こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。
先日、私のスマートフォンに上記のようなSMSが届きました。
私は仕事や海外旅行でWhatsApp(ワッツアップ)を利用しているため、一瞬「おや?」と思いましたが、これは100%断言できるフィッシング詐欺(スミッシング)です。
結論から言えば、リンク(https://whssitspp.com)は絶対にクリックしてはいけません。
この記事では、なぜこれが詐欺だと断言できるのか、そして、万が一「本物かも?」と不安になった場合にセキュリティ専門家が実際に行う「安全な確認手順」を、実録として徹底解説します。
- なぜ「詐欺」だと一瞬で見抜けたのか? 3つの決定的理由
- 専門家が実際に行った「安全確認」の鉄則と手順
- もし不安なら今すぐ設定すべきWhatsAppの2大セキュリティ機能
- まとめ:怪しいSMSは「無視」して「公式アプリ」で確認
- フィッシング詐欺関連記事一覧
なぜ「詐欺」だと一瞬で見抜けたのか? 3つの決定的理由
送られてきたSMSは以下の文面です。
お知らせ:アカウントに異常ログインを検出。12時間以内に本人確認を完了してください:
https://whssitspp.com
一見すると公式通知のようにも見えますが、セキュリティの専門家から見ると、不審な点が満載です。
1. URLのドメイン名が「whssitspp.com」
最大の理由は、URL(ドメイン名)です。
- 本物:
whatsapp.com - 偽物:
whssitspp.com
whssit と spp という、本物の whatsapp とは似ても似つかない文字列になっています。これは、一見して見間違えやすい文字列を並べたり(タイポスクワッティング)、それらしく見せかけたりする詐欺サイトの典型的な手口です。
公式サービスからの通知で、公式サイトと異なるドメインが使われることは絶対にありません。
2. 「12時間以内」と緊急性を煽っている
「異常ログインを検出」「12時間以内に確認を」といった文言は、受信者の不安や焦りを煽るための常套手段です。
人間は「早く対応しないと大変なことになる」と焦ると、冷静な判断力を失い、リンクを不用意にクリックしてしまいます。攻撃者は、まさにその心理状態を狙っています。
3. 送信元が「whatsApp」という安易な表示
重大なセキュリティ通知が、このような単純なテキスト表示名(しかも小文字の w から始まっている)で送られてくることは稀です。多くの場合、認証された送信元番号や、国際的な通知番号などが使用されます。SMSの送信元表示は偽装が容易であるため、送信元名だけで信用してはいけません。
これらの手口は、フィッシング詐欺の典型です。より詳しい手口のパターンについては、こちらの記事でも解説しています。
【手口別】フィッシング詐欺の最新事例まとめ|SMS・メール・偽サイトの見破り方
専門家が実際に行った「安全確認」の鉄則と手順
「これは詐欺だ」と99%確信していても、万が一の可能性を考えて「本当に不正ログインされていないか?」を安全な方法で確認するのがプロの対応です。
私が実際に行った手順は以下の通りです。
ステップ1:SMSのリンクは「絶対に」タップしない
これは大原則です。攻撃者が用意したリンクをタップした時点で、マルウェアに感染したり、本物そっくりの偽サイトに飛ばされたりする危険があります。絶対にタップしてはいけません。
ステップ2:スマートフォンの「公式アプリ」から起動する
SMSからではなく、自分が普段から使っている「WhatsApp」の公式アプリを直接起動します。 もしアプリをインストールしていなければ、App StoreやGoogle Playストアから「WhatsApp」と検索してインストールします。
「通知が来たから」といって通知経由でアクセスせず、「自分の意志で」公式アプリにアクセスすることが重要です。
ステップ3:公式アプリで「不審なアクティビティ」を確認する
公式アプリにログインし、不審な動きがないかを確認します。 WhatsAppの場合、特に確認すべきは「リンク済みデバイス」です。
これは、自分のスマホ以外に、どのPCやタブレットでWhatsAppが利用可能になっているか(=ログインされているか)の一覧です。
▼確認方法(iPhone/Android共通)
- WhatsAppアプリを開く
- 「設定」メニューを開く
- 「リンク済みデバイス」をタップ
ここに、自分が見覚えのないPC(WindowsやMacなど)やブラウザ(Chrome, Safariなど)が表示されていたら、即座にそれをタップし「ログアウト」を選択してください。
私の場合、ここには見覚えのある自分のPCしかリンクされておらず、異常はありませんでした。
ステップ4:最強の防御設定が「有効」であることを確認する
最後に、自分のアカウントの防御設定が、意図せず変更されていないかを確認します。 この設定が「有効」である限り、たとえパスワードが漏れても第三者があなたのアカウントを乗っ取ることはほぼ不可能です。
▼確認すべき設定
- 2段階認証(PINコード)
設定 > アカウント > 2段階認証- これが「オン」になっており、自分が設定した6桁のPINコードが有効であることを確認します。
- パスキー
設定 > アカウント > パスキー- これが有効になっていることを確認します。パスキーは、SMSやパスワードに代わる、より安全な本人認証の仕組みです。
私のアカウントでは、これらの設定がすべて有効なまま変更されていないことを確認できました。
この時点で、「SMSは詐欺であり、実害も発生していない」ことが確定しました。 あとは、この詐欺SMSを削除し、送信元をブロックして完了です。
もし不安なら今すぐ設定すべきWhatsAppの2大セキュリティ機能
今回の私のように「異常なし」と自信を持って言えるのは、日頃からセキュリティ設定を万全にしているからです。
もし、まだ設定していない方がいれば、この機会に必ず設定してください。
1. 2段階認証 (PINコード)
新しいスマートフォンでWhatsAppを再設定する際に、SMS認証コードに加えて「6桁のPINコード」の入力を必須にする機能です。
万が一、攻撃者があなたの電話番号を乗っ取ってSMS認証を突破したとしても、このPINコードがわからなければ、あなたのアカウントを有効化(アクティベート)できません。
- 設定方法:
設定 > アカウント > 2段階認証 > オンにする
2. パスキー (Passkey)
パスワードやSMS認証コードの代わりに、スマートフォンの生体認証(顔認証や指紋認証)を使って安全にログインできる仕組みです。
フィッシング詐欺で盗み取られる「パスワード」自体を使わないため、非常に強力な防御策となります。
- 設定方法:
設定 > アカウント > パスキー > 作成
これらの設定方法や、フィッシング詐欺全般への対策については、こちらの総まとめ記事もぜひご覧ください。
【完全版】フィッシング詐欺に絶対騙されない!最新手口と専門家が教える7つの対策
まとめ:怪しいSMSは「無視」して「公式アプリ」で確認
今回の手口は、WhatsAppユーザーの不安を煽る典型的なフィッシング詐欺(スミッシング)です。 重要なのは、「SMSのリンクを信じない」ことです。
「公式を名乗る通知が来たら、公式アプリ(または公式ブックマーク)から確認しに行く」
この鉄則を守るだけで、フィッシング詐欺の被害は99%防ぐことができます。 そして、残りの1%に備えて「2段階認証」や「パスキー」を設定しておく。これが専門家として推奨する完璧な防御策です。
特に YubiKey などのハードウェア認証を設定しておくと、自身が「物理タッチ」しない限りはログイン認証されないので、最強のフィッシング詐欺対策になります。かつ、自身が「物理タッチ」していない場合に今回のようなメールが届いても「タッチしていないから安全で大丈夫」と即座に判断できるようになります。
私は、1Password に加え、物理認証として普段使いに YubiKey 5C NFC を愛用しています。
