スミッシングとは、モバイルデバイスのテキストメッセージから拡散するフィッシングであり、サイバーセキュリティ攻撃の一種です。SMSフィッシングとも呼ばれます。
このフィッシングの亜種の手口は、信頼できる人物を装った攻撃者が標的を騙し、機密情報を教えるように仕向けるというものです。SMSフィッシングには、マルウェアや詐欺的なWebサイトも使用されることがあります。モバイルデバイスでテキストをやり取りするプラットフォームでよく発生する攻撃であり、SMSではなくデータに基づいたモバイルメッセージングアプリも感染経路として使用されることがあります。
スミッシングの定義が示すように、この用語は「SMS」(ショートメッセージサービス、「テクスティング」ともよく呼ばれます)と「フィッシング」を組み合わせたものです。スミッシングをさらに正確に定義すると、技術的な悪用ではなく、人間の信頼を悪用するソーシャルエンジニアリング攻撃の一種に分類されます。
サイバー犯罪者が「フィッシング」を行う場合、受信者を騙して悪意のあるリンクをクリックさせようとする詐欺メールを送信します。スミッシングは、メールの代わりに簡単なテキストメッセージを利用します。
基本的に、このサイバー攻撃の目的は、標的の個人データを盗み、詐欺やその他のサイバー犯罪に悪用することです。通常、これには金銭の詐取も含まれます。個人の金銭が主に狙われますが、時には標的が所属する組織を狙うこともあります。
データを窃取する手段として、次の2つの手口がよく使用されます:
スミッシングは銀行を装ったメッセージを送信し、口座番号やATM番号などの個人情報やお金に関する情報を聞き出そうとすることがよくあります。その要求に応じて情報を提供するのは、預金引き出しに必要な情報を窃盗犯に教えるも同然の行為です。
個人のスマートフォンを業務で使用する人が増えています(「Bring Your Own Device(BYOD)」と呼ばれる)。つまり、スミッシングは個人にとっての脅威であると同時に、企業にとっての脅威にもなりつつあるのです。したがって、スミッシングが悪意のあるテキストメッセージの主要な形式になっていることは、何ら驚くことではありません。
モバイルデバイスの使用率の上昇と同時に、モバイルデバイスを標的とするサイバー犯罪も増加しています。スマートフォンで最も一般的に使用されるのがメールであることはもちろんですが、その他にもいくつかの要因が、この犯罪を特に狡猾なセキュリティ脅威にしています。説明のために、スミッシング攻撃がどのように機能するのかを紐解いてみましょう。
偽装と詐欺行為が、SMSフィッシング攻撃の中核となる要素です。サイバー犯罪者は標的が信頼する人物や組織になりすますので、要求に従ってしまう確率が高くなります。
ソーシャルエンジニアリングの原理により、サイバー犯罪者は標的の意思決定を誘導することができます。偽装を成功させる要素は、次の3つです:
上記の方法を使用して、サイバー犯罪者は受信者に取らせたい行動を促すメッセージを書いて送信します。
通常は、テキストメッセージ内のURLリンクを標的に開かせ、そこからフィッシングツールに誘導し、個人情報の開示を要求します。フィッシングツールは多くの場合、Webサイトやアプリの形式で提示され、運営者や開発者の情報は偽装されています。
標的は多様な方法で選択されますが、通常は所属している組織や住んでいる地域を基準として選択されます。特定の機関の従業員や顧客、モバイルネットワークの加入者、大学生、時には特定の地域の住民が標的になることもあります。
サイバー犯罪者の身分は通常、標的とする組織や機関の関係者に偽装されます。これは一例であり、標的の身元情報やお金に関する情報を詐取できる可能性がある身分であれば、どんなものでも使用されます。
なりすまし電話(スプーフィング)として知られる方法を使用すると、電話番号を偽装して実際の番号を隠蔽することが可能となります。スミッシング攻撃者はまた、「バーナーフォン」(安価で使い捨てのプリペイド携帯電話)を使用し、攻撃の発信元の特定をさらに困難にすることがあります。メールからSMSメッセージへの変換サービスも、攻撃者が番号を隠す手段として使用されることが知られています。
攻撃は、いくつかの主要なフェーズを着実に進めることで実行されます:
攻撃者が標的の個人情報を使用し、目的とする窃取を実行した時点で、攻撃者のスミッシングの手口は成功です。銀行口座からの金銭の直接的な窃取、身分のなりすましによるクレジットカードの違法な作成、企業の非公開データの流出などが目的として挙げられますが、これらに限定されません。
