SMSは、携帯電話番号さえあればテキストや画像を送信することができる手軽なメッセージツールです。一方でその手軽さゆえに、金融機関や保険会社などの督促と偽ったSMSを通じて、金銭的詐欺による被害も横行しています。近年はさらに手口が巧妙化し、スミッシングと呼ばれる悪質なサイバー攻撃が急増しています。今回はこの攻撃について詳しくまとめ、被害にあわないようにするにはどうすればいいのか検証していきます。

 

スミッシングとは

スミッシングはSMSフィッシング詐欺とも言われ、通信キャリアや宅配業者、金融会社を装ったSMSを送り付け、偽のURLをクリックさせようと試みます。SMS（ショートメッセージサービス）とフィッシングを組み合わせた造語で、まず、偽URLからフィッシングサイトへと誘導します。そして個人情報やクレジットカードの情報などを盗み出して金銭を搾取したり、スマートフォンをマルウェアに感染させた後これを踏み台にした攻撃を行ったりします。つまりスミッシングはSMSを利用した「フィッシング詐欺」です。

フィッシング対策協議会の発表によると、2019年1月から12月までのフィッシング報告件数は55,787件で、2018年と比較して約2.8倍となっています。フィッシングは、ワンタイムパスワード導入等に代表される銀行側の対策により2014年以降、報告数は減少していましたが、2019年8月頃にワンタイムパスワードを詐取して即時に不正送金を行う手法による金銭的被害が再び顕在化しました。11月には1ヵ月で約7.7億円の被害が出たことから、多くのメディアが取り上げニュースとなりました。

 

急増するスミッシングの被害

スミッシングもこの時期同様に被害が増え、キャッシュレス決済のひとつである、「キャリア決済」の不正利用を目的としたフィッシングが横行しています。DoCoMo等通信キャリア（携帯電話会社）に装い、SMSからフィッシングサイト等に誘導する手口が使われています。2019年には、フィッシングサイトへの誘導にSMSを使う「スミッシング」の報告が増え、スマートフォン利用者が明確なターゲットとなっている状況が明らかになっています。トレンドマイクロの調査によると、スミッシングでフィッシングサイトに誘導されたスマートフォンユーザーは2019年1月から急増しており、月間4万人以上が偽の金融機関のWebサイトなどに誘導されています。

引用: トレンドマイクロ

 

また、国内の銀行をかたるフィッシングは5月頃より増え始めました。メールからのフィッシングサイト誘導がほとんどでしたが、年末ごろに、メールのみならず海外から送信された不正なSMSからのフィッシングサイト誘導が確認されています。さらに、通信キャリアをかたる不正なSMSも同じく海外から送られてきた事例が確認されています。SMSの仕様により受信者側のスマートフォンでは、実在する通信キャリアからのメッセージと同じスレッド上に不正なサイトに誘導するメッセージも表示されるため、多くの人が通信キャリアからの通知と信じてしまい、被害の拡大につながってしまいました。

 

引用: NPA

 

スミッシング対策の難しさ

電話番号さえ分かれば可能なスミッシングを防ぐ根本的な対策は、キャリア側が内容を判断し必要な場合遮断することです。しかし憲法21条は通信の秘密を定めており、またこれに紐付く電気事業通信法では、電気通信事業者の取扱中に係る通信は検閲してはならないこと、通信の秘密を侵してはならないことが明文化されています。キャリアがSMSの内容を傍受し解析して対策をたてるのは困難なのです。

 

スミッシングが広がった背景

SMSは電話番号と紐付き、キャリア加入者に確実に届きます。また全てのデバイスにデフォルトで搭載されていること、世界中で幅広く使われていることから到達率、開封率が高く、一方でセキュリティ対策がされていない点などが、攻撃が蔓延してしまった背景とみられています。

メールによるフィッシング攻撃は無料で配信できるものの、受信側のフィルタリング機能での防御により、スパムメールが到達して実際に攻撃が成功する確率が高くはありません。しかし有料のSMSはプッシュ型配信であり、電波が届く間は強制に受信されてしまうことから、ほぼ確実に相手に到達します。そのため、攻撃者はメールフィッシングよりスミッシングの方が費用対効果が高い、と判断していると推測されます。

