MailData

SMSなりすましとは?

SMSなりすましとは?

2023年4月28日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 What is SMS Spoofing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


SMSなりすましとは、詐欺目的で電話番号や連絡先名などの送信者情報を変更する行為です。
偽のテキストには返信できず、ブロックすることもできません。
なりすましは、全面的に偽装しています。

例えば、知り合いと思われる人からメールが来たけれど、よく見ると何かおかしい。
名前も携帯電話番号も、連絡先リストに登録されているものと同じではなく、ただ似ているだけ。

サイバーセキュリティの攻撃は急速に増加しています。
2021年に米国のインターネット犯罪苦情センター(米国の統計サイトstatista調べ)に報告されたサイバー犯罪の中で、フィッシングやなりすましなどの種類の詐欺は最も多く、約32万4千人に影響を与えました。

興味深い?
そうかもしれませんね。
しかし、どんなにスリル満点に聞こえたとしても、この機能は使い方を誤ると、間違いなく有害です。

SMSなりすましの仕組みとは?

SMSなりすましは21世紀の問題だと思うかもしれませんが、その起源は何十年も前にさかのぼると考えられていることに驚かれるかもしれません。
1271年、エジプトのスルタン(国王)であるバイバルス(Baybars)という司令官が、包囲した騎士団に司令官からの偽の手紙を渡し、彼らに降伏を命じることで、強力なクラック・デ・シュバリエ(シリアの城郭)の奪取に成功しました。
結局、騎士たちは降伏した後に、その手紙が偽物であることを知ったのです。

SMSなりすましとは、SMSメッセージに含まれる本当の送信者の電話番号を偽装し、別の機器から送信されたように見せかけるものです。
これは次の2つの方法で行うことができます。

スミッシングとSMSなりすまし、その違いとは?

SMSなりすましとスミッシングは、両者ともテキストメッセージを使用して、無防備な被害者から機密情報を取得するタイプの詐欺です。
どちらもソーシャルエンジニアリングの手法を使用していますが、ターゲットにする対象が異なります。

SMSなりすまし

SMSなりすましは、ハッカーが不明な番号からSMSメッセージを送信することで発生します。
このメッセージは、知っている人からのものに思えるかもしれませんし、信頼している会社や組織から送られてくるように見えるかもしれません。
このような攻撃は、ユーザを騙して返信させたり、携帯電話やコンピュータにマルウェアをダウンロードするリンクをクリックさせることを目的としています。

スミッシング

スミッシングはSMSなりすましと似ていますが、ハッカーはテキストメッセージで騙す代わりに、悪意のあるリンクが埋め込まれた偽のメールを送りつけます。
そのリンクをクリックすると、端末にマルウェアをインストールしようとしたり、偽のWebサイトに誘導して、クレジットカード番号や社会保障番号などの個人情報の入力を求めたりします。
(訳注:社会保障番号とは、アメリカで利用されているマイナンバーのようなID番号です)

※訳注:つまり、SMSなりすましは必ずしもフィッシング詐欺を目的としているわけではありませんが、スミッシングはSMSを利用したフィッシング詐欺だということです。

SMSなりすましの攻撃ベクトルとは?

SMSなりすましの攻撃ベクトルとは、信頼できる送信元からのメッセージを装って、携帯電話ユーザを騙して個人情報を開示させるものです。
この攻撃を広めるには、通常、リンクや実行可能なファイルを含むメールメッセージが使用されます。
ボタンが押されると同時に、攻撃者は被害者のメッセージにアクセスし、被害者に代わってメッセージを送信することができるようになります。

これを避ける方法の1つは、信頼性のあるSMSおよびメールマーケティングプラットフォームを使用する、信頼できる企業からのメッセージのみを受け入れることです。
被害者が安易に機密情報を提供、送信または漏洩するようにするには、信頼できる友人や家族と話していると信じ込ませることが必要です。
この手法では、同時受信者の数やなりすましの攻撃ベクトルによって、同時に複数人になりすますことが可能です。

