ESET/マルウェア情報局
SMSを使ったフィッシング詐欺「スミッシング」が拡大中
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「SMSを利用したスミッシングによるサイバー詐欺の危険性」を再編集したものです。
スマートフォン(以下、スマホ)が普及して以降、SMSは手軽にメッセージを送信できる手段として、日常的に使用するユーザーは少なくないはずだ。しかし、その手軽さは攻撃者にとって都合がよい攻撃手段ともなり得るのだ。この記事では、SMSを使った攻撃手法であるスミッシングの概要と具体的な攻撃手法、対策について解説していく。
スミッシングとは
スミッシングとは、SMS(ショートメッセージサービス)を使ったフィッシング詐欺のことを指す。スマホに標準搭載されているSMSを使ったフィッシング詐欺が急増したことで、そうした事象をスミッシングと呼ぶようになった。これはすなわち、それほどまでに被害が拡大していることを示している。
フィッシング詐欺とは、なりすまして個人情報を窃取する行為のこと。具体的には、金融機関や有名なショッピングサイトになりすましたメールなどをターゲットに送付し、本文記載のURLをクリックさせて偽装したWebサイトに誘導し、そこで入力したIDとパスワードなどの個人情報を窃取する。
このような手口はいわゆるスパムメールの進化系ともいえる。従来からのスパムメールはISPによる迷惑メールフィルター機能なども奏功し、ターゲットの手元に届きづらくなっている。また、ユーザー側のリテラシーも着実に高まっている。そうした状況を受け、攻撃者側の手口も進化しつつあり、スミッシングもそうした進化した手口の一つと言える。
スミッシングが増加する背景
フィッシング対策協議会が発行している「フィッシングレポート2020」によると、2019年1月から12月までのフィッシング詐欺の報告件数は55,787件となった。2018年と比較すると、その数は約2.8倍と急増していることがわかる。そして、その多くがクレジットカード番号の窃取を目的としている。
また、一般社団法人日本クレジット協会の発表によると、クレジットカード番号の流出による被害額は、2019年には2018年と比較して約19%増加している。フィッシング詐欺の件数ほどの伸び幅ではないものの、被害が広まっている実態が数字からも明らかとなっている。
インターネットを活用したユーザー向けのサービスやテクノロジーが進化していることを背景に、フィッシング詐欺の手法も多様化の様相を見せている。特に注意が必要なのは、インターネットバンキングを騙るフィッシング詐欺だ。近年、オンラインバンキングはワンタイムパスワードの導入など金融機関の対策が功を奏し、被害が減少する傾向にあった。しかし、攻撃手法の進化により、IDとパスワードだけでなくワンタイムパスワードをも窃取する手口が用いられ、被害が増加傾向にある。この時の攻撃にスミッシングが用いられているのだ。
他にも、通信キャリアになりすましてキャリア決済の不正利用を促す、あるいは宅配便の不在通知を装うといった手口なども出てきている。Amazonなどの大手ECサイトを詐称するスミッシングを目にしたことがある人も少なくないだろう。ユーザーはSMS経由でメッセージが送付されることで、疑うことなく、その内容を信じ込んでしまう。攻撃者はそうした心理的な効果を逆手にとって成果を得ているのだ。
SMSは通信キャリア側のセキュリティ対策が難しいというのがこうした背景にはある。いわゆるブラックリストを元に、一定のURLが記載されたものはブロックするといった対策はしているものの、攻撃者はURLを頻繁に変更するため、ほとんど効果がない。また、攻撃者は送信者名や電話番号も頻繁に変更するため、電話番号からのSMSをブロックしてもほとんど意味をなさない。このように、攻撃者は巧みに対策の網をかいくぐるため、ブロックするのが難しいというのが実情だ。
スミッシングの被害事例
フィッシング詐欺の手口が進化することで生まれた、SMSを使ったスミッシング。それでは、スミッシングの被害事例としては、具体的にどのようなものがあるだろうか。
