要点:SMSフィッシング——「スミッシング」——は2024年頃にメールフィッシングを抜き、モバイルユーザーへの主要な認証情報窃取手段となり、2025〜2026年にかけてさらに拡大しています。その理由は構造的なものです。スマートフォンにはSMS用のSafe Browsingに相当する機能がなく、URLプレビューもほぼなく、短縮URLは正規に見え、デスクトップブラウザよりもスマートフォンでは慎重さが薄れます。現在、3つのキャンペーンが大量に発生しています。それぞれの仕組みを詳しく解説します。
キャンペーン1 — USPS荷物「配達不能」スミッシング
2023年から活動中。FTC/USPSの報告によるボリューム:ピーク時は月間500万人以上の米国受信者。FBIとセキュリティ研究者(Resecurity、Trend Micro)によって中国語コミュニティの「スミッシングトライアド」クラスターに帰属。
誘い文句
通常、朝または昼前に、受信者の荷物が「住所不完全」のため24時間以内に詳細を確認しないと返送されるという内容のテキストが届きます。テキストにはUSPSのように見えるリンクが含まれています(usps-track[.]top、uspstracking-info[.]com、us-postss[.]cnのようなバリエーション)が、数時間から数日前に登録された使い捨てドメインです。ほとんどの人がAmazon、オンラインショップ、友人からの贈り物など、何らかの荷物を待っており、タイミングが効果を上げています。
クリックすると何が起きるか
精巧なUSPSクローンページが住所を尋ね(「再配達」のため)、次に$1.99〜$3.50の「再配達手数料」を要求し、クレジットカード情報の入力を求めます。カード入力フォームが本命:フルカード番号、CVV、有効期限、請求先住所、「配達SMS確認」用の携帯番号。カード情報は数時間以内に使用または売却されます。収集された情報——氏名、住所、電話番号、カード下4桁——は後続の攻撃(偽銀行の電話、アカウント乗っ取り)の準備にも使われます。
なぜ効果があるのか
- ほとんどの人はいつも何かしらの荷物が配送中であるため、受信者が前提を信じる事前確率が高い。
- USPSは通常テキストを送らない——しかしほとんどのユーザーはそれを知らず、ブランドは広く認識されている。
- 「小額手数料」($1.99)は争う価値のない金額に感じられ、人々は支払って先に進む。
- ドメインは数日ごとにローテーションされるため、ブロックリストのみの防御はキャンペーンに遅れをとる。
何が検出するか
ドメインパターンは高度に予測可能:ハイフン付きUSPSバリアント、.top / .cn / .info TLD、中国語レジストラを通じて登録、Cloudflareまたは自律システムローテーティングプロキシの背後でホスト、過去48時間以内にLet's EncryptまたはZeroSSLが発行した証明書。これらの特徴で訓練されたML分類器は、PhishTankや主要な商用ブロックリストに掲載されるよりずっと前に、誰かが初めてアクセスした時点で新しいドメインを検出します。分類器こそがネットワークレベルの脅威検出の核心です。
キャンペーン2 — 未払い通行料スミッシング(E-ZPass、SunPass、FasTrak)
各州が全電子料金収受に移行した2024年に急増。FBI IC3は2024年4月に公開勧告を発表。現在、州固有のブランドバリアントで全50州(カナダユーザーも対象)を攻撃。
誘い文句
「[州DOTまたは通行料機関]:未払い通行料の残高が$4.27あります。延滞料を避けるため[日付]までにお支払いください。こちらで支払い:ezpass-payments[.]com。」金額は少額です。ブランド名は州に合わせられています(北東部では「E-ZPass」、カリフォルニアでは「FasTrak」、フロリダでは「SunPass」、テキサスでは「TxTag」、イリノイでは「I-Pass」)。リンクは一見すると本物の通行料サイトに見えます。現在ほぼ全国で電子専用料金収受を使用する州の住民は、最近有料道路を使った可能性が高い。
クリックすると何が起きるか
各州の通行料機関の支払いポータルのクローンで、州ごとにカスタマイズされています。フォームは氏名、住所、電話番号、ナンバープレート(「違反を照合」するため)を尋ね、わずかな金額の支払い画面に誘導してクレジットカード情報を要求します。USPSと同様にカードデータが本命ですが、このキャンペーンはナンバープレートデータも収集します——後続詐欺(偽DMVなりすまし、車両登録詐欺、保険詐欺の準備)に役立てられます。
なぜ効果があるのか
- 通行料機関は実際にテキストや郵便でドライバーに連絡することがある——前提が信じやすい。
- ほとんどのユーザーは通行料の正確な金額を把握しておらず、少額の請求を本物と思い込む。
- 「延滞料」や「DMV保留」の脅しが確認なしに支払いを急がせる。
- 州固有のブランド模倣により、各地域の住民は見慣れたブランド名を目にする。
何が検出するか
通行料詐欺ドメインは一定のシグネチャに従います:ホスト名にブランド名 + payments/pay/billing、.com / .net / .top TLD、登録から約24〜72時間、同じ少数の無料CAからの証明書、共通のASNクラスター(Cloudflare、Namecheap、寛容な不正使用ポリシーで知られるホスティングプロバイダー)。ローテーションしても、登録年齢とホスト名とブランドの類似性でスコアリングするML分類器はキャンペーン全体を検出します——あなたの特定のデバイスで初めて観測されたドメインも含めて。
キャンペーン3 — 返金確認テキスト(Apple、Amazon、Netflix、Walmart)
2024〜2026年を通じて活動中。米国の税金還付時期(2〜4月)とBlack Friday / Cyber Mondayを中心に季節的なボリュームの急増。
誘い文句