SMSなりすましの種類

SMSなりすましには、以下のようなさまざまな種類があります。

偽の送信者ID

最も一般的ななりすましの種類は、本当の送信者IDを別の番号や名前に置き換えることです。
これにより、詐欺師は銀行やクレジットカード会社など、他人になりすまして、個人情報を騙し取ったり、悪質なソフトウェアをダウンロードさせたりすることができるのです。
また、テキストメッセージだけでなく、偽の電話をかけて発信者番号を詐称することもあります。

大量の迷惑メッセージ(Unsolicited Bulk Messages…UBMs)

UBMsとは、知り合いから来たように見えるけれども、実際には発信元がわからない迷惑メールのことです。
これらのメッセージには、悪意のあるWebサイトへのリンクやフィッシング攻撃など、モバイル機器から個人情報を盗み出すことを目的とした詐欺が含まれている可能性があります。

嫌がらせ

このタイプのSMSなりすましは、通常、他人に脅迫的なメッセージや不適切なメッセージを送信することが含まれます。
これは、被害者を脅すことを目的としたストーカー、いじめっ子、サイバーいじめの加害者がよく使う手口です。
嫌がらせをする人の中には、この方法を利用して、金を払わないなら大変なことになると脅し、被害者から金を脅し取ろうとする人もいます。

偽の送金

例えば、ユーザが賞を受賞し、その賞金をアカウントに入金してから慈善団体に寄付するために、ある金額を送金するように要求するメールを送信することが含まれます。
また、ハッカーが商品を獲得したと主張し、ユーザの銀行口座に入金するために銀行情報を求めることで個人情報を盗もうとする、より悪質な種類の詐欺である場合もあります。

企業スパイ

この攻撃では、ハッカーは悪意のあるWebサイトへのリンクを含むSMSメッセージを携帯電話へ送信します。
そのリンクをクリックすると、別のサイトにリダイレクトされ、個人情報や認証情報が盗まれます。
この情報により、攻撃者は会社のリソースにアクセスしたり、ユーザから金銭を盗んだりすることができます。

SMSなりすましの正当な使用方法とは?

SMSなりすましの正当な用途としては、一括送信サービス、公式メッセージ、個人情報保護などがあります。

一括送信サービス

SMSなりすましでは、一度に複数の受信者に一括でメッセージを送信することができます。
これは、顧客に費用対効果の高い方法でアプローチしたい企業にとって、特に有効な手段です。

公式メッセージ

政府機関も、税金の納付期限や自然災害に関する警告など、重要な通知を送るためにSMSなりすましを利用しています。
このようなメッセージを送る場合は、公式な発信元から送信し、詐欺ではない正当なものであることが分かるようにする必要があります。

個人情報保護

Equifax(米国の消費者信用情報会社)のような企業は、この技術を使って顧客のプライバシーを保護しています。
例えば、誰かがEquifaxからの折り返し電話番号と偽って電話やメールを送ってきたとします。
その場合、電話やインターネットで個人情報を入力するのではなく、携帯電話でその番号に電話をかければ、本物かどうか簡単に確認することができます。

SMSなりすましから身を守るために、ユーザは何をすべきか?

まとめ

なりすましに対して完全に安全な人は誰もいません。
嫌がらせやなりすましに他人の電話番号を使用する詐欺師は、必ず携帯電話会社と警察に通報することで、メッセージの発信元を突き止めてもらうことができます。
そうすることで、SMSなりすましを未然に防ぐことができます。

詐欺師から二度とSMSを受け取らないようにするには、SMSブロッカーをダウンロードしてご利用ください。
さらに、なりすましメールや直接的なドメイン名のなりすましなど、他のなりすましリスクにも注意し、防御することが必要です。
PowerDMARCのなりすましメールセキュリティの包括的なガイドをご覧になり、今後の攻撃から身を守ってください。

PowerDMARCのトライアルをお試しになりたい方は、こちらからお問い合わせください。