は緊急のSMSを受け取ります：
「不審な活動のため、あなたのアカウントがロックされました。このコードを使用して本人確認をしてください：[コード]。」

 

詐欺師は被害者に電話をかけ、暗号通貨プラットフォームからの者を装い、アカウントを解除するためにコードを求めます。被害者は知らずに2FAコードを提供し、詐欺師はそれを使用して不正な取引を完了します。

 

これらの例は、詐欺師がどのように緊急性、恐怖、欲望を利用して被害者から機密情報を引き出すかを強調しています。彼らの手口を理解し、サインを見分ける方法を学ぶことで、自分自身と資産をよりよく守ることができます。

 

受け取ったメッセージの信憑性を常に確認し、信頼できる組織は決してあなたのプライベートキー、シードフレーズ、またはパスワードを求めないことを忘れないでください。

 

スミッシングが機能するのは、信頼、緊急性、感情に訴えるからです。このようなメッセージは：

 

• 本物のように見せる: 偽装された送信者名や公式のような言葉遣いが信頼性を高めます。

• パニックを引き起こす: アカウント侵害や緊急の締め切りについての警告は、被害者に考えずに行動するよう圧力をかけます。

• 報酬を約束する: 無料のお金や賞品の魅力は、人々を危険な行動に駆り立てます。

スミッシング詐欺を見抜く方法 | 出典: Palo Alto Networks

 

スミッシングの試みを識別するには、次のような警告サインを探してください:

 

1. 受信者が要求していないメッセージ: あなたが何かを獲得した、またはアカウントを保護する必要があると主張する未知の送信元からのテキストを受け取った場合、疑ってかかりましょう。

2. 緊急性を示す言葉: 「迅速な対応が必要です」や「アカウントが停止されます」などのフレーズは、パニックを引き起こすために設計されています。

3. 不審なリンク: （可能であれば）リンクにホバーして実際のURLを確認します。主張された送信者の公式ドメインと一致しない場合、それは詐欺の可能性があります。

4. 機密情報の要求: 正当な組織がパスワード、秘密鍵、またはシードフレーズをテキストメッセージで要求することはありません。

5. 文法やスペルの誤り: 多くのフィッシングメッセージには目立つエラーが含まれており、それが詐欺であることを示すことがあります。

スミッシング詐欺から自分を守るには、注意を怠らず、強力なセキュリティ対策を講じる必要があります。資産を保護するために実行可能な手順を以下に示します。これには、KuCoinからの推奨も含まれます。

 

1. 不明なリンクをクリックしたり、非公式のサポートに連絡したりしない

未確認のリンクをクリックしたり、不審なテキストメッセージに応答したりしないでください。これらのリンクは、ログイン情報を盗むためのフィッシングサイトにリダイレクトしたり、マルウェアをインストールしたりする可能性があります。

 

受信したメッセージの信頼性を常に確認してください。疑わしい場合は、公式ウェブサイトやサポートチャンネルを使用して、組織に直接連絡してください。

 

カスタマーサポートを名乗る偽のTelegramやWhatsAppグループに参加しないでください。KuCoinのユーザーは、常に公式のKuCoinサポートセンターを使用してください： https://www.kucoin.com/ja/support。

 

2. パスキーなどのマルチファクター認証（MFA）ツールを使用する

MFAを有効にすることで、アカウントのセキュリティが強化されます。KuCoinは、従来のパスワードに代わる安全で便利なオプションとしてパスキー機能を提供しています。

 

パスキーとは？

パスキーは、複数のデバイスでの身元確認を可能にし、パスワードだけに頼る必要をなくします。これにより、未承認のアクセスに対する強力な保護が提供されます。

 

KuCoinでのパスキーの追加方法：

• KuCoinアプリまたはウェブサイトで、ユーザーセンター > セキュリティ設定 > パスキーに移動します。

• 画面の指示に従って、アカウントにパスキーを有効にします。
  詳細なガイドについては、KuCoinの公式指示を参照してください：パスキー | KuCoin。

3. 個人の機密情報を共有しない

パスワード、クレジットカード番号、プライベートキー、シードフレーズなどの機密情報を開示しないでください。正当な組織は、テキストメッセージや電話でこの情報を要求することはありません。

 

公式な機関を装った詐欺師がいるため、一見信頼できる連絡先にも注意を払ってください。

 

4. 未確認のリンクをクリックしない

詐欺のテキストメッセージに含まれるリンクは、フィッシングサイトや悪意のあるダウンロードに誘導することがよくあります。リンクの正当性を確認してから行動を起こしてください。

 

リンクが悪意のあるものであると疑われる場合は、公式アプリやウェブサイトから直接サービスにアクセスしてください。

 

5. 自分自身を教育し、情報を収集する

一般的な詐欺やセキュリティのベストプラクティスについての知識を定期的に更新しましょう。KuCoinのブログのような信頼できるリソースを利用して、新たな脅威についての情報を得ましょう。

 

ネットワーク内の詐欺を防ぐために、セキュリティのヒントを友人や家族と共有して意識を高めましょう。

 

これらのステップに従い、KuCoinのパスキー機能のようなツールを活用することで、スミッシング詐欺の被害に遭うリスクを大幅に減らし、Web3エコシステム内で資産をよりよく保護できます。警戒を怠らず、暗号通貨の投資を管理する際は常にセキュリティを優先してください。

 

スミッシング詐欺に引っかかったと疑われる場合は、直ちに行動してください：

 

1. 切断: 詐欺師とのさらなるやり取りを避けます。彼らの番号をブロックしましょう。

2. アカウントの保護: パスワードを変更し、漏洩した情報に関連するすべてのアカウントで2要素認証を有効にします。

3. 事件の報告: 詐欺について銀行、暗号通貨取引所、またはウォレットプロバイダーに通知します。問題を報告することで、さらなる攻撃を防ぐことができます。

4. アカウントの監視: 不正な取引がないか、金融および暗号通貨アカウントを監視します。

5. 信用を凍結: 個人情報が共有された場合は、身元盗用を防ぐために信用を凍結することを検討します。

セキュリティを強化するための追加ツール

上記のステップに加えて、スミッシング詐欺から暗号資産を保護するために取ることができるさらなる予防策を以下に示します: 

 

• ハードウェアウォレット: 最大限のセキュリティのために暗号資産をオフラインで保管します。

• アンチマルウェアアプリ: KasperskyやNortonのようなアプリは悪意のあるリンクをブロックし、フィッシングの試みから保護します。

• セキュアなブラウザ: BraveやFirefoxのように、アンチフィッシング機能が組み込まれたブラウザを使用します。

スミッシングは特に暗号通貨の分野で増加している脅威です。業界が進化するにつれて、詐欺師の戦術も進化しています。資産を保護するためには、情報に通じ、警戒し、積極的な行動をとることが重要です。

 

このガイドで説明されているヒントや戦略に従うことで、スミッシングの試みを識別し、アカウントを保護し、すべての人にとってより安全なオンライン環境を作り出す手助けができます。Web3の非中央集権的な世界では、自分自身が最良の防衛手段であることを忘れないでください。賢く、安全に暗号通貨の旅を確保しましょう。

 

• 2025年に暗号資産を保管するためのトップセルフカストディアルウォレット

• 暗号ラグプルとは何か、そして詐欺を回避する方法

• トップ7のERC-20ウォレット: イーサリアム資産の保管と管理

• 暗号ラグプルとは何か、そして詐欺を回避する方法

• 暗号におけるトップフィッシング詐欺: それらを認識し、安全を保つ方法

• 暗号詐欺からモバイルデバイスを保護する方法