こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子です。
私のところにも、ついに典型的なフィッシング詐欺(スミッシング)のSMSが届きました。今回は、非常に多く報告されている「WhatsApp」を騙る手口について、その実例画像を交えながら、セキュリティ専門家の視点で見破り方と対処法を徹底的に解説します。
これは、ITリテラシーに関わらず誰もが被害に遭う可能性のある脅威です。「自分は大丈夫」と思わず、ぜひ最後までご覧ください。
- 【実例】「whtas app」からの偽SMS
- 偽物を見破る4つのチェックポイント
- なぜ危険なのか? もしリンクをクリックしたら?
- 情報シス部が推奨する「絶対的」対処法
- 根本的な防御策:フィッシングに強い認証を導入する
- まとめ:セキュリティは「疑う習慣」と「仕組み」から
【実例】「whtas app」からの偽SMS
まずは、実際に私のスマートフォンに届いたメッセージをご覧ください。
一見すると、公式サービスからの緊急アラートのように見えます。しかし、セキュリティ担当の目から見ると、これは「偽物」と断言できる典型的な特徴に溢れています。
偽物を見破る4つのチェックポイント
なぜこれが偽物だと断言できるのか。皆さんが同様のメッセージを受け取った際にも使える「見破るためのチェックポイント」を4つご紹介します。
1. 送信者名とリンクの「スペルミス」
最も分かりやすい点です。
- 送信者名:
whtas app - リンク:
whiatsapp.com
どちらも、本物の「WhatsApp」とはスペルが異なります。
whtas app(h と t が逆)whiatsapp(i が余計)
攻撃者は、本物のドメイン(whatsapp.com)が取得できないため、このように一目では気づきにくいスペルミス(タイポスクワッティング)を利用して、偽サイトへ誘導しようとします。
2. 機械翻訳のような「不自然な日本語」
次に注目すべきは「文章」です。
尊敬するユーザー様。
日本のサービスや、日本向けにローカライズされた外資系サービスが、このような機械翻訳(おそらく中国語の「尊敬的~」)に由来する不自然な敬称を使うことは、まずありません。
3. 不安を煽る「緊急性の演出」
ごアカウントに偽装アクセスの疑いが複数件確認されました。 直ちに安全認証を完了ください:
これは、フィッシング詐欺の常套手段です。 「アカウントが危険」「すぐにやらないと停止する」といった緊急性の高い文言で受信者を意図的にパニック状態にし、冷静に考える時間を与えずにリンクをクリックさせようとします。
セキュリティの鉄則ですが、本当に緊急性の高い通知であれば、SMSのリンクを踏ませるような雑な認証は要求しません。
4. SMSで認証を求める「不自然な誘導」
そもそも、WhatsAppのようなメッセンジャーアプリが、アカウントのセキュリティ認証をSMSのリンク経由で要求することは極めて稀です。 通常、認証やセキュリティチェックは「アプリ内」で完結するよう設計されています。
なぜ危険なのか? もしリンクをクリックしたら?
「リンクをクリックするだけなら大丈夫」と思っている方もいるかもしれませんが、それは大きな間違いです。
1. 巧妙な偽サイトによる情報窃取
リンク先には、本物のWhatsAppとそっくりなログイン画面が用意されている可能性が極めて高いです。そこで電話番号やパスワードを入力してしまうと、アカウントが乗っ取られます。
乗っ取られたアカウントは、あなたの友人や知人に対して、さらにフィッシング詐欺を仕掛けたり、金銭を要求したりする踏み台にされてしまいます。
2. マルウェア・スパイウェアの感染
リンクをクリックしただけで、不正なアプリ(マルウェア)やスパイウェアがスマートフォンにダウンロード・インストールされる危険性があります。
一度感染すると、あなたの位置情報、通話履歴、保存されている写真、さらにはネットバンキングのIDやパスワード、クレジットカード情報までもが攻撃者に筒抜けになる可能性があります。
3. 【企業リスク】業務端末で踏んでしまったら?
