日本では、スミッシングがトリガーになっている可能性がある詐欺被害が増加し、深刻な社会問題となっています。スミッシングによる詐欺被害というのは、実は日本国内に限った話ではありません。海外でもSMSの利便性に便乗し、フィッシングは行われており、各国対応を進めています。本コラムでは、諸外国で推進されているスミッシング対策をまとめ、比較します。まずはスミッシング共通申告窓口“7726”を紹介します。

Spam Reporting Service とは

Spam Reporting Serviceは、通信事業者共通のスミッシング申告の仕組みとして世界的に使われているサービスです。

Spam Reporting Service (7726サービス)の概要

ユーザはスミッシングを受信すると、メッセージを「7726」に転送します。場合によっては、送信者の番号などを後から聞かれることもあります。転送されたメッセージは集約されて、メッセージのパターンや送信者の分析が行われます。

GSMA[1] が2010年にSpam Reporting Serviceのパイロットサービスを開始し、現在は個々の通信事業者・業界団体・規制事業者などが実施しています。

転送先の「7726」は、スマートフォンのキーボードで SPAM にあたることが由来です。

以下、Spam Reporting Service を「7726サービス」と記載することにします。

[1] GSMA (GSM Association) は、移動通信事業者や関連企業がからなる業界団体。参加メンバには、800社近い移動通信事業者に加えて端末ベンダ、ネットワークベンダ、ソフトウェア企業などが含まれる。

7726サービスの利点と課題

7726サービスを実施することにより、各サプライチェーンに対して3つのメリットが考えられます。

1.被害の可視化

メリットの1つ目は、スミッシング被害の全体像が可視化される事です。各通信事業者は、自社のSMSサーバを通るスミッシングを把握できますが、スミッシングが全体としてどのくらいのボリュームで送られているのか、過去と比べて増えているのか、事業者による違いがあるのかなどのデータを得るためには、事業者間横断の仕組みが必要です。7726サービスは、こうした基礎データを提供することが可能で、通信事業者だけでなく、自社ブランドを騙られる企業や官公庁が、対策実施を判断するためにも利用できることが期待されます。

2.対策の効率化

2つ目は、事業者間横断の分析を行うことで、スミッシング対策を効率的に行うことができるようになります。スミッシングの送信者や送信パターンの分析データをもとに、フィルタリングやユーザ啓蒙の対策を強化することができます。

3.信頼性向上

3つ目は、システム全体の信頼性向上につながることです。効率的なブロックを行うことで、スミッシングが利用者に届く割合を削減することができるだけでなく、被害の可視化と対策実施状況を共有することで、利用者に安心感を伝えることができます。
ここであげた以外に、利用者のメリットとして、簡単で共通の操作で転送が可能なために、手間がかからず、申告が容易になることがあげられます。

一方で、課題としては、SMSには通信の秘密や個人情報が含まれるために、サービス提供者は取り扱いに注意が必要となります。
(通信の秘密や国内通信事業者のスミッシング対策の歩みに関しては下記ページにも記載しています。https://www.macnica.co.jp/business/consulting/columns/145451/

SMS以外のフィッシング申告

実在する組織を騙って、ユーザネーム、パスワード、アカウントIDATMの暗証番号、クレジットカード番号といった個人情報を詐取することをフィッシングと呼んでいます[1]。フィッシングには、Emailを用いる方法の他に、SMSを用いたスミッシング(Smishing=SMS+Phishing)、音声通信によるビッシング(Vishing=Voice+Phshing)などがあります。
7726サービスは、SMSによるスミッシングの申告窓口ですが、Emailを含めたフィッシング全体の総合申告窓口をWeb上に公開しているケースもみられます。SMSEmailは配信の仕組みが異なるため、最初の申告窓口のページを共通にして、その後で配信方法に応じた申告方法を提供することが一般的です。
総合申告窓口を設けるメリットとして、フィッシング全体の被害を可視化することにより、どの方法による被害が大きいか、どこから対策を行うべきかといった対策の優先順位度をつける助けになることがあげられます。