「Apple ID: [iCloudストレージ / Apple Music年間プランなど]として$239.99の請求が本日承認されました。この請求に心当たりがない場合は、こちらでキャンセルしてください:[リンク]。」Amazonのケースもあります(「[商品]として$499.94の請求…」)。前提は受信者が行っていない請求——脅威は財務的なもの。好奇心と警戒がクリックを促します。バリアントの中には逆のものもあります:「$237.45の返金の準備ができました。受け取るためにご自身の銀行口座を確認してください。」同じフック、逆の切り口。
クリックすると何が起きるか
ブランドのアカウントログインページのほぼ完璧なクローン。ここで収集される認証情報は、キャンペーン1と2のクレジットカード情報より危険です:Apple IDやAmazonのログインはアカウント乗っ取りへの扉を開きます——完全な購入履歴、保存された支払い方法、ギフトカード残高、App Store購入履歴、機密メールの閲覧、SSO復旧に同じメールを使用する他サービスへのアクセス。多くのバリアントはさらにエスカレートします:認証情報を取得した後、偽のサポートチャットや「Appleから」のコールバックが被害者に二要素認証のSMSコードを声に出して読むよう誘導し、二段階認証を無効化します。
なぜ効果があるのか
- 本物のApple/Amazonの請求テキストが存在するため、前提が信じやすい。
- 金額は不安を与えるのに十分なほど高く、ありえないほど大きくない絶妙な設定。
- アカウント乗っ取りは単一のクレジットカード情報より攻撃者にとって価値が高い——「成功した」認証情報の取得は数週間の後続詐欺の準備となる。
- 認証情報ページに関与したターゲットは明らかにコンバートされており——返金詐欺オペレーションはそこにフォローアップエネルギーを集中させる(サポート通話エスカレーションも含む)。
何が検出するか
返金詐欺ドメインはapple-billing-verify[.]top、amazon-refund-claim[.]net、netflix-payment-update[.]comのような形式をとりがちです——短命、ブランドなりすまし、既知の不正使用に寛容なレジストラを通じて登録。分類器のシグナルは他のキャンペーンと本質的に同じです:ホスト名とブランドの類似性(「apple.com」、「amazon.com」、「netflix.com」に対するレーベンシュタイン距離スコアリング)、登録年齢、証明書プロバイダー、ホスティングインフラ。どの特定のブランドバリアントが使われているかに関わらず、初回観測時にキャンペーンを検出します。
3つ全てに共通するパターン
3つのキャンペーン全てに、クラスとして検出可能にする構造的特徴があります:
- 最近登録されたドメイン — 通常1週間未満、多くは24時間未満。
- 認知ブランドのホスト名模倣 — 既知ブランドリストに対する文字列距離スコアリングで測定可能。
- Let's EncryptまたはZeroSSLからの無料証明書 — 正規サイトもこれらを使用しますが、「新規ドメイン + 無料証明書 + ブランドなりすましホスト名」の組み合わせは高い予測性を持つ。
- 少数の不正使用許容プロバイダーでのホスティング — Cloudflareフロント、オリジンサーバーはテイクダウンが遅い管轄に。
- 既知のフィッシングキットと一致するページテンプレート — ドメイン固有のUIアセットがキャンペーン間で再利用される。
- URL構造 — ランダムに見えるトークンを持つ長いパス、クエリ文字列リダイレクトの頻繁な使用。
何が検出しないか
- iOSのSafe BrowsingはSafariでのみ動作します。メッセージアプリからタップされたフィッシングリンクは、同じ保護を受けないウェブビューで開きます。
- キャリアレベルのSMSフィルタリングはある程度のボリュームをブロックしますが、更新頻度が低い——キャンペーンは送信番号を調整し、フィルターは常に後手に回ります。
- 「不審なリンクをタップしない」 — ユーザーが現在荷物、返金、または通行料を待っているわずかなケースには通用しない、実用的ではあるが限界のあるアドバイス。ボリュームが戦略です。
- 純粋なブロックリスト(PhishTank、OpenPhishなど)— これらは事後対応的。ドメインが報告されてリストに追加される頃には、数時間から数日間稼働している。キャンペーンオペレーターはリストが追いつく前にローテーションします。
何が検出するか
DNS解決時に宛先ドメインに対してML分類器を実行するネットワークレベルの脅威検出。分類器は特定のURLがどこかに報告される必要はありません——上記の構造的特徴(登録年齢、ブランド類似性、証明書プロバイダー、ホスティングASN、URLの形状)でスコアリングし、リスク閾値を超えるドメインの解決を拒否します。それがCasperの脅威保護レイヤーのアーキテクチャ全体です(詳細はこちら)。これが3つのキャンペーン全てのギャップを実質的に埋める唯一の手段です。
さらに微妙なメリット:Casperの分類器は誤検知(ユーザーがブロックを間違いとしてマーク)を再学習にフィードバックします。上記の3つのキャンペーンは現在よく分類されていますが、それらを動かすオペレーターは戦術をローテーションし続けています——新しいTLD、新しいレジストラ、新しいホスティングパターン。継続的に学習するモデルは、どんな静的なブロックリストよりも速く適応します。
結論
スミッシングが今勝っているのは、SMSがモバイルユーザーが最も疑わないチャネルであり、OSに組み込まれた保護が1つのブラウザしかカバーせず、主要なキャンペーンが事後対応型ブロックリストの更新より速くドメインをローテーションするからです。レバレッジポイントはDNSレイヤーにあります——タップされたリンクはブラウザが開く前にDNSクエリを発行し、そのクエリが最もクリーンな介入ポイントです。このポストから何も持ち帰らないとしても:テキストからの支払いリンクは絶対にタップしないこと。自分でアプリを開いてください。その数秒の手間が唯一の防御策です。