SMSフィッシングの手口が年末に向けて巧妙化、ポイント獲得や税務署の通知を装ってモバイルウォレット連携を狙う

ショートメッセージサービス(SMS)を使ったフィッシング詐欺を働くグループが、これまでの「荷物の行方不明」や「未払いの通行料」といった手口から巧妙化し、年末のホリデーシーズンに合わせてポイント付与や税金の納付案内を装ってモバイルウォレット連携を狙う手口が登場していると、セキュリティ専門家であるブライアン・クレブス氏が警告しています。

SMS Phishers Pivot to Points, Taxes, Fake Retailers – Krebs on Security
https://krebsonsecurity.com/2025/12/sms-phishers-pivot-to-points-taxes-fake-retailers/

従来のフィッシング詐欺は、ユーザーに不安を与えてリンクをクリックさせるものが主流でしたが、今回クレブス氏が警鐘を鳴らしている手口は、金銭的な利益を直接餌にする形に変わっています。

具体的な手口として、詐欺グループはSMSの誘い文句として、未請求の税金還付やリワードポイントの獲得を約束するものを使用し始めているとのこと。例えば、特定の通信キャリアを契約している顧客に対し、大量のポイント獲得をうたう偽のウェブサイトが大量に登録され、詐欺メッセージを通じて宣伝されています。

さらに、だまし取った決済情報を利用してモバイルウォレットに連携させるというのが、今回の手口の新しいポイント。ユーザーに決済カード情報を入力させた後、銀行から送られてくるワンタイムコードを要求します。このワンタイムコード自体は、決済用カードの詳細をAppleやGoogleのモバイルウォレットに登録する過程で銀行が発行する正式なものですが、このコードをサイトに入力してしまうと、詐欺グループは被害者のカードを制御するスマートフォンなどの端末にリンクできるようになってしまいます。

また、ある事例では、アメリカの州税務当局になりすまし、受信者に未請求の税金還付があると伝える詐欺も確認されています。ここでも、ユーザーの決済カード情報とワンタイムコードをだまし取ることが目標となっています。

偽の通販サイトは、従来のフィッシング詐欺で使われるドメインのようにすぐに悪意のあるものとしてフラグが立てられにくく、チェックアウトプロセス中にのみ悪意のあるコードを取得するため、ウェブの一斉スキャンによる発見が困難。多くのユーザーは、購入した商品が数週間経っても届かないと気付くまで、だまされたことを認識できません。

SMSでリンクが送られるだけでなく、偽の通販サイトは本物を装って、特定の商品の割引情報を堂々と広告するケースもあるとのこと。こうした広告はGoogleやFacebookにも出されており、検索結果からたどり着いてしまうこともあります。

さらに、詐欺グループは偽の通販サイトを大量に作成できるフィッシング詐欺用キットを販売しているとのこと。どれだけブロックしても雨後のたけのこがごとく、偽の通販サイトが新たに作られてしまう状態になっています。

SMSフィッシングスパムの急増は中国で人気のフィッシングキットの新機能の影響か - GIGAZINE

セキュリティ研究者のフォード・メリル氏によれば、年末は急いでオンラインショッピングを行う人が多く、結果として注意力が散漫になってフィッシング詐欺にひっかかりやすくなるとのこと。まずは対策として未請求の税金還付や高額ポイント付与など、甘い話は疑うことが重要。SMSで注文や配送に問題があると警告されても、メッセージ内のリンクや添付ファイルを安易にクリックせず、必ず公式の通販サイトや配送サービスのページに直接アクセスして状況を確認することを心掛ける必要があります。

また、アクセスするサイトのドメイン作成日をWHOIS検索などでチェックしたり、送料や手数料が高すぎないか、返品ポリシーは理解できるか、隠れた追加料金がないかなどを確認したりすることも対策として挙げられています。加えて、クレブス氏は「最も重要な対策として、クレジットカードの明細書を毎月注意深く監視し、身に覚えのない請求は迅速に異議を申し立てることが鍵」と述べました。