トップ > サイバーセキュリティ > 【実録】りそな銀行を騙るSMS受信。「通常と異なる取引」は詐欺!セキュリティ担当が見破った3つの嘘

【実録】りそな銀行を騙るSMS受信。「通常と異なる取引」は詐欺!セキュリティ担当が見破った3つの嘘

サイバーセキュリティ 認証セキュリティ フィッシング詐欺の手口と対策
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

りそな銀行フィシング詐欺ショートメール

こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子 (CISSP保有) です。

先日、私のスマートフォンに上のようなSMS(ショートメッセージ)が届きました。

【りそな銀行】お客様の口座で通常と異なる取引が確認されました。本人認証の設定はこちらへ。 https://t.co/e6g8QoU...

一瞬「おや?」と思わせる、緊急性を煽る内容です。

しかし、これは典型的な「スミッシング(Smishing)」と呼ばれる、SMSを利用したフィッシング詐欺の一種です。

幸い、私はセキュリティ担当者としての「職業病」が働き、一瞬で詐欺だと見破れました。

  • なぜこれが100%詐欺だと断言できるのか?(見破り方)
  • スミッシングとは何か?(手口の解説)
  • もしリンクを開いてしまったら?(対処法)
  • 二度と騙されないための根本対策

今回は、私がなぜこれを即座に詐欺だと判断できたのか、その見分け方と、万が一リンクを開いてしまった場合の対処法を、専門家の視点から徹底解説します。この記事を読めば、あなたも巧妙なSMS詐欺を見破る「目」を養うことができます

▼ 他のフィッシング手口(メール、偽サイト等)も知りたい方はこちら

【手口別まとめ】
>>【手口別】フィッシング詐欺の最新事例まとめ|SMS・メール・偽サイトの見破り方を専門家が解説

なぜこれが「詐欺」だと断言できるのか?瞬時に見破った3つのチェックポイント。これは他のスミッシングにも応用できる普遍的なチェックポイントです。

私がこのSMSを「詐欺」だと断言できる理由は、非常にシンプルです。

この3つのポイントは、皆さんが同様のメッセージを受け取った際にも必ず役立つ判断基準ですので、ぜひ覚えてください。

チェックポイント1: そもそも、その銀行に口座を持っていますか?

まず、最も単純な事実ですが、私はりそな銀行に口座を持っていません。

「なんだ、そんなことか」と思われるかもしれませんが、これは詐欺を見破る上で非常に重要な点です。 攻撃者は、入手した電話番号リストに対し、銀行名を変えて無差別にSMSを送信しています。いわゆる「ばらまき型」の手口です。

当然、受信者の中には本当にその銀行の口座を持っている人もいます。 攻撃者は、その「当たり」の人が不安に駆られてリンクをクリックすることだけを狙っています。

「口座を持っていない銀行」からの通知は、100%詐欺です。まずはこの時点で無視して問題ありません。

チェックポイント2: URLが「t.co」など、銀行と無関係ではありませんか?

次に、仮にりそな銀行の口座を持っていたとしても、このSMSは詐欺だと断言できます。 その理由はリンク先のURLです。

https://t.co/e6g8QoU...

この t.co というドメインは、X(旧Twitter)が使用する短縮URLサービスのものです。 りそな銀行のような金融機関が、お客様への極めて重要な本人認証の案内に、X(旧Twitter)の短縮URLを使うことは絶対にあり得ません。

もし正規の案内であれば、必ず resonabank.co.jp のように、その企業の正規ドメインが含まれたURLが使われます。攻撃者が短縮URLを使うのは、本当のリンク先(偽サイト)を隠蔽し、クリックを誘導するためです。

攻撃者がわざわざ短縮URLを使う理由は、主に以下の2点です。

  1. URLを偽装するため: 一見してどのサイトに飛ぶかわからなくするため。
  2. 追跡と変更を容易にするため: どれくらいの人がクリックしたかを計測したり、万が一偽サイトが閉鎖されてもリンク先を別の偽サイトに差し替えたりするため。

t.cobit.ly のような、見慣れない短縮URLが使われている時点で、詐欺を強く疑ってください。

チェックポイント3: 銀行がSMSで「緊急性の高い本人認証」を求めますか?

最後に、セキュリティの原則に立ち返るポイントです。

金融機関が、SMSやEメールで「不正利用が検知された」「口座がロックされた」といった緊急性の高い警告を送り、リンク先に直接アクセスさせて重要情報(ID、パスワード、暗証番号など)を入力させることは、原則としてありません。

なぜなら、その手法自体がフィッシング詐欺の典型であり、金融機関自身が最も注意喚起していることだからです(1)。

本当に緊急対応が必要な場合、まずは公式アプリの通知郵送電話など、より安全な手段で連絡があります。

「通常と異なる取引」「本人認証の設定」といった言葉で受信者の不安を極度に煽り、冷静な判断を奪おうとする手口こそが、詐欺の最大の特徴です。

「スミッシング」とは?巧妙化するSMS詐欺の目的

今回のようなSMSを使った詐欺行為を、今回のようなSMSを使ったフィッシング詐欺を「スミッシング(Smishing)」(SMS + Phishing)と呼びます。

特徴: スマートフォンのSMSに直接届くため、メールよりも開封率が高い傾向があります。また、URLをタップしやすいため、被害に繋がりやすいとされています。

騙る組織: 銀行だけでなく、宅配業者(不在通知)、電力・ガス会社(未納通知)、ECサイト(アカウント停止)、公的機関(税金督促)など、多岐にわたります。

スミッシングの手口と目的

スミッシングの目的は、受信者を偽のWebサイト(フィッシングサイト)に誘導し、以下の情報を盗み取ることです。

  • インターネットバンキングのログインID、パスワード
  • 暗証番号、ワンタイムパスワード
  • クレジットカード番号、有効期限、セキュリティコード
  • 氏名、住所、生年月日などの個人情報

