サイバーセキュリティにおけるSmishing攻撃

サイバーセキュリティにおけるSmishingとは

Smishingは、SMSを利用したフィッシング攻撃の一種である。SMSを送り、受信者から重要な個人情報、職業情報、金融情報を抜き取ったり、狙った対象に悪意ある内容を仕込むことを目的としている。このため、SMSフィッシングとも呼ばれる。

攻撃を実行するサイバー犯罪者の技量によっては、金銭をだまし取るケースもある。Smishingとフィッシングの被害者誘導手法を比べると、前者はSMSを、後者はメールを利用する。

知っておくべき重要な点

Smishingは、テキストメッセージで被害者を騙し、個人情報の漏洩、送金、またはデバイスへの悪意あるプログラムのインストールを促す攻撃である。

サイバー犯罪者は、銀行、宅配サービス、政府機関など信頼できる組織を装い、緊急性を強調することで被害者に迅速な行動を取らせる。

Smishingから守るためには、不意のメッセージに注意し、二段階認証を活用し、SMSフィルタリングツールを利用するとともに、最新の手口に関する情報を常に把握することが大切である。

Smishingの仕組み

従来のフィッシングと同様、Smishingは被害者を騙すための手口に頼っている。サイバー犯罪者は、金融機関、宅配業者、政府機関などの信頼される組織から送られたかのように見せかけたSMSを送信する。これらのメッセージは、口座の問題、配送遅延、または法的措置といった偽の緊急事態を訴え、即座の対応を促す。

攻撃者は即時の反応を狙い、問題解決のためにリンクをクリックさせようとする。しかし、そのリンクは信頼できるサイトに似せた偽サイトへ誘導し、偽サイト上でユーザ名、パスワード、クレジットカード情報、社会保障番号などの機密情報の入力を求める。

さらに、Smishing攻撃では悪意あるソフトウェアの拡散も行われる。メッセージ内のリンクが自動的に危険なプログラムをダウンロードさせたり、添付ファイルを通じて悪意あるソフトウェアを起動させたりすることがある。インストールされた悪意あるソフトは、機密データを抜き取ったり、利用者の行動を監視したり、携帯の制御を奪う可能性がある。

実際のSmishing事例

例えば、休日の時期に大好きなオンラインショップからの荷物を心待ちにしていたとする。突然、ショップからのようなSMSが届き、注文が保留中であると警告され、情報を即座に更新するようリンクをクリックするよう促される。迅速な対応をしなければギフトが届かないと脅されるが、実際はこのメッセージはショップからのものではなく、巧妙なSmishing攻撃である。

リンクは、本物そっくりに作られた偽サイトへ誘導し、クレジットカード情報などを盗む目的がある。個人情報を入力すると、攻撃者は必要なデータを全て手に入れ、なりすましや不正な取引、金融口座への不正アクセスなどに利用される。

Smishing攻撃の主な流れ

Smishingは、技術的な操作と心理的手法を組み合わせ、計画的に被害者を騙す。以下は主な段階である：

1. ターゲットの選定: サイバー犯罪者は、無作為な電話番号リストや、過去に漏洩した情報、またはダークウェブ上の情報を基に、狙いを定める。
2. 欺くメッセージの作成: 攻撃者は、恐怖、緊急性、好奇心などの感情を引き起こす説得力のあるメッセージを作成し、通常、リンクのクリックや個人情報の提供を求める呼びかけを含める。
3. メッセージの送信: 選ばれた被害者に向け、SMSゲートウェイやなりすまし、感染したデバイスを通じてメッセージが送信される。
4. 反応: 被害者は、リンクをクリックしたり、個人情報を返信したり、指定の番号に電話するなどの行動を取るよう仕向けられる。
5. データ窃盗または マルウェアのインストール: 被害者が騙されると、偽サイトに誘導され、ログイン情報や金融情報といった機密情報の入力を求められる。または、リンクをクリックすることで悪意あるソフトがダウンロードされ、データが抜かれたりデバイスが乗っ取られたりする。電話の場合、直接個人情報が引き出されるか、不正な料金が発生することもある。
6. 盗んだ情報の利用: 攻撃者は被害者の情報を入手した後、なりすまし、不正な購入、闇市場での販売、またはさらなる標的攻撃に利用する。
7. 痕跡の隠蔽: 発覚を避けるため、攻撃者は手口を変えたり、電話番号を切り替えたり、身元や所在地を隠す手法を用いる。これにより、セキュリティ対策を逃れながら活動を続けることができる。

