SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは（2/2 ページ）

[谷井将人，ITmedia]

SMSが選ばれる理由「確実に届けられる」

　同様のフィッシング詐欺は以前からメールでも行われてきた。SMSはメールと違い送信料金が1通につき5円以上かかるためコストの面から避けられてきたが、近年はSMS特有のメリットが攻撃者から評価されている。

　SMSは電話番号でメッセージが送れる。メールアドレスに比べて電話番号は桁数に限りがあるためランダムに送っても届きやすい。送信料は実際に届いた場合にだけ請求されるためコストパフォーマンスもいい。中にはほぼ無料でSMSを一斉送信するサービスを提供するSMS配信代行業者もいるという。

　電話番号を使えば攻撃対象の国も指定できる。日本に向けて、日本人になじみの深い企業を装って、日本語でメッセージを送信することで、攻撃の成功率を上げられる。

　大抵のスマートフォンには最初からSMSアプリがインストールされているため、ほとんどの人はSMSを開ける。その上、SMSはプッシュ方式といって、電波さえ届けば受信者の意図に関係なく強制的にメッセージを送れる仕組みになっているため、メッセージの開封率も高い。

　加えて、SMSにはセキュリティ対策の仕組みがないことが大きな原因になっているという。

SMSにはセキュリティ対策の仕組みがない

　メール経由のフィッシング詐欺に比べ、スミッシングのセキュリティ対策は非常に難しいのが現状という。そもそもSMSの仕組みを理解している人が少ないうえ、通信の秘密を確保するため通信内容を見られないことで、危険なURLを検知しにくい状況にある。

　全く対策がないわけではない。携帯キャリアなどは不審な通信を行う端末やユーザーをブラックリストに入れて適宜ブロックしているという。しかし、これにも弱点がある。

　攻撃者は送信者名を偽る、フィッシング用のURLを日々変える、ブロックされたら別の回線に切り替える、遠隔操作で一般人の端末を使うなど、さまざまなルートを使ってSMSを送信する。中には通信事業者などを装って、正規の広告SMSの合間にフィッシング用SMSを混ぜ込む手口もあるという。

　端末やユーザーをブロックしてもキリがなく、問題のないユーザーが送信したSMSにもフィッシング用SMSが紛れ込んでいる状況だ。

　マクニカネットワークスは、メッセージの中身を見ずにスミッシングを検出する通信モニタリングシステムを開発しているが、具体的な対策にはまだ乗り出せていない。今後は通信事業者などと連携して情報の共有やビッグデータを活用したスミッシング予測技術などの構築を検討している。