知っていますか？　増加の一途をたどる「スミッシング」

「携帯電話料金に未払い金があります。確認してください」——スマートフォンでこんなメッセージを受け取り、どきっとした覚えのある人は少なくないのではないでしょうか。この数年で、携帯電話・スマートフォンで用いられるSMSを用いたフィッシング、いわゆる「スミッシング」の被害が急増し、警察や通信事業者をはじめ各所が警戒を呼びかけています。
　
典型的なサイバー犯罪の手口である「フィッシング」については、多くの方が認識しているのではないでしょうか。実在する企業の名前をかたって、受信者に何らかの落ち度があるかのような文面で不安をあおり、偽サイトに誘導してIDやパスワード情報を盗み取ろうとする手口です。もしこうしたサイトで個人情報を入力してしまうと、それが悪用され、攻撃者による不正アクセスやポイントなど金銭の詐取につながる恐れがあります。シンプルだが、詐欺師・攻撃者にとっては効果があるためか、十数年にわたって使われ続けてきた手法です。
　
これと同じことを、いわゆるインターネットメールではなくSMS経由で展開するのがスミッシングです。国内では、2018年ごろから盛んになりました。典型的な例は、宅配事業者をかたり、「荷物をお届けに上がりましたが不在のため持ち帰りました。こちらでご確認ください」というメッセージを送りつけてくる手法です。
　
その後、時事ネタも取り入れながらスミッシングの手口はどんどん多様化しており、一目見ただけではなかなか見分けがつかないものも多数確認されています。また、単に偽のWebサイトに誘導してIDとパスワードを入力させるだけでなく、入力後に本物のサイトに転送し、フィッシング・スミッシングサイトを介していることを気付きにくくさせたり、不正なアプリをダウンロードするよう誘導したりと、さまざまな手口が派生しています（関連記事：https://www.macnica.co.jp/business/consulting/columns/140841/）

禁止するのではなく、理解して適切に活用をという趣旨で企画された安全講習

もともとサイバーセキュリティや詐欺に関心を持っている人々や、会社勤めをしていて情報システム部からの注意喚起を受け、セキュリティを意識している人ならば、ある程度こうした手口の存在を認識し、警戒していると思います。難しいのは、スマートフォンを当たり前のように活用していながら、こうした情報が行き届かない人々、具体的には児童・学生やその保護者の方々に、どうやってこうしたリスクを認識してもらうかです。
　
こうした問題意識に立ち、マクニカでは、地元の横浜市立篠原中学校において、中学3年生を対象にした「スミッシング安全講習」を2022年3月2日に開催しました。技術科の授業でも情報リテラシーに関する学習を実施していますが、よりリアルな手口、最新の状況を理解してもらい、それらを補完するという位置づけです。
　
新横浜駅にほど近いエリアに1972年に創立された篠原中学校は、地域との連携を積極的に行ってきました。幼稚園・保育所や小学区、そして高校と地元の町内会と連携して防犯・防災に関するミーティングを定期的に実施したり、地域の協力を得ての職業講話なども実施したりしています。一部の保護者からマクニカの高い評判を聞いていたこともあって企画されたのがスミッシング安全講習で、奇しくも、どちらも創立・創業50周年を迎えるタイミングでの実施となりました。
　
中学生から高校生にかけては、ちょうど自分自身のスマートフォンを持ち始め、SNSで友達との交流を始める時期に当たります。そこにはさまざまなリスクが潜んでいますが、だからといって「あれもだめ、これもだめ」と禁止してしまうだけでは、せっかくの便利なツールを使いこなすことができないでしょう。
　
篠原中学校の鈴木薫校長は、「学校の現場では、トラブルに発展させないために、あれもこれもだめですと縛ってしまいがちですが、それでは根本解決にはならないのではないでしょうか。それがフェイクなのか、そうではないのかを、一つ一つ自分たちの頭で吟味していく力を付けることが、情報リテラシーにおいては重要だと考えています」と述べています。

楽しい動画形式で、スミッシングの手口と対策を紹介

安全講習は、新型コロナウイルスに配慮してオンライン形式で、動画を用いて行われました。侍や博士に扮したマクニカの技術者やセキュリティ専門家が登場し、フィッシングやスミッシングとはどのような詐欺であり、もし引っかかってしまったらどんな危険性があるのか、どのように対処すべきかを、掛け合いを交えながらわかりやすく説明していきました。
　
フィッシング・スミッシング対策では長らく、「疑わしいメール、疑わしいサイトには気をつけましょう」という対策が呼びかけられてきました。だが、安全講習で示された実例にもあるとおり、今や、データをコピーして本物そっくりのサイトが簡単にできてしまう時代であり、見分けようとする努力は非現実的です。
　
それを踏まえて講師らは、「クリックして、ユーザーの個人情報を入力させる画面に誘導する場合は、ほぼ『悪』であり、本物であろうが偽物であろうがクリックしないでいいし、IDやパスワードなどの情報は安易に入力しない」ことが重要であると生徒たちに伝えていきました。そして、こうしたメールやメッセージが届いたら、慌ててリンクをクリックする前に、「不在通知の連絡ならば、ポストを見に行く」「高額請求の連絡ならば、本当のWebサイトにアクセスして請求情報を確認する」といった具合に、別の手段で確認を取ることが重要だと呼びかけました。
　
さらに、万一だまされて情報を入力してしまっても、落ち着くことが大事だと説明しました。たとえば保護者に相談した上で、パスワードの変更やクレジットカード会社への連絡を行ったり、神奈川県警のセキュリティホットラインに相談するといった対処法があります。いざという場合は、携帯電話会社のショップやカスタマーサポートに相談することも可能です。
　
最後に「こうした詐欺は誰にでも起こりうることです。大人でもこうした手口を知らない人がいるので、ぜひお父さんやお母さん、自分の周りの身近な人々に、この講義の内容を教えてあげてください」と呼びかけ、講習を終えました。
　
篠原中学校の3年生、約210人が参加した講習の模様は、当日、NHKの夕方のニュースでも放映されたことから、多くの知り合いから「篠中、出てたよね」といった反響があったそうです。こうして話題になったことをきっかけに、スミッシングやスマートフォンのリスクについて、家庭で話した生徒たちも多かったと期待されます。

