スミッシングとは？

簡単かつ有効な詐欺

2023年6月30日
著者: Ahona Rudra
翻訳: 高峯涼夏

この記事はPowerDMARCのブログ記事 What is Smishing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

スミッシングとは何でしょうか、そしてどのような影響があるのでしょうか？

スミッシングとは、SMSとフィッシングを組み合わせたものです。
テキストメッセージによるフィッシングの一種であるスミッシングは、サイバー犯罪者が財務データを入手したり、コンピュータにリモートでアクセスしたりするために使われることがあります。
スミッシングは、一見正当に見えるSMSやテキストメッセージを送信し、クレジットカード番号などの個人情報を提供するよう要求します。

今日、サイバー犯罪者が頻繁にスミッシング攻撃を行うのは、メールよりもテキストメッセージの方が信頼されることが多いからです。
この誤った信頼が、過去2年間でスミッシング詐欺が300％以上増加した一因と考えられます。

あなたは宝くじに当たったとか、プレゼントをもらえると主張する人からの連絡を受け取った経験はありますか？
その連絡が本当か、または法律を遵守しているどうかを考えたことはありますか？

もしそうなら、あなたはおそらくスミッシング（SMSフィッシング）を受け取ったことがあるでしょう。
だからこそ、スミッシングとは何か、そしてこの罠にかからないためにはどうしたらよいかを知る必要があるのです。

スミッシングの一般的な方法

2020年と2021年に実施されたIT専門家の調査の回答者の10人に7人以上が、前年にスミッシング攻撃に遭遇したと述べています。
これは、2020年にスミッシングを経験したと答えた回答者の61%から増加しました。

ハッカーはソーシャルエンジニアリングを用いてスミッシングを企てます。

マルウェア: 騙されてマルウェアをダウンロードしたり、ウイルスやスパイウェアを含む悪質なWebサイトへのリンクを開いてしまうことがあります。
銀行口座の認証情報を共有する: 攻撃者は、偽のWebサイトで銀行の認証情報を送信するよう促し、（得た認証情報で）口座にアクセスして貯蓄を完全に使い果たすかもしれません。
企業のログイン情報を共有する: 攻撃者は、会社のログイン情報を使ってサインインするよう求め、（得たログイン情報で）会社の内部システムや機密データベースにアクセスするかもしれません。

スミッシングはどのように行われる？

スミッシングの仕掛けは非常にシンプルな方法で行われます。
確認してみましょう。

ハッカーは、ソーシャルエンジニアリング手法を使用したテキストメッセージを送り、その通信が本物であると思い込ませます。
このSMSに添付された悪意のあるリンクをクリックさせるか、ユーザ名、パスワード、メールなどの個人情報へのアクセスを提供させます。
情報をハッキングすると、ハッカーはそれを使って詐欺を働いたり、盗まれた情報をダークWebで販売します。

なぜスミッシングが多発しているのか？

スミッシングが増加しているのには、さまざまな原因があります。
そのうち、主な理由として、これが非常に簡単に実行できる詐欺であるという事実が挙げられます。
詐欺師が必要とするのは、いくつかの電話番号と、必要な情報を集めるために個人からメールを返させる巧妙な方法だけです。

また、人々はSMSテキストを愛好しています。
テキストメッセージの95%は3分以内に開封され、返信されます。
メールの場合、20%しか開封されず、そのうちさらに少ない数しか返信されないことを考えると、テキスト詐欺が泥棒にとって魅力的である理由がわかります。

スミッシング攻撃の種類

スミッシング攻撃にはいくつかの種類があります。
これには以下のようなものが含まれます。

Covid-19 スミッシング

Covid-19スミッシングは、WhatsApp※といったソーシャルメディアアプリケーションを利用して、被害者にメッセージを送るフィッシング詐欺です。
メッセージは、例えば、ワクチンの予約や特別な支援金の申請などの情報を提供する、といったものです。
リンクをクリックすると、ウイルスがコンピュータにダウンロードされます。

※訳注：WhatsAppとはアメリカのメッセンジャーアプリです。

ギフトスミッシング

ギフトスミッシングもフィッシング詐欺の一種で、Facebook、Instagram、WhatsAppなどのソーシャルメディアアプリケーションを利用して被害者にメッセージを送信します。
メッセージは受信者が賞品を獲得したと主張し、リンクをクリックするよう促します。
リンクをクリックすると、マルウェアがコンピュータにダウンロードされます。

偽サービススミッシング

偽サービススミッシング攻撃では、攻撃者は、ウイルスやソフトウェアまたはハードウェアのその他の問題など、コンピュータまたはデバイスの問題を解決できると主張するメールを送りつけます。
これらのメールには、知らないうちに端末にトロイの木馬などのマルウェアをインストールする悪質なソフトウェアが添付されていることがしばしばあります。

請求書または注文確認のスミッシング

ある企業がテキストメッセージでただの請求書や注文確認書を送ります。
ユーザはメッセージ内の請求書のリンクをクリックし、偽のWebサイトに（偽のサイトと気づかずに）支払い情報を入力してしまいます。
その目的は、ユーザのデバイスにマルウェアをダウンロードさせることと、銀行の認証情報の獲得です。

金融サービススミッシング

銀行やクレジットカード会社から、アカウントに不審な動きがあることを警告するメッセージがユーザに送信されます。
ユーザは自分の口座を確認できると思うでしょうが、そうではなく、端末にマルウェアをダウンロードさせられてしまいます。

スミッシング対策とは？

スミッシング攻撃を止めるには？

何を避けるべきかを知ることで、被害者になるのを避けることができます。
ここでは、スミッシング詐欺から身を守るためのヒントをいくつかご紹介します。

絶対に返信しない

スミッシングのメッセージには絶対に返信しないことが、最初に守るべきルールです。
端末にマルウェアがインストールされる可能性があるだけでなく、返信によってハッカーは有益な電話番号を確認できます。
その後、さらに多くの詐欺行為に利用されたり、ダークWebで転売して利益を得るためのリストに組み込まれたりする可能性があります。

銀行や小売業者に直接連絡する

サイバー犯罪者は、評判の良い企業や銀行組織を装って、スミッシングのメッセージで頻繁に試行錯誤を繰り返しています。
テキストを受け取ってその真偽に疑問を持った場合、最善の行動は直ちに銀行や店に連絡することです。
多くの銀行のWebサイトにはスミッシングの報告サービスがあるため、スミッシングが行われたことを即座に報告することができます。

2FAを使用する

2要素認証（Two-factor authentication…2FA）は、スミッシング詐欺の被害に遭い、認証情報の1つを公開してしまった場合に、追加のセキュリティレイヤを提供することができます。
ログインしようとすると、生体認証技術により顔認証や指紋認証を使って、本人確認が行われます。

まとめ

つまり、スミッシングとは何なのかと混乱されている場合、それはフィッシングに少し似ていますが、メールの代わりにSMSを受け取るという点が異なるとお考えください。
しかし、最終的にユーザの情報や資産が危険にさらされるという点では、どちらも同じです。

メールフィッシング対策としては、不正利用からドメインを保護するために、組織でDMARCアナライザを導入することをお勧めします。
また、弊社はDMARCの専門家として、メールドメインのセキュリティ体制の状況について情報を提供し、今後の戦略策定を支援します。
DMARCアナライザはPowerDMARCのトライアルからお試しください。

Redirect	?
App cache	?
DNS lookup	?
TCP Connection	?
First Byte Download	?
DOMContentLoaded	?
Load	?