次に各国の7726サービスを含むフィッシング申告の状況を説明します。国や組織に応じて、フィッシングに相当する行為を「Spam」「Scam」と表現している場合があります。本コラムでは、個人情報を搾取する行為を「フィッシング」に統一して、SMS/Voiceであることを明記する場合はそれぞれ「スミッシング」「ビッシング」、Emailを区別する場合は「Emailフィッシング」と表記することにします。

各国のSpam Reporting Service(7726サービス)の導入状況

7726サービスは、GSMA2010年にパイロットサービスの開始から利用が拡大して、現在は、アメリカ、カナダ、イギリス、オーストラリア、ニュージーランド、シンガポールなどで導入されています。各事業者がそれぞれの判断で導入しているために、世界全体の導入状況を示す公式情報はありません。
7726サービスの運用形態として、通信業界団体主導の運用(アメリカ)、政府機関主導の運用(ニュージーランド、イギリス)の両方のケースが見られます。

アメリカ

アメリカでは無線通信の業界団体であるCTIA7726サービスを提供しています[2]CTIAには、通信事業者、通信機器ベンダ、サービスプロバイダ、コンテンツクリエータなどが加盟しています。サイトでは、スミッシングを受領した場合の申告の仕方を説明しています。

CTIAはスミッシングの申告を受け付けていますが、Emailフィッシングやビッシングの申告窓口は用意されていません。また、受領したスミッシング申告の分析結果に関する報告書は見当たらず、定期的な報告書の公開もされていません。

図1 IRS[3]

通信事業者は、スミッシング申告の窓口として7726サービスをあげているが、それ以外に7726サービスの利用を推奨している政府機関があります。図1はIRS(米内国歳入庁)のWebサイトで、IRSに関連するスミッシングを受け取った場合の処理として、7726への転送をあげています(赤字はコラム筆者がつけたもの)[3]FTC(米連邦取引員会)[4]USPS(米郵政サービス)[5]も、ホームページでスミッシング受領時の対策として7726サービスへの転送を説明しており、これらの機関を騙るスミッシングが7726サービスに集約されることで、網羅的な分析・対策を行うことが可能となります。

ニュージーランド

ニュージーランドでは政府機関であるDIADepartment of Internal Affairs 内務省)が、7726サービスを運用しています[6]。図3DIAのスパム申告サイトで、Email/SMS/faxの3種類のフィッシングの総合受付となっています。” Report TXT spam” を選択すると図4のページに飛んでスミッシング申告の説明となり、iOS, Androidのそれぞれに対して7726サービスへの申告方法をビデオで解説しています。


図3 Report Spam[6]


図4 Report Text Spam to 7726[7]

DIAEmail/SMSの両方のフィッシング申告の状況を”Digital Messaging Transparency Report”にまとめて、年次報告書として公開しています[8]。最初の公開は2022年度版です。マルウェアFluBotの感染が大きな問題となった時で、対策の経緯がまとめられている。2023年度は2回目の報告となります。

図52023 Digital Messaging Transparency Report [8]

Digital Messaging Transparency Reportには興味深いデータとして、Email/SMSの申告数の推移が掲載されています。

図6 Email/SMSフィッシングの申告数の推移[9]

図6 Email/SMSフィッシングの申告数の推移[9]

SMS申告数がEmail申告数を定常的に上回っていること、Email申告数はほぼ一定だが、SMS申告数は変動が大きいことなどがグラフから読み取れます。Email/SMSフィッシングの割合を比較したデータは少ないので、貴重な報告と言えます。ただし、データはDIAへの申告数であり、フィッシングの総数ではないことに注意する必要があります。

イギリス

イギリスでは規制機関であるOfcom7726サービスを運用しています[10]Ofcom7726サービスは、scam text(フィッシング)だけでなく、scam call(ビッシング)の申告も受け付けており、サイトで申告方法をビデオで説明しています。

図7 Ofcom 7726サービス [10]

図7 Ofcom 7726サービス [10]

図8は、NCSC (National Cyber Security Centre) は、Email/SMS/ボイスなど様々な不正申告の受付を紹介しています[11]NCSCの不正申告受付を図8にまとめました。7726Scam text messageの申告先として提示されています。

