SMS(ショートメッセージサービス)によるフィッシング詐欺「スミッシング」の被害が増大している。重要な通知であるかのように偽り、スマートフォンにプッシュ型で通知し、マルウェアに感染させ個人情報やクレジットカードの情報を盗み出すという手口は、「ひっかかるなという方が無理」というほど巧妙だという。NTTドコモとマクニカネットワークスが共同でおこなった発表について紹介する。
ショートメッセージからのフィッシングに注意!
(左より)マクニカネットワークス株式会社 第3技術統括部 テレコムセキュリティ・エンジニア 主幹技師 丸山一郎氏/テレコムセキュリティエンジニア 鈴木一実氏/ テレコムセキュリティ・エンジニア 課長 霍村将寿氏
ある時、あなたのスマホにショートメールが届く。宅配便の不在通知だ。「お荷物のお届けにあがりましたが不在のため持ち帰りました。ご確認ください。URL : ××××××××××××」リンク先には見慣れた宅配のマークがあり、スマホのアプリやクレジットカードの口座番号を入力させる。
これが、SMS(ショートメッセージサービス)とフィシングを組みあわせた「スミッシング」だ。個人情報とともにアカウントも乗っ取られ、経済的な被害にあってしまう。
こうしたスミッシングの被害がなぜ増大しているのか。いったい誰が送っているのか。
「スミッシングの多くは海外から送られている」とNTTドコモの田中威津馬氏はいう。携帯電話のショートメッセージはインターネットのメールと異なる回線ネットワークを通じて電話番号宛に、プッシュ型で送られる。送信には料金がかかるため、送信者が日本にいても、費用の安い海外の配信サーバーを通じて送られてくる。どのルートから送られているかの特定は難しいという。
被害者をなくすためには、通信の内容を検知して止めるしかない。しかし、日本には「通信の秘密」という原則がある。「フィッシングを止めるためには、お客様のSMSの中身を見て、判定しないといけないが、中身を見る行為はタブー」だと田中氏は語る。そのうえで、こうした限界を乗り越えて今回、競合関係にある通信の4社が手を組む必要があると方向性を示す。
新型コロナに乗じて拡大したスミッシング
資料:マクニカネットワークス
スミッシングの代表的なものとして、銀行系、運送会社系、キャリア系などがある。マクニカネットワークスのセキュリティチームの鈴木一実氏は「それぞれを得意とする攻撃者グループがあるため、ひっかかるなと言うほうが無理」と述べる。
たとえば、宅配業者型のスミッシングのケースでは、ヤマト運輸を偽わり「新型コロナウイルスの感染拡大に伴い接触を極力少なくすること」を理由にメッセージを送る。iPhoneユーザーにApple IDを入力させ、さらに2段階認証の確認コードを送るが、この画面も偽物になっているという具合だ。
資料:マクニカネットワークス
SMSの特徴は電話番号に対してプッシュ型で送られるため、加入者に確実に届く。到達率、開封率(信憑性)が高く、かつセキュリティ対策がされていないことだ。インターネットのメールと異なり、端末の接続や認証を司る制御信号を利用して配信される。最近のスミッシング攻撃の傾向は、以下のような点にあるという。
- 広告・スパムに混ざって届くため、途中経路での識別・フィルタが困難
- 正規の送信者名を使用するケースが散見(イオンの事例など)され、途中経路での識別・フィルタが困難
- 日々フィッシングURLを変えるためブロッキングが不可
- 同一本文×複数の送信者名
- 攻撃曜日・時間に偏りがある
この記事は参考になりましたか?
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
