スミッシングとは？

携帯電話を使い、電話番号を宛先としてメッセージをやりとりする仕組みをSMS（ショートメッセージサービス）と言います。契約している携帯事業者が異なっていても、相手にメッセージを送ることができる便利な仕組みとしてご存じの方も多いことでしょう。

実はこのSMSを悪用したフィッシング詐欺が近年流行っており、被害の拡大が懸念されています。通信事業者を名乗った例を挙げると、「お客様がご利用の電話料金が高額になっていますので確認してください」というメッセージとともにURLが添付され、URLをクリックしてしまうと攻撃者が用意した偽サイトに飛ばされます。そのサイト上に個人情報を入力させ、情報を窃取・悪用するという悪質な手法です。

もともとメールを悪用したフィッシングは、銀行やクレジットカード会社などの金融機関を装って電子メールを送り付け、住所や銀行の口座番号、クレジットカード番号、自身が契約するWebサービスに利用するIDやパスワードなどの認証情報などを窃取する行為として広く認知されています。このフィッシングの手法同様に、SMSによるメッセージを悪用してURLをクリックさせ、各種個人情報を取得したり、スマートフォンを遠隔操作できるような不正なアプリ、いわゆるマルウェアをインストールさせたりするのが、今回紹介するスミッシングです。

スミッシングは、SMSとフィッシング（phishing）を組み合わせた造語で、2006年ごろにセキュリティベンダーのブログ上に登場したのが起源とされています。海外ではtext scamといった名称でも呼ばれており、日本では2017年の年末に初めてスミッシングが観測されたと言われています。

見分けがつかない！スミッシングの文言実例

このスミッシングが巧妙なのは、SMSを受信した相手の不安を助長し、クリックしたくなる内容を送り付けてくることです。宅配業者や金融機関を名乗ったものから、新型コロナウイルス感染症に関連した時事ネタ、料金未払いのお知らせなど、その事例は枚挙にいとまがありません。マルウェア感染したスマートフォン内の電話帳を悪用し、友人を装って「このSNSにあなたの写真が載っているぞ」といったメッセージを送り付け、URLをクリックさせるような手法を用いるものもあります。普通に考えれば、疑いなくクリックしてしまうような内容で、正直見分けが付けられないのが実態です。

ここで紹介しているのは、スマートフォンを利用している個人に対してのスミッシング実例ですが、社員IDの取得や企業への不正アクセスを行うための認証情報、遠隔操作するためのマルウェア感染など、企業をターゲットとしたスミッシングも存在します。

ただし、個人を狙った攻撃者と企業をターゲットにした攻撃者はそれぞれ別の属性とマクニカでは見ています。日本で流行っているのはクレジットカード番号や預金口座など金銭を目的とした個人をターゲットにしたものが中心で、企業向けの場合はシステムを暗号化させて身代金を要求するランサムウェアやBEC（Business Email Compromise)といったビジネスメール詐欺にて金銭を振り込ませるような、組織的な犯罪集団の手口が多くみられます。同じスミッシングでも、個人と法人向けの犯罪集団は別だというのが現状の見立てです。

被害が広がるスミッシングの実態

フィッシングを含めたスミッシングによる被害は、残念ながら拡大傾向にあります。フィッシング対策協議会が公表している情報によると、フィッシング報告件数は毎月3万件ほどで、2021年8月には5万3177件にまで達している状況です。最近のスミッシングについては、Amazonや楽天などECサイトを語るものが多く報告されており、メールに比べて本物だと誤認しやすい傾向にあることから、業界団体から注意喚起が行われているほど。

出典：フィッシング対策協議会　HOME > 報告書類 > 月次報告書 > 2021/08 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202108.html

警視庁のサイバー犯罪対策プロジェクトにおいても、不正送金やクレジットカード被害が多く報告されており、主に個人資産が狙われていることが分かります。なお、警視庁の資料からは令和2年に被害が減少したような結果も示されていますが、一般社団法人日本クレジット協会が発行した情報では、クレジットカードの不正利用被害額などは減少しておらず、特にクレジットカードの番号を盗用する被害額が令和に入って増えています。決してスミッシングが下火になっていないことが資料からも読み解けます。

「到達率」「開封率」が仇に…スミッシングが流行るワケ

従来からあるフィッシングに加えて、スミッシングが詐欺を行うための手口として世界的にも流行っているのはなぜでしょうか。実はSMSの特性から被害が拡大しやすい状況が生まれているためです。

その1つが、メッセージそのものの「到達率」が高いこと。電話番号に紐づいてメッセージが配信されるため、アカウントやドメインが一致しないと届かないメールアドレスに比べて、電話番号を持った本人に直接メッセージを届けることができます。悪意のある攻撃者からすると効率よくメッセージが届けられるわけです。

また「開封率」の高さもスミッシングが広がる背景にあります。もともとメールアドレスに届くメールのなかには、広告メールなども数多く含まれており、メールを開封せずに放置している方も少なくありません。しかしSMSに届いたメッセージは電話番号に対して直接連絡がくるため、疑いなく確認してしまうケースが後を絶ちません。もちろん、前述したような危機感をあおったり関係のありそうな文言を巧みに使いこなしたりするため、誘導させたい偽のURLを思わずクリックしてしまう人が多いのです。

