SMSなりすましとは?仕組み・具体事例・リスクをわかりやすく解説
著者: Ahona Rudra
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 What Is SMS Spoofing? Definition, Examples & Risksの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- SMSなりすましとは、送信者情報を改竄し、正規の送信元を装って詐欺などに悪用される手法です。
- サイバーセキュリティ攻撃の増加により、SMSなりすましやスミッシングのリスクが高まっており、これらはサイバー犯罪で頻繁に用いられる手口です。
- SMSなりすましの正当な用途には、企業による一斉メッセージ配信や政府機関からの公式な連絡が含まれます。
- SMSなりすましから身を守るために、ユーザーは不審なメッセージに注意し、リンクを開いたり個人情報を提供したりしないようにする必要があります。
- なりすましの事例を携帯通信事業者や法執行機関に報告することで、今後の被害防止につながります。
なりすましされたSMSは、返信やブロックが正常に機能しない場合があります。
SMSなりすましは、送信者を偽装する仕組みを利用した手法です。
一見すると知り合いから届いたように見えるSMSを受け取ることがありますが、よく確認すると違和感に気づきます。
名前や携帯番号は連絡先リストのものと実際には一致しておらず、似ているだけです。
サイバーセキュリティ攻撃は急速に増加しています。
2024年には、フィッシングやなりすましが米国インターネット犯罪苦情センターに報告された最も一般的なサイバー犯罪の種類であり、約193,000人に影響を与えました。
この仕組みは、悪用されると重大な被害につながるおそれがあります。
SMSなりすましとは何か
SMSなりすましとは、テキストメッセージの送信者IDを変更し、銀行、企業、知人など、実際とは異なる送信元から送られたように見せかける技術です。
通常のテキストメッセージでは、送信者の番号(電話番号やショートコードなど)はモバイルネットワークによって自動的に付与されます。
SMSなりすましでは、特別なソフトウェアやゲートウェイを通じてメッセージを送信し、送信者の名前や番号を手動で設定することができます。
| 通常のSMSとなりすましSMSの違い | ||
|---|---|---|
| 機能 | 通常のテキストメッセージ | なりすましされたテキストメッセージ |
| 送信者ID | モバイルキャリアによって設定されます | 多くの場合、サードパーティのツールを通じて送信されます |
| メッセージの送信元 | 送信者本人の電話番号が表示されます | 実際の送信元とは異なる番号や名称が表示されます |
| 目的 | 個人的またはビジネス上のコミュニケーションです | 詐欺、フィッシング、またはマーケティングに使用される可能性があります |
| 追跡可能性 | 送信者を容易に特定できます | 発信元の追跡が困難な場合が多いです |
SMSなりすましはどのように機能するのか
SMSなりすましは近年の問題のように見えますが、送信者を偽って相手を欺く手口そのものは、古くから存在しています。
1271年、スルタン・バイバルスというエジプトの司令官は、包囲された騎士たちに彼らの司令官からの偽の手紙を送り、降伏を促すことで、強力なクラック・デ・シュヴァリエを攻略しました。
最終的に騎士たちは降伏し、その手紙が偽物であったことに気付きました。
SMSなりすましは、SMSテキストメッセージにおいて実際の送信者の電話番号を隠し、別のデバイスから送信されたように見せかけることで機能します。
これには2つの方法があります。
- 第三者の電話番号を装って、特定の相手にSMSを送信する方法です。
これにより、受信者はそのメッセージが友人や同僚など、知っている人から送られてきたものだと誤解します。 - 別人の電話番号を装って、特定の相手にSMSを送信する方法です。
これにより、受信者はそのメッセージが友人や同僚など、別の人物から送られてきたものだと誤解します。
SMSなりすましとスミッシングの違い
SMSなりすましとスミッシングは、なりすましテキストメッセージを使用して、疑いを持たない被害者から機密情報を取得する2種類の詐欺です。
どちらもソーシャルエンジニアリングの手法に依存していますが、標的とする方法が異なります。
- SMSなりすまし
- SMSなりすましでは、受信者にとって見覚えのない番号や、正規の送信元を装った番号からSMSが送られてくることがあります。
そのメッセージは、知っている人物からのもののように見えたり、信頼している企業や組織から送られてきたように見えることがあります。
これらの攻撃は、返信したりリンクをクリックさせたりして、スマートフォンやコンピュータにマルウェアをダウンロードさせることを目的としています。 - スミッシング
-
スミッシング攻撃はSMSなりすましと似ていますが、SMS(テキストメッセージ)を利用して、悪意のあるリンクを含むメッセージを送信する点が特徴です。
そのリンクをクリックすると、デバイスにマルウェアをインストールさせられたり、クレジットカード番号や社会保障番号などの個人情報の入力を求める偽のWebサイトへ誘導されたりします。
SMSなりすましの種類
SMSなりすましには、以下のようにさまざまな種類があります。
- 1. 偽の送信者ID