攻撃者は、銀行だけでなく、宅配業者(「お荷物のお届けにあがりましたが不在の為持ち帰りました」)、電力・ガス会社(「未払いの料金があります」)、ECサイト(「Amazonのアカウントが停止されました」)、国税庁(「税金の未納があります」)など、あらゆる組織になりすまします。

手口は巧妙化しており、本物と見分けがつかないほど精巧な偽サイトが用意されていることも珍しくありません。

引用: りそな銀行も公式に注意喚起

事実、りそな銀行の公式サイトでも、このようなSMSは詐欺であると明確に注意喚起されています。

以下のようなSMSやメールはりそな銀行から送信しておりません。
身に覚えのないメールは開かず削除していただきますようお願い申し上げます。
<不正なSMSの例>
【りそな銀行】お取引の確認(あるいはお知らせ)
【りそな銀行】お客様の口座で通常と異なる取引が確認されました

引用: りそな銀行を騙った不正な電子メール・SMSにご注意ください|りそな銀行

このように、公式サイト側が「送らない」と明言していることからも、今回のSMSが偽物であることは明らかです。

もしリンクをクリックしてしまったら?(被害に遭わないための対処法)

万が一、うっかりリンクをタップしてしまった場合の対処法です。慌てず、しかし迅速に行動しましょう。

「もし、うっかりリンクをクリックしてしまったらどうなるの?」

「情報を入力してしまったかもしれない…」

と不安に思う方もいるかもしれません。落ち着いて、状況別に以下の対処をしてください。

ステップ1: リンクをクリックしたが、何も入力していない場合

対処法: すぐにブラウザを閉じてください。

リンクをクリックして偽サイトが表示されただけ(まだ何も入力していない)であれば、直ちに情報が盗まれる可能性は低いです。慌てずにブラウザのタブやアプリを終了させてください。

ただし、稀にマルウェアをダウンロードさせようとするサイトもあるため、念のためスマホのセキュリティソフトでスキャンを実行するとより安全です。

ステップ2: IDやパスワードを入力してしまった場合

対処法: 直ちに「本物の」サイトでパスワードを変更してください。

偽サイトだと気づかずにログインIDやパスワードを入力してしまった場合は、即座に攻撃者にその情報が渡っています。

絶対にその偽サイト上では操作を続けず、ご自身でブックマークしている「本物の公式サイト」や「公式アプリ」からログインし、直ちにパスワードを変更してください。

もし他のサービスでも同じパスワードを使いまわしている場合、それら全てのパスワードも変更する必要があります。

→ 安全なパスワード管理方法はこちらの記事で解説

ステップ3: 暗証番号やカード情報を入力してしまった場合

対処法: 直ちに銀行・カード会社に電話し、利用停止を依頼してください。

これは最も危険な状態です。暗証番号やクレジットカード情報を入力してしまった場合、即座に不正送金や不正利用が行われる可能性があります。

今すぐ、カードの裏面や公式サイトに記載されている緊急連絡先(コールセンター)に電話し、「フィッシング詐欺に遭い、情報を入力してしまった」と伝え、口座の利用停止やカードの無効化を依頼してください。

その後、最寄りの警察署、または警察相談専用電話「#9110」に連絡し、被害を届け出てください。

専門家が推奨する「騙されない」ための根本対策

私は情報システム部で「自分が動くのではなくルールを変えて人と組織を動かす」ことを信条としていますが、個人のセキュリティ意識も同様に「ルール(心構え)」で強化できます。

攻撃者は、私たちの「うっかり」や「不安」という心の隙を突いてきます。 以下の3つの「心構え」を徹底してください。

  1. SMSやメールのリンクから「絶対に」金融機関サイトにログインしない。 これが最も重要です。取引の確認は、必ず「自分でインストールした公式アプリ」か「自分でブックマークした公式サイト」から行う癖をつけてください。
  2. 送信元を「信用しない」。 SMSの送信元に「りそな銀行」と表示されていても、それは簡単に偽装できます。表示名を信用してはいけません。
  3. 常に「疑う」。 「自分だけは大丈夫」という思い込みが一番危険です。「これは詐欺かもしれない」と一瞬立ち止まる冷静さが、あなたの資産を守ります。フィッシング対策協議会も、常に注意を払うよう呼びかけています(2)。

まとめ:この事例から学び、他の詐欺にも備えよう

今回ご紹介した「りそな銀行」を騙るSMSは、スミッシング詐欺の典型的な手口です。

私は「口座を持っていない」「URLが短縮URL(t.co)」「銀行はSMSでこんな連絡はしない」という3つの理由で即座に見破れました。

万が一、ご自身が口座を持っている銀行からであっても、「SMSやメールのリンクからはログインしない」という鉄則さえ守っていれば、被害に遭うことはありません。

こうしたサイバー攻撃の手口を知っておくことこそが、最も効果的な防御策となります。

▼ より網羅的なフィッシング対策(7つの鉄則)はこちら

また、フィッシング詐欺によるアカウント乗っ取りに対しては、YubiKeyのようなハードウェア認証ツールを利用するのが鉄壁の防御策となります。

私は、1Password によるパスワード管理に加えて、YubiKey 5C NFC を使った物理認証でID/パスワードという資産を守っています。「タッチしない限り」フィッシング詐欺で乗っ取りされません。

Yubico セキュリティキー YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2段階認証/高耐久性/耐衝撃性/防水

Yubico セキュリティキー YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2段階認証/高耐久性/耐衝撃性/防水

  • Yubico
Amazon

(この記事は、実際に受信したSMSを基に、セキュリティ専門家としての知見を加えて作成した注意喚起記事です。)