前述したように、スミッシング攻撃は従来のテキストメッセージとSMS以外のメッセンジャーアプリの両方を使用して実行されます。主に使用されるのは、中断されることも気づかれることもなく拡散可能なSMSフィッシング攻撃です。これは、標的の騙し方が巧妙であるためです。
スミッシングによる偽装がこれほど効果的なのは、テキストメッセージは脅威に使用されず安全だろうという誤った認識に起因します。
まず、ほとんどの人はメール詐欺のリスクについて知っています。「こんにちは、このリンクをチェックしてください」のような定型文のメールを受信したらスパムを疑うのは、もう決まりきった習慣のように身についていることでしょう。しかし、定型文ではない個人向けの文面が含まれるという理由でスパムではないと判断してしまうと、スパムメール詐欺の被害に遭うリスクが高くなります。
電話中には、誰しも注意が散漫になりがちです。多くのユーザーは、スマホのセキュリティがパソコンよりも高いと考えています。しかし、スマホのセキュリティには限界があり、何も対策を講じないままでスミッシングを防止することはできません。
どのような手口であろうと、ユーザーを信頼させて判断力を奪ってしまえば、それ以上ほとんど何もしなくても詐欺行為はほぼ確実に成功します。その結果、テキストメッセージ機能を持つモバイルデバイスであれば何でも、スミッシング攻撃の餌食となります。
Androidデバイスは市場の大半を占めるプラットフォームであり、マルウェアのテキストメッセージの標的としては理想的ですが、iOSデバイスも同様に標的となります。Appleが開発するiOSのモバイル技術は、セキュリティ分野において高い評判があります。しかし、OSのセキュリティのみでフィッシング攻撃からユーザーを保護することができるモバイルデバイスは存在せず、iOSも例外ではありません。セキュリティに関して誤った認識を持つと、使用するプラットフォームを問わず、ユーザーは攻撃に対してひときわ脆弱な状態になります。
リスク要因として、外出先でのスマホの使用が挙げられます。外出中は、注意が散漫だったり、急いでいたりすることがよくあります。このような状況で、銀行情報の提示を要求するメッセージやクーポンの利用に関するメッセージを受信すると、何も考えずに開いて反応してしまう確率が高くなります。
スミッシング攻撃の方法はどれも似たようなものですが、演出の方法は各種攻撃でかなり異なります。SMS攻撃を常に進化させるため、偽装には多種多様な身元情報や設定が使用されます。
残念ながら、攻撃方法は終わることなく発案され続けるので、スミッシングの種類を網羅したリストを作成することはほぼ不可能です。確立された詐欺の設定をいくつか分析すれば、被害に遭う前にスミッシング攻撃を看破する手がかりとなる特徴を明らかにすることができます。
スミッシング攻撃でよく使用される設定は次の通りです:
COVID-19スミッシング詐欺は、政府や医療機関、金融機関がCOVID-19パンデミックによる被害の補償を目的として立案した合法的な支援プログラムに基づいています。
この手口を利用して、攻撃者は標的の健康や経済状況に関する不安を煽り、詐欺行為を働きます。詐欺の可能性として警戒すべき点は次の通りです:
金融サービススミッシング攻撃は、金融機関からの通知を偽装します。ほぼすべてのユーザーが、銀行やクレジットカードのサービスを利用しており、定型的な通知と金融機関特融のメッセージの両方をチェックしています。ローンや投資の情報も、このカテゴリの設定でよく使用されます。
攻撃者は銀行やその他の金融機関になりすまし、詐欺行為を働くために最適な身分を詐称します。金融サービススミッシング詐欺の特徴として、ロックされたアカウントの早急なロック解除の要求や、アカウントの不審な活動の確認依頼などがあります。
ギフトスミッシングは多くの場合、信頼できる小売店やその他の企業になりすまし、無料のサービスや製品を提供する触れ込みでユーザーに接触します。景品を配布するキャンペーン、ショッピング特典、またはその他の無料オファーが撒き餌として使用されます。「無料」という言葉で標的を興奮させることで、論理的に考えるよりも先に、攻撃者が望む行動を起こすように誘導します。期間限定オファーや、無料のギフトカードの限定配布などは、この攻撃の兆候である可能性があります。
このスミッシング攻撃に該当するのは、最近購入した商品と称して、偽造した確認書やサービスの請求書を送付する行為です。ユーザーの好奇心を煽ったり、即座の行動を促したりする目的でリンクを記載し、身に覚えがない請求に対する恐怖を喚起させる場合もあります。注文確認メールの文字列が不自然だったり、企業名が記載されていない場合は、注文確認書や請求書が詐欺に使用されていることがわかります。
