sg security_measures unauthorized_access data_leakage sg-security-measures
まず結論
- スミッシングとは、SMS(ショートメッセージ)を使って偽サイトへ誘導し、認証情報などを盗み取るフィッシングの一種です。
- SG試験では「SMSで誘導しているか」でフィッシングとの違いを判断させる問題がよく出ます。
直感的な説明
「荷物のお届けに問題があります。こちらから確認してください」
というSMSが届き、リンクをタップすると偽サイトへ…。
スマホだとURLをよく確認せずに押してしまいがちです。
👉 メールではなく“SMSでだます”のがスミッシング
定義・仕組み
スミッシング(smishing)は、SMSを利用して利用者を偽サイトへ誘導し、情報を盗む攻撃です。
(SMS+phishing の造語)
基本の流れはフィッシングと同じです。
- 攻撃者が偽サイトを用意
- SMSでURL付きメッセージを送信
- 利用者がリンクをタップ
- 偽サイトで情報を入力
- 情報が盗まれる
👉 違いは「メールかSMSか」だけ
どんな場面で使う?
よく使われるケース
- 配送業者を装うSMS(不在通知など)
- 銀行・キャリアを装うSMS
- 「緊急」「重要」と焦らせる内容
業務でのポイント
- 社員のスマホも攻撃対象になる
- BYOD(私物端末利用)環境では特に注意
- SMSのリンクは原則クリックしない教育
👉 スマホ利用の増加とともに被害が増えている
よくある誤解・混同
❌ フィッシングとの違い
- フィッシング:メールで誘導
- スミッシング:SMSで誘導
👉 誘導手段で区別する
❌ ビッシングとの混同
- スミッシング:SMS
- ビッシング:電話
👉 SMSか音声かで判断
❌ 正規のSMSとの区別
- 正規:公式サイトに誘導 or URLなし
- 攻撃:不自然なURL・短縮URL
👉 URLの違和感が重要な判断ポイント
SG試験でのひっかけ
-
「SMSでURLを送る」
→ この時点でスミッシングを疑う -
「メール」ならフィッシング
→ 手段で切り分ける
確認問題(SG試験対策)
次のうち、スミッシングの説明として最も適切なものはどれか。
A. SMSを使って偽サイトへ誘導し、認証情報などを入力させる攻撃である。 B. 音声通話で利用者をだまし、情報を聞き出す攻撃である。 C. メール本文を暗号化して送信する仕組みである。 D. 端末にIPアドレスを自動配布する仕組みである。
▶ クリックして答えと解説を見る(ここを開く)
正解:A
解説
- A:SMSを使うフィッシングなのでスミッシングです。
- B:これはビッシングの説明です。
- C:S/MIMEなどの説明です。
- D:DHCPの説明です。
👉 判断ポイント スミッシングは「SMS」、ビッシングは「音声通話」で切り分ける。
まとめ(試験直前用)
- スミッシング=SMS版フィッシング
- SMS+URL+入力 → 典型パターン
- フィッシング(メール)と手段で区別
- ビッシング(電話)との違いも押さえる
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】