またSMS認証の普及もあり、企業からメッセージを受領することに心理的ハードルが下がっていることも背景にあげられています。実際にあった事例で、三井住友銀行の名前で「お客様がご利用の口座が不正利用されている可能性があります。口座一時利用停止、再開手続き」という文面でSMSが送られ、手続き用のURLも記載されていたものがあります。そのURLをクリックして偽のフィッシングサイトに誘導され、数十万円をだまし取られてしまった被害も発生しました。攻撃者は金融機関以外にも、ECサイト、通信業者や宅配業者など様々な顔をしてメッセージを送ってきます。巧妙に偽っているので、メッセージが届けば本物だと思ってしまうのです。

 

マルウェア感染による被害拡大

スミッシングと関してさらに懸念されているのが、マルウェア感染による被害の拡大です。偽サイトに誘導しスマートフォンにマルウェアを感染させて、そこからスミッシングを拡大したり、データを搾取したりする方法が増加していることが報告されています。攻撃対象者がマルウェアを誤ってスマホにインストールしたら、そのスマホを踏み台にしてSMSをさらにばらまきます。

2018年には感染デバイスからSMSや連絡先リストなどのデータを抜き取るAndroidマルウェア「sagawa.apk」による攻撃が観測されました。これは佐川急便の荷物の不在通知を装ったSMSで、送られてくる短縮URLをクリックすることで偽サイトに誘導され、そこで偽アプリをインストールさせる手口でした。カスペルスキーの調査によれば、この偽アプリはインストール時に台湾と通信し、端末のIMEIや電話番号などの情報を送っていたということです。このアプリをインストールしてしますと次のような操作が遠隔で可能になってしまいます。

1. 画面をロックし、パスワードを「778877」にリセットする
2. 端末の管理者権限を得る
3. 「連絡先」の情報を収集し、外部にアップロードする
4. SMSやMMSの内容を取得し、外部にアップロードする
5. 他の不正アプリをダウンロードする
6. 既にインストールされている正規アプリをアンインストールし、他の不正アプリと置き換える
7. 音量とミュートの操作
8. ファイルの削除

また「MoqHao」と呼ばれるマルウェアは、スマホの所有者に気付かれることなくSMSやメールを送信できる他、端末の言語設定、IPアドレス、メール/ID、パスワード、名前、住所、クレジットカード情報（有効期限やセキュリティコードを含む）、銀行情報、秘密の質問とその回答といった情報を搾取可能にします。こうしたマルウェアに感染してしまうと、どれだけ危険かお判りいただけたでしょうか。二段階認証用のパスワードや、金融取引に使用している秘密の質問や答え等が盗まれれば、最早丸裸となってしまいます。

 

スミッシング被害を防ぐには

企業名に騙されない

SMSの送信者がたとえ大手企業名であっても、それだけを理由にリンクをタップするのは危険です。また、過去に受信したことのある企業であっても、送信者名が偽装されていた場合、本物の受信ボックスの中に偽物が紛れ込む可能性もあります。

 

本文に添付されたURLを確認する

リンク先のフィッシングサイトは、本物と区別がつかないほど巧妙に作られている場合があります。しかし、添付されているURLは、よく確認すれば本物と違うことが分かります。フィッシングサイト等の悪質サイトか否かを確認できるようなサイトで、アクセスする前に確認するのも良いでしょう。

 

提供元不明アプリをインストールしない

フィッシングサイトでは、不正アプリのダウンロードを要求することも珍しくありません。不正アプリをダウンロードしようとすると、Android端末では、「提供元不明アプリなためインストールできません。」と警告が表示されますので、そのままインストールしないようにしましょう。全てのアプリは、必ずGoogle PlayやApp Storeから入手するようにします。

現状こうしたSMSを使った攻撃には、対策の難しさでもふれたように確実なセキュリティ対策の仕組みがないことも問題のひとつとなっています。通信会社側の対策以前に、利用者一人一人がまだスミッシングに対する認知や危機感が低いのも、被害が拡大しやすい背景のひとつと言われています。常に日頃から自分のスマホが狙われている意識をもって、セキュリティに敏感になっておくことが被害を防ぐためには重要となってくるでしょう。