ニュース
SMSで送られてくる詐欺「スミッシング」――被害者も攻撃の踏み台にされる可能性
2020年9月1日 19:12
スミッシング(Smishing)とは、ショートメッセージサービス(SMS)と個人情報などを詐取する「フィッシング詐欺(Phishing)」のかばん語。運送会社や銀行を騙りURLへのアクセスを促すSMSを受け取ったという経験がある方も多いのではないだろうか。
NTTドコモ 国際事業部・イノベーション担当課長の田中威津馬氏によると、スミッシングの被害は年を追うごとに増加しているという。
2019年11月の発生件数は573件で被害額はおよそ8億円に上る。たとえば、ドコモを騙るスミッシングでは、ドコモから送られた正規のSMSのスレッドにまぎれて表示されることで、ユーザーを欺き被害が拡大しているという。
スミッシングの主流はURLなどへの誘導
マクニカネットワークス テレコムセキュリティ・エンジニアの丸山一郎氏によると、スミッシング攻撃の特徴は、広告・スパムに混ざって届くもの、起業など正規の送信者を騙るものなど多岐にわたる。
ユーザーにブロックされるのを回避されるため、フィッシングサイトのURLを変更したり、本文は同一で送信者名を変えたりするものなども多い。日本国憲法により「通信の秘密」が規定されており、キャリアがSMSの内容をチェックしブロックするということはできない。
海外から送信されるスミッシングの場合、URLへの誘導や詐欺電話への誘導が多いという。2019年9月~2020年2月を例に取ってみると、銀行を騙るスミッシングが3月~4月に激減している。これは、新型コロナウイルスの影響で世界中で都市封鎖などの措置が行われていた磁気と合致しており、攻撃拠点が閉鎖を受けた可能性を示唆していると考えられる。
ただし、海外から送られるからといって攻撃者が必ずしも海外にいるとは限らない。海外のSMS配信を代行する企業のサービスなどを利用しているだけで、攻撃者本人は日本国内にいるということもある。
最近はマルウェア誘導も増加
従来から確認されているURLや電話に誘導するものに加えて、ここ最近増加しているのがスマートフォンにマルウェアをインストールさせるタイプのもので、日本国内から発信されているという。
正規のサイトを装うサイトのURLをSMSを送りつけ、アクセスしたユーザーに偽のアプリをインストールさせ新たなスミッシング攻撃などの踏み台として利用されるケースが典型的だ。偽装サイトは正規サイトをコピーして作られているため、見た目だけで見破ることは難しい。
一例として紹介されたものとして、ヤマト運輸を騙るサイトで偽のヤマト運輸公式アプリをインストールさせられるケースがある。
「MoqHao」と呼ばれるマルウェアを一例に取ると、感染した端末から、スミッシングやメール送信、Webアクセスを際限なく行うほか、インストールされている銀行アプリを特定してユーザーが使う銀行に合わせたスミッシングを送りつけるということもあるという。
対策が困難
セキュリティ業界の中でもSMSの仕組みを理解している人は限られるという。加えて、通信の秘密により、ブロックする手立てが限られるためスミッシングの攻防戦は攻撃者側が有利なのが現状というのもスミッシング対策を困難にしている一因だ。
また、詐欺集団がスミッシングを含む詐欺行為により金銭詐取など目的を達成する一連の流れに加え、マルウェアなど多様な攻撃手段の組み合わせにより複雑化している。
マクニカネットワークスが考える対策としては、MNOのネットワークにSMS侵入検知システムを導入。スミッシングの信号を分析し、それらをビッグデータ解析によりURLクリックや電話番号発信警告、受信ボックスの振り分けなどの対策につなげられないかという構想があるという。