カスタマーサポートスミッシング攻撃は企業のサポート担当者になりすまし、問題を解決するふりをしてユーザーを騙す行為です。Apple、Google、Amazonのように利用者の数が多いIT企業やオンラインストアの企業になりすますことで、詐欺に使用するメッセージを本物のように見せかけることができます。
通常、テキストメッセージにはユーザーのアカウントのエラーに関する報告と、その解決ステップが記載されています。不正なログインページを使用した簡単なものもあれば、本物のアカウントの復旧コードを送信し、ユーザーに入力させてパスワードをリセットさせるという、より複雑な手口が使用される場合もあります。請求、アカウントアクセス、異常な活動、または最近フィードバックした苦情の解決などに関するトピックがテキストメッセージに記載されている場合、サポートベースのスミッシング詐欺の手口として警戒した方がよいでしょう。
スマホさえ持っていればほぼ誰でもSMSが利用可能であるため、スミッシング攻撃は世界的に発生していることが知られています。注意すべきスミッシング攻撃の例を次に記載します:
2020年9月、iPhone 12を無料で入手できるという触れ込みで、ユーザーのクレジットカード番号を入手しようとするスミッシングキャンペーンが展開されました。
この手口では注文確認書が前提条件として使用されます。テキストメッセージで、iPhoneを違う住所に誤配したとユーザーに伝えます。テキスト内のURLリンクは、Appleのチャットボットを装ったフィッシングツールに標的を誘導します。このフィッシングツールは、早期テストプログラムの一環としてiPhone 12を無料で送付するのに必要な本人確認情報を入力させ、少額の配送料を請求するためのクレジットカードの情報も続けて入力させようとします。
2020年9月、USPSとFedExの配達サービスになりすますSMS詐欺の報告が出回り始めました。このスミッシング攻撃は、各種サービスのアカウント認証情報やクレジットカード情報を窃取しようとします。
メッセージは、荷物の不在通知やや誤配達の通知で始まり、FedExやUSPSの景品アンケートに偽装刺されたWebサイトのフィッシングツールへのリンクが記載されています。このようなフィッシングサイトの設定は場合に応じて異なりますが、その多くはGoogleなどのサービスのアカウント認証情報の収集が目的であることが判明しています。
2020年4月、Better Business Bureauに報告された詐欺行為があります。米国の政府関係者になりすまし、必須のCOVID-19オンライン検査を受けることを要求するテキストメッセージを送付して、検査用のWebサイトへのリンクへの誘導しようする詐欺行為の件数が上昇したのです。
もちろん、COVID-19のオンライン検査は存在しないため、多くの人がこの詐欺を即座に見破りました。パンデミックへの恐怖を利用することは、一般大衆を対象に詐欺行為を働く効果的な方法です。したがって、この類のスミッシング攻撃の設定は容易に進化する可能性があります。
朗報もあります。こうした攻撃から想定される悪影響から身を守るのは簡単だということです。届いたテキストメッセージに対して何もしなければ、何も起こらず安全な状態を維持できます。基本的に、これらの攻撃は撒き餌に食いついたユーザーにのみ損害を与えるからです。
とはいえ、テキストメッセージの多くは合法的なものであり、販売業者や組織などの連絡手段でもあることに注意しましょう。メッセージをすべて無視すればよいというわけではありません。上記の例に該当する疑いがある場合には、安全を意識して対応しましょう。
スミッシング攻撃から身を守るために留意するべき点は次の通りです:
メールフィッシングと同様、スミッシングも巧妙な手口による犯罪です。その成否は、標的を騙して違法なリンクをクリックさせたり、機密情報を提供させたりすることができるかどうかによって決まります。これらの攻撃に対する最も簡単な防御策は、何もしないことです。反応しなければ、悪意のあるテキストは何もできません。
スミッシング攻撃は狡猾です。既に被害に遭っている可能性もあるため、リカバリープランを用意しておく必要があります。
スミッシングの試行が成功した場合の被害を緩和するために、次の行動が重要になります:
これらの各手順は、スミッシング攻撃を受けた後にデバイスを保護する上で、特に重要です。攻撃を報告することにより、自分自身の被害からの回復だけでなく、他の人が被害に遭わないようにすることにもつながります。
関連リンク: