以下の内容はhttps://infomation-sytem-security.hatenablog.com/entry/whatsapp-smishing-whtasappより取得しました。

「whtas app」からの「異地ログイン」SMSは詐欺!情シスが教える手口の見抜き方と対策

フィッシング詐欺の手口と対策 サイバーセキュリティ SNSセキュリティ 認証セキュリティ
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

私のもとにも届いた、巧妙なフィッシングSMS

こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。

先日、私のスマートフォンにもこんなSMS(ショートメッセージ)が届きました。

whatsapp偽SMSスミッシング

一見すると、メッセージングアプリ「WhatsApp」からの緊急警告のように見えます。「アカウントの異地ログインが複数回ありました」と不安を煽り、すぐにリンクをクリックさせようとする手口です。

しかし、セキュリティの専門家である私の目から見れば、これは典型的なフィッシング詐欺(スミッシング)です。

今日は、なぜこれが詐欺だと断言できるのか、その見抜き方と、私たち(特に企業人として)が取るべき正しい対策について解説します。

なぜこれが「詐欺」だと断言できるのか?

このSMSが偽物である理由は、非常に分かりやすい「間違い」を複数含んでいるからです。

1. 送信者名のスペルミス

まず、送信者の名前が「whtas app」となっています。 正しいスペルは「WhatsApp」です。「h」と「t」の位置が逆になっています。詐欺師は、こうした微妙なスペルミスでフィルタリングを回避しようとすることがあります。

2. リンク先のドメインが公式と全く異なる

SMSに記載されているリンクは whastitopp.com というURLです。 WhatsAppの公式ドメインは whatsapp.com です。全く関係のないドメインに誘導しようとしている時点で、100%詐欺と判断できます。

3. 緊急性を煽り、冷静な判断を奪おうとする

「異地ログインが複数回」「安全のため手動認証をすぐに実施」といった言葉は、受信者の不安を最大限に煽るための常套句です。

「すぐにやらなければ!」と焦らせることで、リンク先が本物かどうかを冷静に確認する時間を与えず、クリックさせようとします。これが彼らの狙いです。

この手口「スミッシング」の危険性

このようなSMSを使ったフィッシング詐欺を、特に「スミッシング (Smishing)」と呼びます。(SMS + Phishing = Smishing)

もし、このリンクをクリックしてしまうと、WhatsAppの偽ログイン画面が表示される可能性が非常に高いです。そこで電話番号やパスワード、あるいは認証コードを入力してしまうと、以下のような被害に遭う危険があります。

  • アカウントの乗っ取り: あなたのアカウントが乗っ取られ、登録されている友人や家族に、あなたになりすまして詐欺メッセージが送られます。
  • 個人情報の窃取: 端末に保存されている連絡先や、さらなる個人情報(クレジットカード情報など)の入力を求められる可能性もあります。
  • マルウェアの感染: リンク先で不正なアプリをインストールさせられ、スマートフォン自体がマルウェアに感染するリスクもあります。

個人のアカウント乗っ取りは、友人関係への被害だけでなく、もしそのアカウントで仕事関係者と繋がっていた場合、ビジネス上の信用問題や情報漏洩インシデントに発展しかねません。情シスの立場としては、「個人の油断」が「組織のリスク」に直結することを常に危惧しています。(私の信条は「属人性の徹底排除、チームとして行動すべし」[2025-08-28]ですが、まずは個々人のリテラシー向上が大前提です)

アカウントを守るために私たちが取るべき対策

では、このようなSMSが届いた場合、どうすればよいのでしょうか。そして、日頃からどのような備えをしておくべきでしょうか。

1. 疑わしいSMSは「絶対に無視・削除」

まず大前提として、リンクをクリックしてはいけません。すぐにメッセージごと削除してください。

2. 確認は「公式アプリ」から行う

もし「本当に不正ログインがあったらどうしよう」と心配になった場合は、SMSのリンクからではなく、ご自身でスマートフォンにインストールしている「公式のWhatsAppアプリ」を開いて、アカウントのアクティビティやセキュリティ設定を確認してください。

本当に異常があれば、公式アプリ内に警告が表示されるはずです。

3. アカウントの「認証」を徹底的に強化する

このような詐欺の被害を防ぐ根本的な対策は、万が一パスワードが漏れてもアカウントが乗っ取られないよう、「認証」を強化することです。

具体的には、以下の2ステップをお勧めします。

ステップ1: 強力なパスワードを「パスワードマネージャー」で管理する サービスごとに異なる、複雑で推測不可能なパスワードを設定することが基本です。しかし、それを人間の頭で覚えておくのは不可能です。 私は1Passwordのようなパスワードマネージャーの利用を強く推奨しています。これにより、安全なパスワードの生成と管理を自動化できます。

パスワード管理の重要性については、以下の記事でも詳しく解説しています。

【専門家が比較】パスワード管理ツールおすすめ5選|OS標準機能と専用ソフト(1Passwordなど)の違いは?

ステップ2: 「多要素認証(MFA)」を最強にする パスワード(知識情報)に加え、SMS認証コード(所持情報)などを組み合わせるのが多要素認証(MFA)です。

しかし、SMSは今回のように傍受されたり、フィッシングで盗まれたりするリスクがあります。 可能であれば、SMS認証よりも安全な「認証アプリ(TOTP)」や、YubiKeyのような「物理セキュリティキー(FIDO)」の導入が理想です。

特にYubiKeyは、フィッシングサイトでは動作しない(ドメインを検証するため)という強力な耐性を持っており、対応サービスにおいては最強の防御策となります。

YubiKeyを使った認証強化については、こちらの記事も参考にしてください。

【CISSPが解説】ハードウェアセキュリティキーとは?YubiKeyで実現する最強のMFAとパスワードレス認証

  • Yubico

まとめ

今回は、WhatsAppを騙る巧妙なスミッシングの手口をご紹介しました。 スペルミスやドメインの違いに気づけば、偽物であることを見抜くのは難しくありません。「怪しいリンクは絶対にクリックしない」「確認は公式アプリから」という基本動作を徹底しましょう。

そして、日頃から1PasswordやYubiKeyといったソリューションを活用し、ご自身のアカウントの「認証強度」を高めておくことが、最も確実な防衛策となります。



以上の内容はhttps://infomation-sytem-security.hatenablog.com/entry/whatsapp-smishing-whtasappより取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14