Smishing攻撃者は、ソーシャルエンジニアリングの手法と組み合わせることで、攻撃の効果を高めることが多い。例えば、最初に電話で正当な理由を装い、個人情報を聞き出し、その後のSMS攻撃にその情報を利用する場合がある。

メッセージをより信頼性のあるものに見せるため、攻撃者は被害者の名前や住所などの公開情報を利用し、個別感を演出する。この手法により、被害者が疑問を持たず反応する可能性が高まる。

攻撃者はしばしばメッセージ内にリンクを埋め込み、フィッシングサイトやマルウェアインストールへと誘導する。リンクをクリックすると、悪意あるソフトウェアが携帯のセキュリティを侵害し、機密情報を収集または攻撃者のサーバへ静かに送信する可能性がある。

AndroidやiOSといった基本的な携帯セキュリティ機能があっても、人為的ミスによりSmishing攻撃は有効である。どんなに堅固な防御があっても、利用者が自ら機密情報を未知の発信元に渡してしまうのを完全に防ぐことはできない。

Smishing攻撃の種類

1. ‍COVID-19

最新の手法として、無料のCOVID支援、必須のコロナウイルス検査、接触追跡のための個人情報提供などが行われる。

2. ‍銀行からのSMS

ほとんどの人が銀行口座を所有しているため、油断している人を狙いやすい。サイバー犯罪者は、銀行からの情報更新には即座に行動することを知っており、銀行関連の情報には誰もが弱い。そのため、騙されると重要な情報を攻撃者に渡してしまう可能性がある。

3. ‍アンケートへの招待

最も一般的なSmishingの例は、アンケート参加の招待である。リンクをクリックさせ、偽サイトに誘導するか、マルウェアが含まれている場合がある。

4. ‍MFAコード

OTPを利用した認証は最も一般的なMFA手法であり、最近この方法を使った事例も散見される。

5. ‍注文確認

このタイプのSmishing攻撃では、個人情報の送信や特定のリンクのクリックを促すSMSが、偽の注文確認として用いられる。

6. ‍宝くじ当選通知

巨額の宝くじ賞金を謳ったSMSが流通し、賞金を受け取るには銀行情報の提供やリンクのクリックが求められる。

Smishing、フィッシング、Vishing：主な違いとポイント

様々なサイバー攻撃から身を守るためには、Smishing、フィッシング、Vishingを区別することが重要である。それぞれ異なる通信手段を用いて被害者から貴重な情報を引き出すが、手法と目的は異なる。

SMS

• 媒体: テキストメッセージ（SMS）
• 手法: サイバー犯罪者は、正式な発信元に見える偽のSMSを送り、受信者に機密情報の提供、危険なリンクのクリック、またはデバイスへのマルウェアインストールを促す。
• 例: SMSで口座に不審な動きがあると警告し、リンクをクリックして口座を守るよう促す。このリンクは、ログイン情報を盗むために作られた偽の銀行サイトへ誘導する。
• 補足情報: SMSは即時性と個人的な性質のため、脅威を見抜きにくい。攻撃者は、一時的な口座停止などの緊急性を訴えて被害者に迅速な行動を促す。

Email

• 媒体: メール（偽サイトやソーシャルメディアも含む）
• 手法: 詐欺師は、信頼される組織の公式メールに似せた偽のメールを作成する。通常、悪意あるリンクやファイルを含み、機密情報や金融情報を要求する。
• 例: 有名なオンラインショップを装ったメールが、セキュリティ上の理由でパスワード変更を促す。メール内のリンクは、偽のログインページへ誘導し情報を盗む。
• 補足情報: フィッシングメールには、添付ファイルを開くとマルウェアやランサムウェアが密かにインストールされる場合がある。ロゴや公式な言葉、場合によっては個人情報を含め、信頼感を高める工夫がなされている。

Voice Phishing

• 媒体: 電話（従来型またはVoIP）
• 手法: 詐欺師は、金融機関、警察、政府機関など信頼される組織を装い、電話で機密情報を引き出そうとする。
• 例: IRSを装い、未払い税金があると告げ、直ちに支払わなければ法的措置が取られると脅し、その後クレジットカードや銀行口座情報を要求する。
• 補足情報: Vishing詐欺では、発信元番号の偽装が行われ、正規の連絡先からの電話に見せかける。攻撃者は心理的圧力をかけ、場合によっては追加のSMSやメールで説得力を持たせる。

主な違い

• 通信チャネル:
  
