SMSフィッシングが暗号投資家を狙う：資金を失わないためには

2025年、スミッシング（(SMSフィッシング)）は暗号資産保有者にとって主要な脅威の一つとなりました。詐欺師は取引所やウォレットを装い、大量の偽メッセージを送信し、実際に被害が出ています。なぜこれが危険なのか、どうやって自分を守るかを解説します。

実際に何が起こっているのか

詐欺師は取引所を名乗ってSMSを送ります：「不審なアクティビティが検出されました。今すぐ本人確認してください：[リンク]」。緊急性を感じさせますよね？被害者がリンクをクリックし、偽サイトで情報を入力すると、残高が一瞬でゼロに。

報告によると、スミッシングは約30%の確率で成功します。その理由は以下の通りです。

1. パニックを煽る — アカウント凍結や資金喪失の脅しで、冷静な判断を奪います。

2. 送信元を偽装 — 公式っぽく見せかけ、電話番号も本物に似せています。

3. 報酬を約束する — 無料BTCやギフトカード$500 — 欲を刺激します。

典型的な手口

手口1: 「KYC情報の更新が必要、さもないとアカウントが凍結されます」。被害者がパスポートのスキャンデータをアップロードすると、個人情報は売られたり、身分詐称に利用されます。

手口2: 「サポートへお電話ください」— メッセージ内の番号は偽物で、詐欺師が2FAコードやパスワードを聞き出します。

手口3: 悪意のあるリンクでスパイウェアをスマホにインストールし、SMSやパスワードを読み取ります。

スミッシングと他の攻撃の違い

• フィッシング — メール経由（(緊急性が低く、確認しやすい)）
• ビッシング — 音声通話（(詐欺師のスキルが必要)）
• ファーミング — DNSの偽装、偽サイトへのリダイレクト（(より技術的)）

スミッシングが最も効果的なのは、SMSはすぐに読まれ、確認もされにくいからです。

SMSのレッドフラッグ

✋ リンクは絶対に開かないでください。以下の場合は特に注意：

• メッセージが緊急の対応を要求してくる
• パスワード、シードフレーズ、秘密鍵の入力を求めてくる
• 誤字脱字や不自然な文体（(大手取引所でも形式的な文体はありますが、違和感が強い場合は要注意)）
• 見知らぬ番号から届く
• 当選していないのに報酬を約束している

自分を守る方法

1. SMS内のリンクは絶対にクリックしない

• 不安な場合は、ブラウザで取引所のURLを手入力してアクセスする
• 実際のリンク先を確認（(メッセンジャーのSMSならリンクにカーソルを合わせて確認)）

2. 多要素認証を有効にする

• Google AuthenticatorやAuthyなどのアプリを利用し、SMS 2FAは避ける
• SMS 2FAも何も無いよりは良いですが、最も乗っ取られやすい
• ベストはハードウェアキー（(Ledger、Trezor)やパスキー）

3. 機密情報は絶対に共有しない

• 取引所やウォレットがパスワードや秘密鍵を聞くことはありません
• サポートを装った電話でも、折り返し番号をもらって自分でかけ直しましょう

4. ハードウェアウォレットを利用する

• 大きな金額はオフラインで保管（(Ledger、Trezor、Coldcard)）
• デバイスが無事なら詐欺師に盗まれる心配はありません

5. アクティビティを監視する

• 定期的に取引所のログイン履歴を確認
• 不審なログインがあれば、即座にパスワードを変更

6. 情報を更新し続ける

• 詐欺師は常に新しい手口を考えています
• 信頼できる情報源で最新情報をチェック

すでに被害に遭った場合の対応

1. 詐欺師の番号を即座にブロック
2. すべてのアカウントのパスワードを変更（(入力してしまった場合)）
3. すべてのサービスで2FAを有効化（(まだの場合)）
4. 取引所のAPIキーを無効化（流出した場合）
5. 公式サポートチャネルから取引所に報告
6. クレジットを凍結（(パスポートや個人情報を渡してしまった場合)）
7. 1ヶ月間は取引を監視 — 銀行、暗号ウォレット、SNSも確認

まとめ

暗号資産の世界では、自分自身が銀行です。あなた以外に資産を守る人はいません。詐欺師は焦りやパニックに付け込みます。SMSで緊急対応を求められたら、ほぼ間違いなく詐欺です。公式サイトやアプリで確認し、冷静に行動することが最善の防御です。