「初耳だった」が60％、大いにあった安全講習の意義

安全講習の修了後に生徒に行ったアンケートからは、非常に興味深い結果も得られました。回答した178名のうち「フィッシング・スミッシングのことを知っていましたか」という問いに対して「初耳だった」と答えた生徒が60％に上ったのです。また、「言葉は聞いたことがあったが、具体的には知らない」とする生徒も28％ありました。さらに、「スミッシングを受け取り、実際にリンクを開いて個人情報を入力してしまった可能性がある」とした生徒も4％いました。

設問　フィッシング・スミッシングのことを知っていましたか？

一方で、NTTドコモのモバイル社会研究所によると、自分専用のスマートフォンを所持している割合は、中学生で79％に達しています。詐欺やサイバー攻撃についてよく知らない状態でスマートフォンを利用する子供が増えている現状を踏まえると、こうした講義には大きな意義があったと言えるでしょう。
　
篠原中学校の中村尚子教諭も、「こうしたアンケート結果を見て、今回の講義には大きな意味があったと思います。自分自身も、フィッシングについては知っていましたが、スミッシングについてはあまり聞いたことがありませんでした。」と振り返っていました。
　
中学校を卒業し、高校生になれば、アルバイトを始めたりしてスマートフォンに今まで以上に触れる機会が増えます。また、今後、自分自身でスマートフォン上で買い物をし、決済をする機会も出てくるはずです。「今回の内容を一時は忘れたとしても、何かの時に『あれ、これって前に聞いた詐欺じゃないかな』と気付き、つなげて考えられることが大事だと思います。」（中村教諭）
　
実は鈴木校長も、詐欺メッセージに引っかかりそうになったことがあるのだそうです。ちょうど携帯電話を買い換えた直後のタイミングで、「未払い金があります」というメッセージが届き、自分の落ち度で未払いが発生しているのではないかと不安に駆られて連絡してしまいました。幸い、話の途中で不審な点に気付き、実害は生じませんでしたが、まさに人間の心理を突いてくる典型的なスミッシングと言えるでしょう。
　
「オレオレ詐欺」もそうですが、「まさか自分は引っかからないだろう」と思っている心の隙をうまく付いてくるのが詐欺であり、だからこそ、事前にどんな手口があるのかを知っておくことが大切です。
　
ちなみにアンケートでは、「フィッシングやスミッシングに新しい名前を付けるとしたらどんなものがいいですか？」というアイデアも募集したところ、「地雷」「大攻撃ボタン」や「ブラックバス」といったユニークな回答が寄せられました。こうした生徒たちの素直な感覚に、先生たちはもちろん、マクニカも「脱帽」でした。

情報を吟味し、見極める力を付けることがこれからの若い世代に不可欠に

AIが発達し、さまざまな情報が押し寄せる時代を前に、「大量の情報の中から事実とそうでないものを見極めていく力を身につけていかなければなりません。それを教育の現場の中で伝えていく必要があり、今回の講義はその門を開くきっかけとして感謝しています」と鈴木校長は述べています。
　
鈴木校長は、かつて神奈川県の英語スピーチコンテストで優勝した、ある生徒のスピーチを例に挙げ、情報を吟味することの重要性を強調しました。スピーチのタイトルは「Doubt」。もっともらしい話を並べた上で、このスピーチの後にまずすべきなのは「Doubt」、つまり疑うことだという趣旨のスピーチだったそうです。
　
「聞いたことを鵜呑みにするのではなく、今まで学習してきたことや別の情報と統合した上で次の行動を導き出すことの重要性を感じさせるスピーチで、心に残っています。」（鈴木校長）。同じことがデジタル技術との向き合い方にも言えるでしょう。
　
篠原中学校も含め、今、学校の現場では、ギガスクール構想に向け、生徒一人一人に端末を持たせ、活用する取り組みが始まっています。「すでにギガ委員会という組織を立ち上げ、どのような使い方がまずいのか、どこに気をつけるべきなのかを子供たち自身が話し合い、作り上げていく取り組みが始まっています。私たちに言われてやるのではなく、自分たちでどんな使い方をするかを決め、その中で、安全に使えるようにしていければと思っています」（鈴木校長）
　
IT、デジタル技術が浸透し、手のひらに収まる端末の向こうに広く深い世界が広がる中、使い方を一歩間違えれば、SNSいじめのように人を傷つける道具になりかねませんし、大切な個人情報や金銭が奪われる恐れもあります。ですがスマートフォンをはじめとするデジタル技術は、コロナ禍で直接は会えないいろいろな人と瞬時につながり、コミュニケーションを取る手段にもなります。「怖いから使わない」のではなく、適切に使う方法を学ぶこうした機会を、今後も継続的に持っていくことが重要と言えそうです。

「スミッシング安全講習」を実施した結果

実際に講習を受けた中学生のアンケート結果から、考察を動画にまとめております。ぜひご覧ください。