クイズ「情シス部門が知っておきたいテーマ」
被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
2020年1月
クエスチョン
金融機関など有名企業を装い、偽のホームページに接続させてクレジットカード番号などを盗み出すフィッシング攻撃。この中で、モバイル利用者を狙った手口とは?
- ブラッシング
- パーシング
- スミッシング
- ケーシング
フィッシング(phishing):魚釣り(fishing)と、洗練された(sophisticated)の2つを組み合わせた造語という説がある
アンサー
3 スミッシング
解説
スマートフォンや携帯電話の電話番号に送信できるショートメッセージサービス「SMS」を使ってフィッシングサイトに誘導し、個人情報を盗む手口を「スミッシング」といい、国内では2019年頃から被害が拡大しています。
具体的には、大手金融機関やSNS、EC、携帯電話事業者(キャリア)や宅配事業者などになりすまし、SMSからユーザーにメッセージを送り、記載したURLからフィッシングサイトに誘導し、パスワードやクレジットカード番号などを入力させて盗み出すというもの。キャリア決済などのワンタイムパスワードを盗む例も報告されており、メールによるフィッシングより被害が大きくなる可能性もあります。
メッセージの文面は、例えば金融機関を装ったものなら、「アカウントが凍結されますので、メッセージに記載のURLにアクセスして、手続きしてください」といった具合です。他にも、端末のセキュリティ強化サービスを装って不正アプリをダウンロードさせるといったケースもあります。パソコンに比べて、セキュリティへの意識が低いスマートフォンが広く普及したことも、スミッシングの被害拡大の理由の1つでしょう。
SMSは、ガラケーといわれる携帯電話の時代から提供されているサービスです。なのに最近になって悪用が増加しているのは、SNSをはじめ多くのサービスで、二段階認証用の認証コードの送信にSMSが利用されるようになったことも背景にあるでしょう。メールのように送信元アドレスが表示されず、メッセージ内容が短文であることから、なりすましを見抜かれにくいかもしれません。加えて、SMSは電話番号に送信できるため、攻撃者は数値のランダムな組み合わせのみで送信できるといった点も挙げられます。
スミッシングの手口は高度化しており、さらなる注意が必要です。例えば、SMSの受信メッセージは、通常、送信元ごとのスレッドに分かれますが、攻撃用メッセージを正規の送信元のスレッドに紛れ込ませるという手口も見られるようになりました。本物と見間違う恐れがますます高まっています。
Tips
スミッシング対策は、SMSに記載されたURLに不用意にアクセスしないことが基本。そのためには以下に注意するとよい。
- 情報入力を促すメッセージを受信したら、メッセージ記載のURLではなく、自分でブックマークした正規のURLや正規のアプリでログインして確認。
- 同じスレッドでも、メッセージ内に貼られているURLは100%信頼せず、上記のように対処。
- SMSのメッセージの文面が不自然な日本語になっていないかチェック。
- スマートフォン向けのセキュリティ対策アプリも併用。