レビュー
送信元を偽装するSMS――注意すべき点とキャリアの対策は?
2019年11月27日 06:00
いつも利用しているA社からSMSが届き、ログイン情報を求められる、だがそれは、ユーザーの情報を盗もうとするフィッシング詐欺への入口だった――。
SMSを使ったフィッシング詐欺(スミッシング)への警告が各社から次々と発信されている。本物そっくりの偽サイトでユーザーを待ち受けて、パスワードなどを盗み出そうとするフィッシング詐欺に対して、ユーザーはどういった点に注意すべきなのか。携帯各社の対策とあわせてご紹介しよう。
国際SMSの仕組みを悪用する「送信元偽装」
まるで本当のサイト、メッセージのようでありながら、実は偽物というフィッシング詐欺は、残念ながらネット上では以前よりある手口。根絶することは難しく、今もなおユーザーを狙っている。
そうした中、ユーザーにとって困る手口のひとつが、SMSの送信元を偽装するというもの。本物の企業から届いているSMSのスレッドへ、送信元を偽装したSMSが紛れこむのだ。
本物と偽物が混じってしまうという不可解な現象。これは、携帯電話関連の業界団体である3GPPが定めたSMSの仕様のうち、“国際SMS”(国際接続)と呼ばれる仕組みを悪用したものだ。
SMSには大きく分けて2つある。携帯電話会社から直接送られる場合(直収接続)と、海外から送られてくる国際接続だ。このうち国際接続は、送信者ID(送り主の名前)を設定でき、連絡可能な電話番号が不要だ。
トレンドマイクロの検証
セキュリティベンダーのトレンドマイクロが2019年10月、国際SMSで送信元を偽装する手口を調査した。国際SMSを配信するための事業者のサービスを用いて、受信側には国内各社のスマートフォンや、SNSなど著名なWebサービスの5社のアカウントで検証を進めた。
5社のサービスをかたることができるか、という調査内容は実際どうだったのか。
検証したところ、5社のうち2社のサービスで詐称できる、つまり本物と偽物が混在してしまうことがわかった。
一方、送信元偽装を防いだうちの1社の場合、iPhoneで受信したところ、本来の送信元と電話番号が異なるため、スレッドが分かれ、本物と偽物を区別できる状態だった。
ドコモの対応
NTTドコモによれば、ドコモが契約する国際SMSハブ事業者、海外事業者に対して、通報している。
その結果、ドコモをかたるSMS(NTT DOCOMOなど)は、その表記のゆれ、バリエーションがあるものを含め、9月26日までに送信されなくなった。
またSMSで連絡する際に、ドコモが用いるURLの一覧も公開されており、メッセージが本物かどうか確認できるようにしている。
auの対応
auでは、攻撃者へ情報を与えることになるため、SMSによるフィッシング詐欺への具体的な対策を明らかにしていない。ただし、何らかの施策は進めているという。
また、一般ユーザー向けには「auスマートパス」(月額372円、税抜)において、6月から迷惑メッセージ・電話ブロックというサービスを提供。怪しいメッセージに警告を発している。
ソフトバンク
ソフトバンクでも対策は進めてきたものの、具体的な内容は非開示としている。ユーザーへの注意喚起はWebサイトなどを通じて進めている。
「普段と違うなら注意する」
あらためて気をつけたいのは、SMSで届くメッセージが全て「本物」とは限らない点だ。本物のメッセージの中に偽物が紛れ込む、という状況は、ユーザーからすると、とても見分けられないように思える。
だが、ほんの少し、注意するだけで詐欺被害を避けられる可能性もある。
たとえば、SMSを使って2段階認証するのは、いまやどのWebサービスにとっても一般的となってきたが、逆に言えば「いつもは2段階認証だけしか使っていないのに、急に別の内容のメッセージになった」場合は、注意していいだろう。普段と異なる振る舞いに対しては警戒すべきだ。
また「海外からのワン切り」がもし発生したら、それ以降も気をつけたい。たとえばNTTドコモは9月、フィッシング詐欺のSMSに関する啓発文書に、国際電話に関する注意文を追加した。
その内容は「不審な国際電話の着信に対し、折り返し電話を掛けることで電話番号を収集されてしまい、フィッシングSMSが届く事例が確認されております」というもの。見に覚えのない国際電話へ折り返すことは避けたほうがいいだろう。
ヤフーも注意喚起
ユーザーをだまし、ログイン情報などを盗み取ろうとするフィッシング詐欺は、手を変え品を変え、常に私たちを狙っている。その勢いは衰えておらず、最近ではネットバンキングによる不正送金の被害が急拡大した。
2019年8月の被害額は約7400万円だったが、同年9月、いきなり約4億2600万円に急増した。警察庁では金融機関を装うメールやSMSが多数確認されていたとしており、そうした手口をユーザー自身がまず知っておく必要がある。
その上で、「送信元が正しいか、一歩立ち止まって考える」といった具体的な注意の払い方を、ヤフーが案内している。正しいメッセージかどうかわからない場合は、そのメッセージ内のURLはクリックせず、ブラウザのブックマーク(お気に入り)や、検索サイトから正しいサイトへアクセスするのも一手だという。
こうした情報は、周囲の方々とも共有し、引き続き警戒を怠らないようにしたい。