図8 NCSCのフィッシング対策

図8 NCSCのフィッシング対策

日本

日本では7726サービスは提供されていませんが、通信事業者以外にも複数の機関がスミッシングSMSの申告を受け付けています。

フィッシング対策協議会

フィッシング対策協議会は、20054月に設立されて、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動をしており、その一環としてフィッシング報告受付を行っています[12]

図9 フィッシングの報告(フィッシング対策協議会)[12]

図9 フィッシングの報告(フィッシング対策協議会)[12]

Email/SMSの区別は、報告時に受信方法を入力する欄があり、メール・SMS・広告・SNS・不明・その他を選択します。フィッシングの申告は7726サービスではなく、Webに送信者・本文などを記入して送信する方法になっています。
フィッシング対策協議会は、報告内容を分析して月次レポートを公開しており、全体の報告件数、URL件数、ブランド件数などの推移が分かりますが、Email/SMSの分計は公開されていません。

迷惑メール相談センター

迷惑メール相談センターは、一般財団法人日本データ通信協会が総務省からの委託で特定電子メール法に違反していると思われる迷惑メール・SMSの申告を受け付けています[13]SMSの申告はWebフォームにスミッシングの受信日、受信時刻、受信した端末の電話番号、通信キャリア、端末OS、送信元(電話番号または表示名)、本文を入力します。

図10 迷惑メール情報提供のお願い(一般財団法人日本データ通信協会)[13]

図10 迷惑メール情報提供のお願い(一般財団法人日本データ通信協会)[13]

迷惑メールセンターでは、迷惑メール情報提供の受付数を公開していますが、Email/SMSの分計は報告されていません。

フィッシング申告窓口のまとめ

表1に7726以外も含む各国のフィッシング申告窓口の状況をまとめます。

イギリス

アメリカ

ニュージーランド

日本

7726
サービス

提供済み

提供済み

提供済み

未提供

7726
運用主体

Ofcom(情報通信省)

CTIA(無線通信の業界団体)

DIA(内務省)

フィッシング申告窓口(7726以外も含む)

SMS, Voice

CTIASMSのみ

NCSCEmail, SMS, Voice

Email, SMS, FAX

フィッシング対策協議会:Email, SMSなど

迷惑メール相談センター:Email. SMS

表1 フィッシング申告窓口の状況

終わりに

スミッシング申告サービス “Spam Reporting Service 7726サービス)の概要と各国の導入状況を紹介しました。スミッシングの被害は社会的問題となっていますが、スミッシングの状況を定量的に分析した報告はほとんどされていません。そこで、7726サービスを導入することで、申告の観点からスミッシングの配信状況を可視化することが可能となり、更にニュージーランドの様に配信状況を報告することで、通信事業者、規制当局、被害企業はそれぞれの立場から、対策を検討するための基礎データを広く共有できるようになることが期待されます。

参考

[1] https://www.antiphishing.jp/consumer/abt_phishing.html
[2] https://www.ctia.org/protecting-yourself-from-spam-text-messages
[3] https://www.irs.gov/newsroom/irs-reports-significant-increase-in-texting-scams-warns-taxpayers-to-remain-vigilant
[4] https://consumer.ftc.gov/articles/how-recognize-and-report-spam-text-messages
[5] https://www.uspis.gov/news/scam-article/smishing-package-tracking-text-scams
[6] https://www.dia.govt.nz/Spam-Report-Spam
[7] https://www.dia.govt.nz/Spam-Report-TXT-Spam
[8] https://www.dia.govt.nz/Spam-Transparency-reports
[9]https://app.powerbi.com/view?r=eyJrIjoiZmM0ZWJmYzItZTA1ZC00ODMzLWEyZGItNmU0MTlmZjdmZmRlIiwidCI6ImY2NTljYTVjLWZjNDctNGU5Ni1iMjRkLTE0Yzk1ZGYxM2FjYiJ9
[10] https://www.ofcom.org.uk/phones-and-broadband/scam-calls-and-messages/7726-reporting-scam-texts-and-calls/
[11] https://www.ncsc.gov.uk/collection/phishing-scams
[12] https://www.antiphishing.jp/registration.html
[13] https://www.dekyo.or.jp/soudan/contents/ihan/index.html