ショートメッセージからのフィッシングに注意!
(左より)マクニカネットワークス株式会社 第3技術統括部 テレコムセキュリティ・エンジニア 主幹技師 丸山一郎氏/テレコムセキュリティエンジニア 鈴木一実氏/ テレコムセキュリティ・エンジニア 課長 霍村将寿氏
ある時、あなたのスマホにショートメールが届く。宅配便の不在通知だ。「お荷物のお届けにあがりましたが不在のため持ち帰りました。ご確認ください。URL : ××××××××××××」リンク先には見慣れた宅配のマークがあり、スマホのアプリやクレジットカードの口座番号を入力させる。
これが、SMS(ショートメッセージサービス)とフィシングを組みあわせた「スミッシング」だ。個人情報とともにアカウントも乗っ取られ、経済的な被害にあってしまう。
こうしたスミッシングの被害がなぜ増大しているのか。いったい誰が送っているのか。
「スミッシングの多くは海外から送られている」とNTTドコモの田中威津馬氏はいう。携帯電話のショートメッセージはインターネットのメールと異なる回線ネットワークを通じて電話番号宛に、プッシュ型で送られる。送信には料金がかかるため、送信者が日本にいても、費用の安い海外の配信サーバーを通じて送られてくる。どのルートから送られているかの特定は難しいという。
被害者をなくすためには、通信の内容を検知して止めるしかない。しかし、日本には「通信の秘密」という原則がある。「フィッシングを止めるためには、お客様のSMSの中身を見て、判定しないといけないが、中身を見る行為はタブー」だと田中氏は語る。そのうえで、こうした限界を乗り越えて今回、競合関係にある通信の4社が手を組む必要があると方向性を示す。
新型コロナに乗じて拡大したスミッシング
資料:マクニカネットワークス
スミッシングの代表的なものとして、銀行系、運送会社系、キャリア系などがある。マクニカネットワークスのセキュリティチームの鈴木一実氏は「それぞれを得意とする攻撃者グループがあるため、ひっかかるなと言うほうが無理」と述べる。
たとえば、宅配業者型のスミッシングのケースでは、ヤマト運輸を偽わり「新型コロナウイルスの感染拡大に伴い接触を極力少なくすること」を理由にメッセージを送る。iPhoneユーザーにApple IDを入力させ、さらに2段階認証の確認コードを送るが、この画面も偽物になっているという具合だ。
資料:マクニカネットワークス
SMSの特徴は電話番号に対してプッシュ型で送られるため、加入者に確実に届く。到達率、開封率(信憑性)が高く、かつセキュリティ対策がされていないことだ。インターネットのメールと異なり、端末の接続や認証を司る制御信号を利用して配信される。最近のスミッシング攻撃の傾向は、以下のような点にあるという。
- 広告・スパムに混ざって届くため、途中経路での識別・フィルタが困難
- 正規の送信者名を使用するケースが散見(イオンの事例など)され、途中経路での識別・フィルタが困難
- 日々フィッシングURLを変えるためブロッキングが不可
- 同一本文×複数の送信者名
- 攻撃曜日・時間に偏りがある
