SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは(2/2 ページ)
SMSを使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。
SMSが選ばれる理由「確実に届けられる」
同様のフィッシング詐欺は以前からメールでも行われてきた。SMSはメールと違い送信料金が1通につき5円以上かかるためコストの面から避けられてきたが、近年はSMS特有のメリットが攻撃者から評価されている。
SMSは電話番号でメッセージが送れる。メールアドレスに比べて電話番号は桁数に限りがあるためランダムに送っても届きやすい。送信料は実際に届いた場合にだけ請求されるためコストパフォーマンスもいい。中にはほぼ無料でSMSを一斉送信するサービスを提供するSMS配信代行業者もいるという。
電話番号を使えば攻撃対象の国も指定できる。日本に向けて、日本人になじみの深い企業を装って、日本語でメッセージを送信することで、攻撃の成功率を上げられる。
大抵のスマートフォンには最初からSMSアプリがインストールされているため、ほとんどの人はSMSを開ける。その上、SMSはプッシュ方式といって、電波さえ届けば受信者の意図に関係なく強制的にメッセージを送れる仕組みになっているため、メッセージの開封率も高い。
加えて、SMSにはセキュリティ対策の仕組みがないことが大きな原因になっているという。
SMSにはセキュリティ対策の仕組みがない
メール経由のフィッシング詐欺に比べ、スミッシングのセキュリティ対策は非常に難しいのが現状という。そもそもSMSの仕組みを理解している人が少ないうえ、通信の秘密を確保するため通信内容を見られないことで、危険なURLを検知しにくい状況にある。
全く対策がないわけではない。携帯キャリアなどは不審な通信を行う端末やユーザーをブラックリストに入れて適宜ブロックしているという。しかし、これにも弱点がある。
攻撃者は送信者名を偽る、フィッシング用のURLを日々変える、ブロックされたら別の回線に切り替える、遠隔操作で一般人の端末を使うなど、さまざまなルートを使ってSMSを送信する。中には通信事業者などを装って、正規の広告SMSの合間にフィッシング用SMSを混ぜ込む手口もあるという。
端末やユーザーをブロックしてもキリがなく、問題のないユーザーが送信したSMSにもフィッシング用SMSが紛れ込んでいる状況だ。
マクニカネットワークスは、メッセージの中身を見ずにスミッシングを検出する通信モニタリングシステムを開発しているが、具体的な対策にはまだ乗り出せていない。今後は通信事業者などと連携して情報の共有やビッグデータを活用したスミッシング予測技術などの構築を検討している。
関連記事
- 新型コロナでどんなサイバー攻撃が増えているのか? 傾向と注意点を専門家に聞いた
新型コロナをきっかけに企業のIT環境が変化したことで、企業を狙ったサイバー攻撃にも変化が現れている。専門家によると、新型コロナに便乗したサイバー攻撃の他に、VPNサーバや自宅ネット環境を狙ったものも増えているという。 - ニューノーマル、誰も悪者にしないために従業員ができる「テレワークセキュリティ術」は?
ニューノーマルに強制的に移行させられた結果、セキュリティの責任を個人が負うことになる可能性がゼロではなくなった現在。我々はどう動くべきか。 - 被害額は1000万円超 前澤氏の現金配布企画に便乗した「ギブアウェイ詐欺」とは
ZOZO創業者の前澤友作氏の現金配布企画に詐欺師が便乗する事件が6月末に発生。被害額は1000万円を超えるとみられる。犯人の手口をホワイトハッカーが解説する。 - 感染スマホを“踏み台”に、マルウェアばらまく──巧妙化する「Roaming Mantis」の手口
Android端末を狙い、不審なSMSを送り付け、フィッシングサイトに誘導したり、マルウェアを配布したりする「Roaming Mantis」。セキュリティ研究者の追跡を逃れるために手口が巧妙化しているという。 - メールで獲物を釣り上げるphishing詐欺、大物狙いの“捕鯨”も
大物狙いのwhalingという新用語もあるそうで。
Copyright © ITmedia, Inc. All Rights Reserved.