スミッシングは、フィッシング(Phishing)行為の一種であり、SMS Phishingから生まれた造語です。SMSを悪用して詐欺目的のメッセージを送り、受信者を偽のWEBサイトに誘導、個人情報を盗み取る手口です。盗んだ情報の不正利用による経済被害が拡大しており、各企業が対策に苦慮しています。
本レポートでは、実際に観測されたスミッシング手口から、犯罪手口の変化を考察し、銀行、クレジットカード事業者、ペイメントサービス、EC事業者、運送会社等を巻き込んだ犯罪エコシステムと、各企業が具体的にアプローチできるスミッシング対策フレームワークを解説します。
レポートハイライト
攻撃者の変化、犯罪の裾野の広がり
スミッシングの背後には様々な攻撃者(詐欺師、フィッシャー)がいると推定できます。黎明期からある銀行系スミッシングは、対象となる銀行や地域の狙い方、認証を突破して不正出金する手口などに、知識・オペレーションレベルの高さ・組織性が見られました。また、スミッシングの手口傾向から、複数の集団がいると推定されていました。 最近はEC系、宅配系を中心に、クレジットカードや電子決済のための情報を狙うものが増えています。
スミッシングの総量が増えていますが、同時に以下のようなスミッシングが散見されるようになりました。
- 偽サイトのブランドと、SMS文面のブランドが一致しない
- SMS文面の日本語が不自然
過去から活動している攻撃者と比べて、オペレーションレベルの低い人々が参入するようになってきたことや、分業化が起こっていることが推測されます。
オペレーションレベルが低い例が報告されている
犯罪エコシステム
一連の調査で得た情報に基づき、スミッシング犯罪のエコシステムを図解しました(図1)。
エコシステムは大きく3つの市場に分解できます。
- 【市場1】フィッシング/スミッシングと呼ばれる詐欺手口が実行され、搾取したカード情報を金銭に変える。
- 【市場2】搾取したクレジットカード情報を不正利用し、購入商品を転売して金銭に変える。
- 【市場3】買い取った商品を消費市場等へ流通させて金銭を獲得する。
図1:犯罪エコシステム
スミッシング対策フレームワーク
対策を考えるにあたり、スミッシングの流れに沿ったフレームワークを定義しました(図2)。
企業が個別に実行できる対策と、企業が協力し合うことで実行できる対策について、配信経路対策、端末対策、偽サイト対策、不正利用対策、不審配送対策、啓蒙・注意喚起、企業とキャリアの連携、EC経済圏の横断的な連携といった観点で整理し、現状を述べると共に、今後の対策について提言します。
図2:スミッシング対策フレームワーク
目次
- スミッシングについて
- スミッシングをとりまく被害動向
- スミッシングの手順
- フィッシング行為におけるSMSの役割と特徴
- SMS配信経路とスミッシングの送信手口
- スミッシング配信経路の識別
- スミッシングの傾向と技術考察
- 攻撃者の変化、犯罪の裾野の広がり
- スミッシング犯罪のエコシステム
- 対策アプローチ
本レポートに関するお問い合わせ先
株式会社マクニカ
テレコムセキュリティサービス室