SMSが持つ到達率や開封率の高さが、多くの攻撃者にとって都合のいい仕組みとして重宝されてしまっているのです。

スミッシングによる2つのアプローチ

大きな被害につながる恐れのあるスミッシングですが、実際には2つのアプローチに大別できます。1つが偽のWebサイトに誘導したうえで貴重な情報を窃取するもの、もう1つがスマートフォンを遠隔操作するためのマルウェアをダウンロードさせるものです。

１．偽サイトへの誘導

前者は、SMSを経由してメッセージを送り付け、攻撃者が用意した偽サイトへ誘導、その偽サイトに銀行のアカウント番号やクレジットカード情報などを入力させることで情報を窃取する方法です。盗まれた情報を使ってユーザ本人になりすまし、ECサイトで多額の買い物をしたり貯金を別の口座に不正送金させたりすることで金銭的な被害が広がります。アクセスした偽サイトは本物そっくりに作り込まれており、偽サイトと見破ることが難しいケースもあります。実際には、宅配業者から届いたメセージに見せかけ、添付のURLをクリックすると銀行の偽サイトに誘導されるケースもあり、宅配業者が銀行のWebサイトに誘導する時点で怪しいと気づくはずが、電話番号に紐づいたSMSを信用してしまい、その違和感に気づかない人も多く見受けられます。

２．遠隔操作を可能にするマルウェアのダウンロード

攻撃者による遠隔操作を可能にするマルウェアを利用する後者のアプローチは、SMSを経由してメッセージを送り付け、URLをクリックした段階でスマートフォンにマルウェアが仕込まれるという手法です。マルウェアをダウンロードしてしまうことで、スマートフォンの持ち主が知らないところで、犯罪者が遠隔操作可能な状態になります。例えば、持ち主になりすましてスマートフォン内に登録されている携帯番号・登録されていない電話番号に対してスミッシングを大量に送信したり、電話番号や携帯電話内に保存されたパスワードなどの個人情報を抜き取られてしまったりする危険性があるのです。被害者としてだけでなく加害者にもなり得るため、被害をより拡大させる一端を担ってしまいかねません。昨今では、このアプローチが非常に深刻な事態を招いています。

特にマルウェア感染したスマートフォンに登録されている電話番号が盗まれた場合、「SNSにあなたの映像が映っていたよ」といった、知り合いを装ったようなメッセージを相手に送り付けるケースなど、心理的にクリックしたくなるような文言を巧みに使う例も報告されています。送信履歴に残らないように工夫されており、知り合いから連絡が来て初めてマルウェアに感染していることに気づくこともあるほどです。マルウェアの存在を気づかせず、徐々に感染を広げていくなど、非常に厄介なアプローチと言えるでしょう。

実際にマルウェアに感染しているかどうかは、なかなか判断できないものです。それでも、知らない番号からの着信が増える、SMSが大量に届く、不正決済に関する通知が何度も表示される、身に覚えのないSMS通信料が発生し携帯電話料金が高額になるなど、通常とは異なる状況が発生している場合は、自身のスマートフォンがマルウェアに感染している可能性があります。その兆候をしっかりと把握することが重要です。

スミッシング被害を防ぐために意識すべき、たった1つのこと

SMSを悪用したスミッシング被害にあわないためには、どのようなことを意識するべきなのでしょうか。例えばEメールを悪用したフィッシングでは、攻撃者が利用するメールアドレスや偽サイトのURLをブラックリストとして登録し、メールを受信しないようにすることが可能ですが、SMSでのメッセージに対して同じような対策をとることが現時点では難しい状況です。メッセージを受信することは避けられないことを前提に、SMSに含まれるURLは絶対にクリックしないことを意識すべきです。スミッシング被害にあわない有効な方法として、しっかり意識して欲しいところです。

• スミッシングによる被害は毎年増加
• 不正送金・クレカ番号を盗み取る手口も拡大
• 文面も時事ネタを含め多岐に渡り、人々の不安を煽っている
• 今後も社会的に情報連携が加速→流れに乗じて、狙ってくる可能性大
• スミッシング被害者→加害者になって、拡散してしまう

スミッシングは、SMSを配信する携帯電話事業者はもちろん、偽サイトへ誘導するために名前を使われてしまう企業、そして不正アクセス先となる金融機関など、それぞれ立場が異なっているため、業界横断的な対策が必要不可欠です。しかし、利害関係の異なる業界、企業同士をつなぎあわせるには難しい側面もあります。

今マクニカがスミッシング対策に取り組んだ背景には、元来セキュリティを生業としてそれぞれの団体にセキュリティ対策やコンサルティングを提供してきたというバックボーンがあり、業界を横断した連携に向けた橋渡しが可能な立ち位置にあったためです。まさに社会課題としてのスミッシング撲滅に向けて、今後もマクニカが持つセキュリティに関する知見やエンジニアリングパワーを結集して対応していきたいと考えています。