SMS(ショートメッセージサービス)を使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている――NTTドコモが9月1日に主催した通信事業者向けのイベントで、セキュリティ製品を手掛けるマクニカネットワークスが警鐘を鳴らした。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。
スミッシングとは、電話番号だけで文章や画像を送受信できるSMSを悪用し、運送会社や銀行、携帯キャリアなどを装って個人にメッセージを送ってフィッシング詐欺を働く攻撃手法のこと。
攻撃者は「お荷物のお届けに上がりましたが不在のため持ち帰りました」「利用料金の確認が取れていません」といったメッセージとともにフィッシングサイトへのURLや電話番号を記載したメッセージを攻撃対象に送信。個人情報を窃取したり、スマートフォンにマルウェアをインストールさせたりする。
トレンドマイクロの調査によると、スミッシングでフィッシングサイトに誘導されたスマートフォンユーザーは2019年1月から急増。月間4万人以上が偽の金融機関のWebサイトなどに誘導されているという。
スミッシングが巧妙化し、急増している背景には、SMS特有のセキュリティ対策のとりにくさと、メッセージを攻撃対象に確実に届けられるという便利さがあった。
スミッシングの代表的な手口は、攻撃者が何者かになりすましてフィッシングサイトなどに誘導するためのメッセージを送り、攻撃対象者に開かせるというシンプルなものだ。
メッセージを開かせた後の主な攻撃ルートは、フィッシングサイトに誘導する方法、詐欺電話に誘導する方法、マルウェアをインストールさせる方法などがある。
フィッシングサイトは、運送業者などが実際に展開しているWebサイトをコピーしたものが主流で、個人情報を入力させてその後の詐欺につなげる。URLを見て異変に気付ける人もいるが、マクニカネットワークスのエンジニア・鈴木一実さんによると「普通の人はURLを見ないので見分けられない」という。詐欺電話に誘導する場合も同様にして情報を窃取する。
鈴木さんが「被害が思ったより深刻」として注意を呼びかけるのは、近年日本で増えているというマルウェアを使った手法だ。攻撃者はSMSにマルウェアのリンクを仕込んで攻撃対象に送る。攻撃対象者がマルウェアを誤ってスマホにインストールしたら、そのスマホを踏み台にしてSMSをさらにばらまくという手法だ。
例えば攻撃者は運送会社を装って攻撃対象に不在通知の偽SMSを送る。そこから偽の再配達設定サイトに誘導し、偽の運送会社公式アプリをインストールさせる。このアプリの中にマルウェアが入っている。
代表的なマルウェアは「MoqHao」と呼ばれるもの。スマホの所有者に気付かれることなくSMSやメールを送信できる他、2段階認証を行う際に送信されるSMSを盗み見たり、本体に保存された連絡先情報を取得したりできるという。
マルウェアに感染すると、スミッシング被害者も加害者になる可能性がある。日常的に使われている端末から送信されたSMSという扱いになるため、対策も一筋縄ではいかないという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR