/ スミッシング(SMSフィッシング)とは
スミッシング(SMSフィッシング)とは
スミッシングとは、不正なテキスト メッセージを通じて実行されるソーシャル エンジニアリング攻撃の一種です。他のフィッシング攻撃と同様に、人間の信頼や恐怖を悪用して切迫感を生み出してターゲットを欺き、機密情報(ログイン認証情報、クレジット カード番号など)を開示させます。個人情報の窃取に使用される手口として一般的になっています。
スミッシング攻撃の仕組み
スミッシング攻撃が成功するには、あらゆる形態のフィッシングと同様に2つの段階を経る必要があります。ターゲットの信頼を得ること、その信頼を悪用して個人情報や金銭をだまし取ることです。では、攻撃者はそれをどのように行うのでしょうか?
まず、攻撃ベクトルを見てみましょう。スミッシングは、SMSフィッシングとも呼ばれます。ただし、必ずしもショート メッセージ サービスのテキスト メッセージを介して行われたり、モバイル デバイス上で行われたりするわけではありません。メッセージ アプリやフォーラムのほか、Facebook、X (Twitter)、Redditなどのソーシャル メディア プラットフォームで行われることもあります。
メッセージの送信者は、多くの場合、何らかの形でターゲットが知っている存在を装います。一般的な例としては、金融機関や小売業者、職場の上司、公共サービスの代理人などが挙げられます。ターゲットはこれによって警戒を緩め、攻撃者からの要求について批判的に考えなくなります。
効果的なスミッシング メッセージは、すぐに行動を起こさせるような説得力があります。メッセージの内容は通常、避けるべきマイナスの結果(口座の閉鎖、手数料の発生、懲戒処分など)や、獲得すべきプラスの結果(報酬、配達など)を提示するものです。いずれの場合も、特権情報や支払いなど、何らかの要求が含まれます。ターゲットが思惑通りに行動すれば、攻撃者は目的のものを盗むことができます。
最近では、あらかじめパッケージ化された「フィッシング キット」や生成AIツールによって、脅威アクターは簡単に、そしてスピーディーに攻撃を仕掛けられるようになってきています。
攻撃者がスミッシング詐欺を行う理由
ほとんどのスミッシングは、他のフィッシング詐欺と同様に、金銭的な動機によるものです。サイバー犯罪者は、金銭を盗むために直接的に金融情報を狙ったり、価値の高い個人データや組織の知的財産など、闇市場で販売できる情報を狙ったりすることがあります。あまり一般的ではありませんが、ターゲットを欺きマルウェアをダウンロードさせようとするスミッシング キャンペーンも存在します。
また、スミッシング攻撃は、特にメールベースのフィッシングと比較して、ターゲット側のトレーニング、教育、認識の不足を利用しています。さらに、スミッシング詐欺を検出またはブロックするためのセキュリティ ソリューションははるかに少なくなっています。加えて、多くのVoice Over IP (VoIP)サービスでは、発信者IDを悪用して特定の番号や名前を非常に簡単に表示できます。
スミッシングは多数のターゲットに一斉に仕掛けやすいため、経験を持たないサイバー脅威アクターにとっても有力な手段となります。スマートフォン ユーザーは2023年に46億人以上となっていますが、2027年には50億人を超えると予測されており(Statista調べ)、事実上、潜在的な被害者は無限に存在すると言えます。
スミッシング攻撃の種類
スミッシングなどのフィッシング攻撃が非常に手ごわい理由の1つとして、スミッシング攻撃を組み立てる手法が多数あることが挙げられます。スミッシング攻撃の一般的なアプローチとフレームワークをいくつか見てみましょう。
- 賞品/パッケージ詐欺:何かの当選(ギフト カード、宝くじなど)や配達待ちの商品に対するターゲットの興奮や期待を利用します。多くの場合、攻撃者はAmazon、Costco、FedEx、UPSなどの大手小売店や宅配会社になりすまし、住所の修正、クレジット カード情報、配送料などを要求します。そして、その情報を盗むための悪意のあるリンクにターゲットを誘導するケースが一般的です。
- 銀行/金融詐欺:金銭的な不安を利用して、感情を強く揺さぶってすぐに行動させます。攻撃者は、金融機関や(恐怖心を増幅させるために) IRSなどの組織を装い、銀行口座の問題や未処理の返金、支払いの遅延、調査についてターゲットに通知して、これを口実にログイン情報や社会保障番号、クレジット カード番号、その他の銀行情報を盗みます。
- 投資詐欺:広く横行している「豚の屠殺詐欺」のような手法です。多くの場合、高いリターンを約束してターゲット(=豚)を操り、暗号通貨に投資させます。偽の暗号通貨または金融取引プラットフォームでアカウントを作成するように促し、最初のうちはリターンを提供することで、正当なプラットフォームであると信じ込ませます。ターゲットのアカウントに不正アクセスして、不正な取引を行い、太らせたアカウントを「屠殺」し、すべての資金を盗みます。
- アカウント認証/パスワード詐欺:アカウントが侵害されたと思わせることで、実際に自身のアカウントの侵害につながる行動に誘導します。信憑性の高い偽のログイン ポータルを作成するために、URLスプーフィングが利用されている場合もあります。複雑なアカウント窃取攻撃では、ハッカーがセキュリティの質問の答えや多要素認証(MFA)コードを要求することもあり、これにより追加のサイバーセキュリティ対策を回避します。
- 日和見/時事詐欺:現在起こっている出来事やトレンドに対する恐怖、希望、社会的責任感を利用して、金銭や個人情報をだまし取ります。過去数年間の一般的な例には、コロナ ワクチンの予約詐欺、戦争や自然災害に関連する偽の慈善活動、学生ローン、税金、景気刺激策の補助金、雇用機会に関連する経済詐欺などがあります。
スミッシング詐欺の例
それでは、スミッシングの実例を、それがサイバー攻撃である可能性を示すサインとあわせて見ていきましょう。
例1: USPSによる荷物の配送を装ったスミッシング
このメッセージには、スミッシングであると簡単に気付けるようなサインが数多く含まれています。名前や「倉庫」の場所といった具体的な情報の欠如、妙なスペースの使い方、URL中の「7cng.vip」という怪しい文字列などに注目します。
米国郵政監察局によると、「USPSは、お客様から最初に追跡番号付きのサービスのリクエストを受けていない場合、お客様にテキスト メッセージやメールを送信することはなく、送信する場合でもメッセージにリンクは含まれません」とのことです。
例2: Costcoのアンケートを装ったスミッシング
USPSの例に比べて少し識別しにくいものの、このスミッシング テキストにもわかりやすいサインが数多く含まれています。まず、Costco Wholesale Corporationは「CostcoUSA」という名称を使用しません。偽のUSPSメッセージ同様、言葉遣いはやや堅苦しく、人工的です。最もわかりやすいサインがURLです。正当なCostcoのメッセージは常にCostcoのドメインから送信されます。
スミッシング攻撃者の手口は非常に巧妙ですが、注意すべきポイントを知っていれば、多くの場合、微妙なサインや比較的わかりやすいサインに気付き、攻撃を見抜くことができます。
スミッシング攻撃から身を守る方法
スミッシングを完全に回避することは困難ですが、幸い、自分の身を守り被害に遭わないようするための効果的な方法は数多く存在します。
- 無視する:スミッシング メッセージを受け取った際、やるべきことは何もありません。受信したメッセージが正当なものではないと判断したら、メッセージを削除するだけでよく、その結果何かが起こることはありません。ターゲットが攻撃者の手に乗らなければ、スミッシングは機能しません。
- 批判的に考える:スミッシングを見抜くための最善策の一つは、立ち止まって考えることです。これこそが攻撃者が望まないターゲットの行動です。不審なテキスト メッセージを受け取った場合は、一旦冷静になって状況を判断する必要があります。送信者と思われる人物から連絡が来ることになっていたか、相手が身元を明確に示しているか、要求の内容が妥当かなどを確認します。
- 危険サインを探す:細部を精査します。メッセージが自分の電話番号と似た不審な番号から送信されているなら、それは「ネイバー スプーフィング」かもしれません。メール アドレスやリンクが含まれている場合は、送信者の実際の連絡先情報や公式チャネルと思われるものと一致していることを確認します。内容に曖昧な点や間違いがないかどうかにも注意します。ほとんどの正当なビジネス メッセージは、間違いがないよう丁寧にチェックされています。
- まず確認する:それでもメッセージが正当なものかどうかわからない場合は、公式チャネルから送信者に別途確認できます。たとえば、銀行のWebサイトでカスタマー サービスの番号を検索したり、担当者にチャットで問い合わせたりします。
- ブロックまたは通報する:スミッシングのメッセージをブロック、通報することで、自分自身のリスクを減らすだけでなく、他の人がスミッシングを受ける可能性も低減できます。ほとんどのプライベート メッセージ アプリ、iOSやAndroidのシステムには、ブロックと通報の機能が組み込まれており、他のユーザーが疑わしいメッセージを受信した際にフラグを立てることができます。
スミッシング攻撃を受けた場合の対応
スミッシングに遭ったことに気づいたときや、それが強く疑われる場合でも、被害を食い止めるために取れる行動があります。
- 然るべき機関に攻撃を報告する。ほとんどの銀行は、堅牢な不正管理フレームワークを導入しており、失われた資金の回復を支援できる場合もあります。より深刻な詐欺や個人情報の窃取の場合は、警察に被害届を提出するか、連邦捜査局(FBI)や連邦取引委員会(FTC)などの政府機関に連絡することを検討してもよいでしょう。
- 侵害された認証情報を更新する。アカウント情報を入手した攻撃者がそれをいつ使用するかはわかりません。影響を受けるパスワードやPINなどはすぐに変更する必要があります。リクエストしていないパスワード変更に関する正規の確認メールが届いた場合は、すぐに送信元に連絡します。
- 悪意のあるアクティビティーに注意する。上記の対応を済ませたら、影響範囲の中で他に侵害の兆候がないかを注視します。多くのアカウントで詐欺アラートを設定するよう依頼すれば、疑わしいアクティビティーの特定に役立ちます。
Zscalerによるスミッシング対策
フィッシング攻撃は人間の本能につけ込むことで成功を狙うため、ユーザーの侵害は対処が最も難しいセキュリティ課題の一つです。進行中の侵害を検出し、その侵害が引き起こしかねない損害を最小限に抑えるには、より広範なゼロトラスト戦略の一環として、効果的なフィッシング対策を実装する必要があります。
Zscaler Zero Trust Exchange™プラットフォームは包括的なゼロトラスト アーキテクチャー上に構築されており、攻撃対象領域を最小限に抑え、不正侵入を防ぎ、ラテラル ムーブメントを排除し、情報漏洩を阻止します。そして、以下の方法でスミッシング攻撃などのサイバー脅威から組織を保護します。
- 不正侵入の防止:完全なTLS/SSLインスペクション、ブラウザー分離、URLフィルタリング、フィッシング サイト検出(SMSとモバイル デバイス上のリンクを含む)、ポリシーに基づくアクセス制御、リアルタイムの脅威インテリジェンスなどの機能により、悪意のあるWebサイトからユーザーを保護します。
- ラテラル ムーブメントの排除:一旦ネットワークに侵入した攻撃者は、拡散して被害を拡大させる恐れがあります。Zero Trust Exchangeでは、ユーザーがネットワークではなくアプリに直接接続されるため、攻撃の影響範囲を制限できます。デセプションのデコイにより、攻撃者を欺き、ラテラル ムーブメントを検知できます。
- 内部脅威の阻止:Zscalerのクラウド プロキシ アーキテクチャーは、完全なインライン検査を活用して、プライベート アプリを悪用する試みを阻止するほか、高度なデセプション戦術によって最も高度な攻撃手法も検出します。
- データ損失の防止:Zero Trust Exchangeは転送中データおよび保存データを検査し、活動中の攻撃者によるデータ窃取を阻止します。