  • Smishing：SMSで被害者を狙う。
  • フィッシング：偽のメール、偽サイト、ソーシャルメディアを利用する。
  • Vishing：電話で個人を狙い、正規組織を装う。
• 使用する手法:
  
  • Smishing：SMSで危険なリンクのクリックやマルウェアのインストールを誘導する。
  • フィッシング：偽のメールに悪意ある添付ファイルやリンクを含む。
  • Vishing：電話で機密情報の引き出しを試みる。
• 目的:
  
  • Smishing：SMSで個人情報を盗み、偽サイトへ誘導またはマルウェアをインストールさせる。
  • フィッシング：ログイン情報や個人情報、金融情報を狙う。
  • Vishing：電話で直接、クレジットカード番号、パスワード、口座情報を引き出す。

要するに、Smishing、フィッシング、Vishingはいずれも被害者から機密データを引き出すソーシャルエンジニアリングの一種だが、用いる媒体が異なる。これらの違いを理解することが、サイバー脅威から身を守るための鍵となる。

Smishing攻撃の実例

Smishing攻撃は、SMSを悪用して個人から機密情報を引き出す手法が特徴である。サイバー犯罪者は、VoIPサービスで電話番号を偽装するなど、発信元の追跡や確認を難しくする技術を多用する。

以下は、Smishing詐欺でよく用いられる具体例や手法である：

事例1：税金脅迫詐欺

• シナリオ: SmishingメッセージがIRSを装い、受信者に税金未払いがあると告げ、記載された番号に即座に電話しなければ逮捕されると脅す。緊急性を煽ることで、被害者を脅し、送金や機密情報の提供に追い込む。

事例2：配送・荷物詐欺

• シナリオ: 受信者はFedExやUPSなどの有名な宅配サービスを装ったSMSを受け取り、配達が失敗したと伝えられる。メッセージには再配達のためのリンクが含まれるが、そのリンクはログイン情報を盗むか、マルウェアをインストールする悪意あるサイトへ誘導する。
• 警告サイン:
  
  • 不審なURL：リンクが公式サイトと一致せず、モバイルブラウザでは全体が確認しづらい。
  • くだけた言葉遣い：公式な連絡というより、個人的な会話のような印象を与える。

事例3：賞品・抽選詐欺

• シナリオ: 受信者は、現金やギフトカードなどの賞品を獲得したと示すSMSを受け取り、賞品を受け取るためにリンクをクリックするよう促される。そのリンクは偽サイトへ誘導し、個人情報の入力を求める。
• 警告サイン:
  
  • 非現実的なオファー：前提条件もなく大きな賞品を提示するのは詐欺の可能性が高い。
  • 不審なドメイン：ウェブサイトのURLが一般的でないドメイン（例：.info）で、正規組織とは関係がない。

その他の一般的なSmishing手口：

• 銀行口座アラート:
  「[銀行名]のお客様、お口座に不審な動きが検出されました。こちらで取引を確認してください: [悪意のあるリンク]」
  
  • 手法: 金融面の不安を煽り、被害者に即時の行動を促す。
• 宅配便アラート:
  「お客様、配達時にご不在でした。こちらから再配達のスケジュールを設定してください: [悪意のあるリンク]」
  
  • 手法: ホリデーシーズンやセール時の配達活発化を狙い、油断した利用者を標的にする。
• アカウント保護警告:
  「お口座に見知らぬ端末からアクセスがありました。心当たりがなければ、こちらをクリックしてお口座を守ってください: [悪意のあるリンク]」
  
  • 手法: 口座の安全性への懸念を利用し、ログイン情報を引き出す。
• 賞品当選通知:
  「おめでとうございます！当選しました。こちらをクリックして賞品を受け取ってください: [悪意のあるリンク]」
  
  • 手法: 賞品の魅力で興奮させ、正当性を確認せずに行動させる。
• 緊急・家族詐欺:
  「家族が事故に遭いました。詳細はこの番号にお電話ください: [高額な電話番号]」
  
  • 手法: 家族の緊急事態などで感情を煽り、高額電話への発信や個人情報の提供を促す。

Smishing攻撃における心理的操作

Smishing攻撃は、心理学的手法を用いて被害者を従わせる。以下の手口がよく使われる：

1. 緊急性と焦燥感: 偽の即時危険（例：口座閉鎖、法的措置）を演出し、被害者に十分考える前に行動させる。
2. 個別対応: ターゲットの名前や銀行名など、個人情報を盛り込み、メッセージに信頼感を持たせる。
3. インセンティブの提供: 報酬や抽選、現金賞金を提示し、危険なリンクのクリックや情報提供を促す。
4. 取り逃がしの恐怖: 即時の対応を促し、行動しなければ資金や口座、サービスへのアクセスが失われると示唆して、経済的不安を引き起こす。

