サイト内検索
コンサルティングメニュー
コンサルティング事業
HOME
ソリューション
コラム・
事例・資料
お問い合わせ

はじめに

マクニカは5年以上の長きに渡り、通信事業者が行ってきたスミッシング対策を見守ってきました。本コラムでは、目まぐるしく変化するスミッシングの変遷を調査し、様々なステークホルダーと共にスミッシングの発見、対策をし続ける通信事業者のスミッシング対策の歩みをご紹介いたします。

SMSとは

SMSは携帯電話の基本機能で、携帯端末を購入したその日からアプリなどのインストール作業も必要なく使う事ができます。電話番号=所有者と紐づけされている事もあり、最近では企業がSMSを使ってユーザへ連絡をとるケースが増加しており、SMS送信量自体も急増しています。内容としては本人認証のパスワード、サービス向上のためのアンケート、お知らせの配信など利用用途も様々です。

SMSの利便性に便乗したスミッシング

SMSはアプリの設定も必要なく、携帯電話番号にメッセージを直接送信できるという利便性があります。その利便性を悪用したフィッシング詐欺、いわゆるスミッシングが近年急増しています。
スミッシングとは、SMSとフィッシング(phishing)を組み合わせた造語で、SMSを悪用して偽サイトへ誘導し、個人情報を抜き取る手口の事を指します。以下のようなメッセージを受け取った事がある方も多いのではないでしょうか。[1] 

SMS自体の信頼度を高くみせるために、実在する企業名やブランドをメッセージ内に含め、さもその企業からの連絡であるかのように見せるケースも多く存在します。
メッセージの多くは、受け取った方の不安を煽り、すぐにでも確認をしたくなるような内容が多くなっています。
メッセージ内のURL(www.●●●●●.comなど)にアクセスするすると本物そっくりな偽サイトとなっており、そこで入力した個人情報はそのまま攻撃者の手に渡ってしまいます。偽サイトは巧妙に作られており、本物かどうか見分けることは困難です。
入力を促される情報は、個人情報のほかにも、IDやパスワード、電話番号、銀行の口座番号、クレジットカード番号(セキュリティコード含む)があります。これらの情報は闇市場で取引され、不正利用に使われる危険性があります。クレジットカードの番号盗用被害額は400億円、インターネットにおける不正送金も80億円を超えた年もあります。

巧妙化するスミッシングの手口

昨今、スミッシングの手口はより巧妙化しています。
例えば、SMS内のURLへアクセスするとアプリの更新を求めるポップアップが表示され、<OK>を押すと攻撃者が携帯電話端末を遠隔操作できるようになる不正なソフトウエアがインストールされ、本人の気が付かないうちに、他者へスミッシングを送ってしまうケースも増加しています。この手口ではiOSとAndroidで誘導されるサイトが異なり、不正アプリのインストールを促す場合と、IDやパスワードなどの搾取を目的としているケースが存在します。

このように不正アプリがインストールされた感染端末が日本国内に急増しており、意図せず送信されてしまうスミッシングの数量も増加しています。これにより、スミッシング被害が拡大しているのです。

通信事業者がスミッシング対策を進める際の課題

こうしたスミッシングの被害が社会問題となる中で、1人でも被害に遭う人を減らそうと、どんな対策を導入すると効果が出るのか、持続可能な対策の検討・議論が開始されました。ここで対策を進めるにあたり、考慮しなければならないことが「通信の秘密」です。誰にも通信の内容や通信の存在、相手方といった事実を知られずに秘密のうちに通信を行うことができることは、個人のプライバシーを保障する上でも、自由なコミュニケーションの手段を保障する上でも大変重要なことです。これは憲法第21条第2項において、通信の秘密が個人として生きていく上で必要不可欠な権利として保障されています。通信事業者はこの憲法に記載されている「通信の秘密」を順守する必要があります。

スミッシングが端末で受信されないようにするためには、通信事業者がSMSの内容を閲覧する必要があります。しかし、ユーザの同意がない限り、メッセージの内容を閲覧することはできず、悪意のあるメッセージかどうかの判断はできません。この課題を解決するため、スミッシングを判別するために通信事業者がメッセージの内容を閲覧することを許諾するかどうかをユーザが選択する仕組みの提供がスタートしました。ユーザは、通信の秘密を優先したい場合、通信事業者が提供する機能をOFFにすることも可能です。

