ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

スミッシングとは?SMSを使った詐欺を改めて解説!

スミッシング smishing SMSフィッシング SMS-phishing

今日は、スミッシング(Smishing)について解説させて頂きます。

このスミッシング、以前から行われている攻撃手法なのですが、最近、スミッシングという用語で呼ばれる事が増えてきたようです。

そこで、今日は、改めて、スミッシング攻撃の基礎を紹介させて頂いた上で、被害に合わない為に知っておくべき内容や対策(どのように防げば良いのか)についても紹介させて頂きます。

また、なぜ、このスミッシング攻撃が無くならないのか、といった点についても解説させて頂きます。


では、改めて、スミッシングとは何か。

スミッシングとは、従来、SMSフィッシング(SMS phishing)という用語で知られていたものです。

すなわち、SMS(携帯の電話番号を宛名として短いメッセージを送ることが出来るサービス)を利用して攻撃対象者にメッセージを送りつけ、攻撃対象者の情報を奪おうとする攻撃の事です。

それが、近年、「SMS」という用語と「フィッシング(phishing)」という用語を組み合わせて一語にして、スミッシングと呼ばれる事が増えました。

スミッシング詐欺とも呼ばれます。


具体的な攻撃方法としては、攻撃者は、まず、攻撃対象者に対して、「運送業者(宅配業者)」「金融機関」「公的機関(行政など)」「電話会社(キャリア)」「通販サイト(ECサイト)」などのフリをしてSMSメッセージを送りつけます。

内容は様々ですが、基本的に、メッセージの中にURLの記載があり、そのURLにアクセスして何らかの情報を登録するように誘導するケースが多いと言えます。

もちろん、そのメッセージは偽物であり、攻撃対象者が偽物のサイト(フィッシングサイトなどと呼ばれます)にアクセスし、情報を登録してしまうと、情報が攻撃者に渡ってしまいます。

そして、攻撃者は、その情報を利用して何らかの利益を得る為の行動を起こします。

例えば、金融サービスの利用に必要な情報を登録してしまった場合であれば、その金融サービスを利用して資金を奪ったりします。

場合によっては、フィッシングサイトにアクセスした際に、その端末にマルウェアが感染してしまうような仕組みになっているケースもあります。


では、なぜ、スミッシングによる被害はなくならないのか。

まず、送られてくるメッセージが、本物と見分けるのが難しいという理由があります。

例えば、代表的なスミッシングで送られてくるメッセージには、

・宅配業者からの配達(再配達)についての連絡

・金融機関からのアカウント凍結についての連絡

・通販サイトなどからの支払についての連絡

などがあります。

これらは、(SMSで連絡が来るかどうかはともかくとして)実際にそのような連絡が来る事があるものです。

ですから、過去、本物の同様のメッセージを受け取り、何らかの対応を行った事のある人からすると、「また、以前と同じようなメッセージが来た」と感じてしまい、あまり深く考えずに対応してしまいがちなのです。

結果、偽物のサイト(フィッシングサイト)に情報を提供してしまう事があるのです。

また、送られてくるメッセージの多くは、対応しないと大変な事になるような印象を受けるものが多く(例えば、口座が凍結される、サービスが利用し続けられなくなる、など)、メッセージを受け取った人が慌てて対応してしまうケースも少なくないようです。


なお、フィッシング攻撃については、SMSだけではなく、一般的なメールを利用したものも多く行われています。

しかし、SMSには通常のメールよりも短く、また、簡素(装飾されていない)といった特徴があります。

この為、スミッシングは、他のフィッシングと比べ、「偽物である事を見破りにくい」と感じる人もいらっしゃるようです。

また、SMSは本人確認(多要素認証)に使われる事から、通常のメールよりも疑わずに対応してしまう方もいらっしゃるようです。


では、このスミッシングは、どのように被害に合わないように対策すれば良いのでしょうか。

基本的に、スミッシングを防ぐ為に知っておくべき事は、通常のフィッシング攻撃による被害を防ぐ為に必要となる知識と同じです。

具体的には、まず、記載されているURLに十分に気をつける事です。

もっとも、(偽物ではない)正規の相手が送ってくるSMSでも、短縮URLと呼ばれるような、本来の企業のURLとは異なるURLを記載しているケースもあります。

また、URLが一文字違いで偽物というケースもあります。

この為、自分の目で見てURLが偽物かどうかを見分けようという考え方はしない事をお勧めします。

SMSに書かれているURLにはアクセスせず、検索エンジンを使って対象企業のホームページにたどり着いたり、お気に入り(ブックマーク)からのアクセスをする事で、フィッシングサイトに誘導される事を避けられます。

もっとも、届いたSMSが本物である場合でも、そのメッセージに記載されているURLにアクセスせざるを得ないケースもあり(企業によっては、書かれているURLに検索エンジンなどからではたどり着けないケースがある)、それが故に、「絶対にSMSに記載されているURLにはアクセスしてはいけない」とは言えないのが悩ましい所です。

スミッシングが多く発生している以上、SMSに書かれているURLにアクセスする事を求める企業には、自社の方針の変更を検討して貰いたいところです。


ちなみに、SMSに書かれているURLからたどり着く偽サイト(スミッシングサイト)は、かなり本物のサイトを似せているケースがあります。

ロゴなども本物と同じものを使っているケースがありますので、見た目で偽サイトを見分けようとするのも止めるようにして下さい。

また、SMSの差出人が電話番号ではなく企業名やサービス名となっている事がありますが、これは比較的容易に偽装できるものです。

この為、そのような部分を信用してはいけません。

なお、スミッシングで名前が利用されている企業は、自社のホームページで注意喚起をしている事もあります。

ですから、SMSが届いたら、該当企業のホームページで注意喚起されていないかどうかを確認する手もあります。

企業によっては、

・自社がSMSを送る場合の送信元電話番号

・自社がSMSを送る場合の内容

などの情報を公開しています。


「これさえ行えばスミッシングの被害は防げる」という簡単な方法をご紹介できないのが残念ですが、これらの点に注意して、スミッシングの被害から身を守って頂ければ、と思います。

スミッシングはかなり巧妙です。

そして、攻撃者は、貴方の電話番号さえ解れば、貴方にメッセージを送る事が出来ます(電話番号は数字ですので、適当、または、総当たりでメッセージを送る事もできます)。


この為、スミッシングのメッセージを受け取らないようにする事は困難であり、また、騙されないようにする事も容易な事ではありません。

「自分の所に届いたSMSは偽物の可能性がある」という事を肝に銘じ、騙されないようにして下さい。