これらの手口を認識することで、個々が警戒を強め、Smishing攻撃の被害に遭わないようにできる。

Smishing脅威の認識と対策

フィッシングと同様、Smishingから身を守るには、不審なメッセージを見極め、それを無視するか適切な機関に報告することが重要である。携帯キャリアは、既知の詐欺師からの疑わしいSMSについて利用者に注意喚起したり、受信前にブロックする場合もある。

Smishingリスクの見極め方

1. SMSが現金賞金や割引といった迅速な報酬を提示し、個人情報の提供を促す。割引コードの案内もよく使われる。

2. 本物の銀行や金融機関は、SMSで個人情報や送金を求めることはない。クレジットカード番号、暗証番号、口座情報などの機密データは送らない。

3. 知らない番号からのSMSには注意し、応答しない。

4. 数桁のみの番号は、メールアドレス起源の可能性があり、スパムの特徴である。

5. 銀行情報を保存している携帯は、サイバー犯罪者の狙い目となる。デバイスに金融情報を保存しないことで、マルウェア感染時のリスクを低減できる。

6. 通信事業者には、不審なSMSを報告する専用番号がある場合がある。疑わしいメッセージはキャリアや詐欺関連の苦情を扱う機関に報告する。

Smishing攻撃への対策方法

Smishingから守るには、オンラインセキュリティの基本原則を理解することから始まる。以下は、Smishing、フィッシング、その他のソーシャルエンジニアリングから守るための実践的な対策である：

個人向け対策

• 多要素認証（MFA）の有効化: パスワードと一時コードなど、二重の認証を求めることで追加の保護層が得られ、たとえパスワードが漏れても不正アクセスのリスクが大幅に減少する。
• 予期しないメッセージに注意する: 特に緊急性や報酬を謳うSMSには疑いの目を持ち、公式の連絡手段で真偽を確認する。
• 最新情報の収集と知識の共有: 最新のSmishing手口に関する情報を把握し、家族、友人、同僚にも注意を促す。意識の向上が詐欺被害を防ぐ鍵となる。
• 疑わしいSMSには反応しない: リンクをクリックしたり、返信したりしない。信頼できる組織はSMSで機密情報を要求しない。

企業向け対策

• SMSフィルタリングツールの活用: 多くの携帯は、不審なSMSを識別しブロックする機能を備えている。
• アンチフィッシングソフトの利用: 偽のSMSを検出・ブロックすることで追加の防御を提供する。定期的な更新により新たな脅威にも対応できる。
• 送信元の確認: SMSで機密情報を求められた場合、メッセージに返信するのではなく、公式サイトの連絡先を通じて直接確認する。
• 不審なSMSの報告: 受信した疑わしいSMSは、携帯キャリアや関係当局に報告し、Smishingキャンペーンの追跡と停止に協力する。
• 定期的なセキュリティ意識向上研修の実施: 従業員や関係者にSmishing対策の認識と対応方法を継続的に教育する。
• ソフトウェアの最新状態の維持: 携帯のOSやセキュリティアプリを定期的に更新し、既知の脅威に対する最新の対策を講じる。

結局のところ、常に警戒し、疑いの目を持つことがSmishing防御の鍵となる。何か違和感を感じた際は、直感を信じ、行動前に必ずメッセージの正当性を確認することが大切である。

WallarmはSmishing攻撃にどう対応できるか？

Wallarmは、高度なセキュリティソリューションを提供し、デジタル環境全体を守ることで、組織がSmishing攻撃に先手を打って対応できるよう支援する。Smishingは特にモバイル通信を狙うが、Wallarmの総合的な保護機能は、APIトラフィックの安全確保や各プラットフォームでの不正活動の検出にも及ぶ。メッセージシステムのパターンや異常を見極めるAIツールにより、ユーザーから機密情報を引き出そうとする悪意ある試みを察知する。堅牢な監視体制と即時の警告により、Wallarmは企業がAPIレベルでフィッシング攻撃をブロックし、Smishingキャンペーンの成功リスクを下げるのに役立つ。さらに、継続的なセキュリティインテリジェンスを提供し、モバイルを狙う脅威を含む進化する攻撃に対して一歩先んじた対策を可能にする。