これがもし、個人のスマートフォンではなく「会社の業務端末」だったらどうなるでしょうか。
情シス部門のセキュリティ担当としては、これが最も恐れるシナリオの一つです。 業務端末がマルウェアに感染した場合、その端末を踏み台にして、社内ネットワークへ侵入される危険性があります。
たった1本のSMSがきっかけで、顧客情報や技術情報といった企業の最重要機密が漏洩し、経営を揺るがす重大インシデントに発展する可能性もゼロではないのです。
情報シス部が推奨する「絶対的」対処法
このようなSMSが届いた場合、取るべき行動は非常にシンプルです。
1. 【鉄則】絶対にリンクをクリックしない
これがすべてです。少しでも「怪しい」と思ったら、触らないでください。
2. 【推奨】無視して削除する
不安を煽る内容が書かれていますが、すべて「嘘」です。返信などもってのほかです。(「受信可能な番号」だと攻撃者に教えることになります) 何もせず、メッセージごと削除してください。
3. 【確認の鉄則】不安な場合は「公式アプリ」から確認する
「もしかしたら本当かも…」と不安が消えない場合は、絶対にSMSのリンクからではなく、以下の安全な方法で確認してください。
- いつも使っている公式アプリを開いて、異常がないか確認する。
- 自分でブックマーク(お気に入り)している公式サイトからログインして、通知が来ていないか確認する。
本物のサービスから重要なお知らせがあれば、必ずアプリ内や公式サイトの正規ルートでも確認できるはずです。
根本的な防御策:フィッシングに強い認証を導入する
「注意する」「リンクを踏まない」という個人のリテラシーに頼る対策(=ヒューマンエラー対策)には、残念ながら限界があります。
セキュリティ専門家としては、「万が一、騙されてIDとパスワードを入力してしまっても、アカウントが乗っ取られない」仕組み、すなわちシステム的な防御を導入することを強く推奨します。
1. パスワードマネージャーの導入
フィッシングサイトは、本物のサイトとURL(ドメイン)が必ず異なります。
パスワード管理ツール(1Passwordなど)は、この「ドメイン」を認識してIDとパスワードを自動入力します。そのため、偽サイト(ドメインが異なる)では自動入力が機能しません。
「あれ、いつも自動入力されるのに入力されないぞ?」
この違和感が、偽サイトだと気づくための強力なアラートになります。 以下の記事で、OS標準機能との違いや、なぜ専用ソフトが推奨されるのかを解説しています。
- 【専門家が比較】パスワード管理ツールおすすめ5選|OS標準機能と専用ソフト(1Passwordなど)の違いは? - 城咲子|情報システム部セキュリティ担当のつぶやき
- 1Passwordレビュー|情シス担当が安全性と使い方を解説 - 城咲子|情報システム部セキュリティ担当のつぶやき
2. 最強の防御:「ハードウェアセキュリティキー」の導入
フィッシング対策として、現在最も強力なのが「ハードウェアセキュリティキー」の導入です。
これは、YubiKey(ユビキー)に代表される、物理的な鍵(キー)を使った多要素認証(MFA)です。
たとえ、フィッシングサイトでIDとパスワードが盗まれても、攻撃者は「物理的なキー」を持っていないため、絶対にログインできません。
今回のようなSMSを使った認証(2段階認証)も、認証コードを入力させる偽サイトを作られると突破されてしまいますが、物理キーはその場に「モノ」がないと認証できないため、リモートからの攻撃であるフィッシングに対してはほぼ無敵と言えます。
詳しくは以下の記事で解説していますが、個人でも導入できる非常に有効なセキュリティ投資です。
- 【CISSPが解説】ハードウェアセキュリティキーとは?YubiKeyで実現する最強のMFAとパスワードレス認証 - 城咲子|情報システム部セキュリティ担当のつぶやき
- 【専門家レビュー】YubiKey 5C NFCは買うべき?使い方から設定、評判まで徹底解説 - 城咲子|情報システム部セキュリティ担当のつぶやき
▼【Amazon】YubiKey (USB-C) | PCやスマホにそのまま挿せるNFC対応版
▼【Amazon】YubiKey (USB-A) | 従来のUSBポート用
まとめ:セキュリティは「疑う習慣」と「仕組み」から
今回の「whtas app」を騙る手口は、非常に古典的でありながら、今なお被害が報告され続けているスミッシングの典型例です。
攻撃者は、私たちの「うっかり」や「不安な心理」につけ込んできます。
「自分は大丈夫」という過信が、最も危険です。
不審なメッセージは「まず疑う」。そして「リンクは絶対に押さず、公式アプリから確認する」。 この「疑う習慣」を徹底することが、第一の防御策です。
そして、万が一騙されてしまった場合に備えて、パスワードマネージャーやハードウェアセキュリティキーといった「仕組み(システム)」で守る対策を導入すること。
この「習慣」と「仕組み」の両輪で、あなた自身と、あなたの所属する組織(会社)の情報を守っていきましょう。