障壁を乗り越え、スミッシングのブロックを開始へ

こうして、様々な調整・要件検討・運用に向けた準備を経て、20227月を皮切りに通信事業者各社が迷惑SMSの拒否設定サービスを開始する事になります。ユーザはサービスを受けたくない場合、設定をOFFにすることができます。

NTTドコモ  危険SMS拒否設定 <2022年3月にサービス提供開始>
ソフトバンク 迷惑SMS対策機能 <2022年6月にサービス提供開始>
au 迷惑SMSブロック

<2023年2月にサービス提供開始>
楽天モバイル 迷惑SMS拒否設定 <2024年7月にサービス提供開始予定

通信事業者各社はこのブロックサービス以外にも、携帯電話端末のアプリ側対策も強化を行い、各社のホームページやXにて、注意喚起を促すなど、ユーザが詐欺被害に遭わないような取組を継続的に発信・展開しています。

サービス開始後もスミッシングが深刻化

通信事業者としては、詐欺被害に繋がる可能性のあるSMSがユーザに届かないようにしたい一方で、SMSを利用する企業も増加しているため、企業がユーザへ発信する本物のメッセージを間違って止めてしまい、届けるべきメッセージが受領できないという事態は絶対に避ける必要があります。慎重にシステムや運用を検討して、安心・安全かつ企業の運営を阻害する事がないよう、細心の注意を払いながら、検討が日夜進められています。

これらのシステムが導入されたことで100%課題が解決されるほど、この問題はシンプルではないのが現実です。スミッシング自体の手口は日ごと(場合によっては数十分単位)でめまぐるしく更新され、攻防戦が繰り広げられているのです。冒頭でスミッシングが深刻化と言及していますが、迷惑SMSのブロックが開始されてからも、様々な手口・手法が試されるなど、通信事業者側の負荷は計り知れません。
更に、ユーザの携帯電話にて不正アプリのダウンロードを促す事象が拡大し、ユーザが気付かない間にスミッシング送信に加担してしまうマルウェア感染が急速に増加しています。マルウェア感染は、ユーザが被害者であると同時に加害者になること、自分では気が付かないケースが多いことが問題となっています。

新対策が2024年夏から開始

この新たな問題を少しでも低減する為に通信事業者は対策を検討し、20243月末に「意図せぬ迷惑メッセージ送信に関するお知らせ」を行う事を発表しました [2]。危険サイトへ誘導するURLなどを含むSMSの送信が見つかると、通信事業者から連絡が入り、身に覚えのないアプリがインストールされていないかの確認・削除の依頼が行われる予定となっています。現時点では1社からの発表ですが、他の通信事業者でも同様の対応が行われることが期待されます(2024610日現在)。

闘いはまだまだ続く・・・

このように、スミッシングとの闘いに、終わりはありません。私たちユーザがより安心・安全に社会生活を送れるよう、通信事業者は日々努力を重ねています。フィッシングされた情報は不正送金や闇市場での売買に繋がり、売買された個人情報・クレジットカード番号でECサイトにて不正利用を行い、闇バイトとして、貨物の受け子や転売が行われるなど、悪循環のサイクルが生まれています。通信事業者が迷惑SMSをブロックする努力だけでは、全てを防ぎきる事はできないのです。そこで犯罪のエコマップの全体像を俯瞰し、業界をまたいで多くのステークホルダーが集まり、協力体制を構築するなどの取組が始まっています。詐欺被害をいかに低減・撲滅するのか、関係者の検討はまだまだ続いていきます。

スミッシングの技術的な分析については、詳しいレポートを発行しておりますのでご覧ください[3]

参照:
[1] https://www.macnica.co.jp/business/consulting/columns/141063/
[2] https://www.docomo.ne.jp/info/notice/page/240328_01.html
[3] https://www.macnica.co.jp/business/security/mnc/phishing_report_202207.pdf

スミッシング コンサルティング詳細はこちら
お問い合わせはこちら