- 最も一般的ななりすましの手法は、実際の送信者IDを別の番号や名前に置き換えることです。
これにより、攻撃者は銀行やクレジットカード会社などの組織になりすまし、個人情報を入力させたり、有害なソフトウェアをダウンロードさせたりします。
また、SMSだけでなく、偽の通話によって発信者IDを偽装することもあります。 - 2. 迷惑な一斉送信メッセージ(いわゆるスパムSMS)
- スパムSMSは、知り合いから送られてきたように見えるものの、実際には不明な送信元から送られてくる迷惑メッセージです。
これらには、悪意のあるWebサイトへのリンクやフィッシングメッセージなど、モバイルデバイスから個人情報を盗むことを目的とした詐欺が含まれる場合があります。 - 3. 嫌がらせ
- このタイプのSMSなりすましでは、他人に対して脅迫的または不適切なメッセージが送られます。
一部の加害者は、支払いをしなければ不利益が生じると脅し、被害者から金銭をだまし取ろうとします。 - 4. 偽の送金
- 例えば、賞に当選したと偽って金銭の振り込みを求めたり、慈善団体への寄付を装って送金を促したりするケースがあります。
また、当選を装って銀行口座情報を聞き出し、個人情報を盗もうとする悪質な詐欺も含まれます。 - 5. 企業への不正アクセスを狙った攻撃
- この攻撃では、悪意のあるWebサイトへのリンクを含むSMSが送信されます。
リンクをクリックすると別のサイトへ誘導され、個人情報や認証情報が盗まれる可能性があります。
攻撃者はこれらの情報を利用して企業のシステムに不正アクセスしたり、金銭を盗んだりすることがあります。
SMSなりすましから身を守る方法
SMSなりすましから被害を防ぐために、以下のポイントに注意してください。
- 送信者IDだけを信用しない
- メッセージが知り合いや信頼できる企業からのように見えても、送信者IDは偽装されている可能性があります。
- 不審なメッセージ内のリンクをクリックしない
- 予期しないメッセージに含まれるリンクは、フィッシングサイトへ誘導されたり、マルウェアをダウンロードさせられたりする可能性があります。
- SMSの代わりに認証アプリを利用する
- 二要素認証には、SMSコードよりも安全性の高い認証アプリの利用が推奨されます。
- なりすましを通信事業者や関係機関に報告する
- 携帯通信事業者や関係当局に報告することで、詐欺行為の抑止や被害拡大の防止につながります。
- スパムフィルタやフィッシング対策ツールを導入する
- これらのツールは、不審なメッセージを事前に検出し、ブロックするのに役立ちます。
SMSなりすましの正当な利用例
SMSなりすましの技術は、適切に利用される場合、以下のような用途にも活用されています。
- 一斉メッセージ配信
- 企業はこの技術を用いて、多数の受信者に対して一度にメッセージを送信することができます。
特に、一斉SMS配信サービスを利用することで、効率的かつ低コストで顧客に連絡できます。 - 公式メッセージの配信
- 政府機関は、納税期限の通知や災害情報などの重要なお知らせを送信する際にこの技術を利用します。
これらのメッセージは、正当な送信元であることが明確にわかる形で送信される必要があります。 - 本人確認の強化
- Equifaxのような企業では、この技術を本人確認の補助として活用しています。
たとえば、Equifaxを装った連絡を受けた場合でも、不審な連絡を受けた場合は、公式サイトなどで確認した正規の連絡先に自分から問い合わせることで、正当な連絡かどうかを確認できます。
ユーザーはSMSなりすましから身を守るために何をすべきか
- モバイル端末で受信した不審なメッセージには注意し、メッセージ内のリンクは安易に開かないようにしてください。
リンクにアクセスする必要がある場合は、ブラウザにURLを直接入力し、正規のWebサイトであることを確認しましょう。
通信の安全に利用するためには、送信者が本当に正規の相手かを確認し、不審なリンクを避けることが重要です。 - 口座番号やパスワードなどの個人情報を求めるメッセージには返信しないでください。
そのようなメッセージを受け取った場合は、返信せず削除するのが安全です。 - 金銭や個人情報の提供を求めるSMSを受信した場合は、携帯通信事業者に連絡してください。
最後に
なりすましのリスクを完全に防ぐことは困難です。
嫌がらせを受けたり、自分の電話番号がなりすましに悪用されたりした場合は、必ず通信事業者や警察に報告してください。
これにより、発信元の特定や将来的な被害防止につながります。
また、同様の詐欺メッセージを防ぐために、SMSブロック機能やセキュリティアプリの利用も有効です。
さらに、メールなりすましやドメインなりすましなど、他のなりすまし手法についても理解し、適切な対策を講じることが重要です。
あわせて、メールなりすましやドメインなりすましなど、関連する手口への対策も確認しておくとよいでしょう。
よくある質問(FAQ)
- なりすましされたSMSは追跡できますか?
- なりすましSMSは、送信者が第三者ツールなどを利用して実際の番号を隠している場合が多く、通信事業者や当局でも発信元の特定が難しいケースがあります。
- なりすましとフィッシングは同じですか?
- いいえ、異なります。
なりすましは送信者情報を偽装する行為であり、フィッシングは個人情報をだまし取ることを目的とした詐欺です。
なりすましは、フィッシングをより信頼できるものに見せるための手法として使われることがあります。