-金融機関を名乗るスミッシング
近年急激に増加しているスミッシングが、金融機関を名乗るものだ。メガバンクなど大手金融機関のホームページでは、注意喚起する情報提供が並ぶようになった。不正の発生やパスワードの変更など、緊急性を煽る内容のSMSが届き、記載されたURLをクリックすると、本物と間違うレベルに偽装したWebサイトに誘導される。偽サイトの完成度が高いだけに、不用意にIDとパスワードを入力してしまうユーザーも多いと想定される。
-東京オリンピックを騙るスミッシング
東京オリンピックという、一大イベントに便乗したスミッシングも横行した。抽選券が配布されたとの情報が記載されたSMSがユーザーに送信されるものだ。本文中に記載されたURLをクリックすると、AppleIDと個人情報の入力を要求され、攻撃者はこれらの情報を窃取する。このように、イベントに便乗するスミッシングは今後も増加していく可能性を否定できない。
-キャリア決済を詐称するスミッシング
キャリア決済とは、携帯電話の利用料金と合わせて、携帯キャリア会社が料金を請求する決済手段のこと。携帯キャリア会社から、「不正があった」、「プレゼントが当選した」といった内容のSMSが送られ、記載されたURLをクリックすると、携帯番号やID、パスワードが窃取されるページが表示される。携帯キャリア会社を騙るスミッシングは、差出人が電話番号ではなく「docomo」などと偽装されることもあるため、細心の注意が必要だ。
スミッシングへの対応策
巧妙な手口のために被害が拡大しているスミッシング。迷惑メールの場合は、事業者の対策とユーザーのリテラシー向上で被害が減少する傾向にあった。しかし、スミッシングの場合は、今のところ十分な効果が上げられているとは言い難い。ユーザー自ら自分の身を守る意識が必要だといえるだろう。
また、攻撃者の手口が巧妙化しているため、セキュリティ意識が高いユーザーであっても、相当程度の注意を払わなければならない。以下、対応策を見ていく。
・スミッシングの「目利き力」
ユーザーはスミッシング詐欺目的のメールを見極めることが求められている。メールやSMSを閲覧する際は、送信元、内容、URLのドメイン名などをしっかりと確認すること。特に、URLをクリックすることが文面で求められている場合は、それらを精査しなければならない。その上で、少しでも不審に思われるものであれば、本文内のURLをクリックするのは避けること。日頃から利用する、宅配業者やECサイトなどの場合は検索エンジンやブックマークを経由するなどしてアクセスすれば安全性は高まる。
・継続的な情報収集
著名なサービスや大手金融機関などを騙ったスミッシングが恒常的に発生するようになった。最近では、こうした事象が発生すると、そのなりすまされた企業のWebサイトに注意喚起の情報が掲載されることが増えている。また、セキュリティ情報を集めたWebサイトでも情報収集は可能だ。特に、このマルウェア情報局など、セキュリティ全般の情報を提供しているWebサイトでは、サイバー攻撃に関する攻撃手法や最新のトレンド、そして対策も紹介している。自らの対策のヒントになるはずだ。
・セキュリティソフトの導入
スミッシングへの対策として、セキュリティソフトは効果を発揮する。危険なSMSのブロック、あるいはクリックしたURLの危険性を察知し、アクセスを遮断する。インターネットバンキングに特化した保護機能やパスワード保護など、あらゆる面で危険を回避するような機能が充実している。
スミッシングの手口を見極めるために
サイバー攻撃の矛先は、大企業から中小企業、そして一般ユーザーへとそのターゲットを広げている。中でも、セキュリティやITの知識に詳しくないユーザーは格好の餌食となりやすい。今回紹介したスミッシングだけでなく、スマホ利用のふとした場面に危険は潜んでいる。目利き力と情報収集のように、複合的に対策を講じることでそうした危険から回避する可能性は高まる。そして、得た知識だけを過信せず、セキュリティソフトの導入も検討してほしい。さまざまな機能が搭載されているセキュリティソフトは安全性を高めてくれるはずだ。