- What is Overiew
- フィッシングとは
- スミッシングの概要
スミッシングとは、SMSとPhishingを組み合わせた造語であり、携帯電話のショート・メッセージ・サービス(SMS)を悪用して個人情報を窃取するフィッシング攻撃のことを指します。
スミッシングは、SMS(技術的にはショートメッセージサービス)と呼ばれるテキストメッセージングサービスを使用します。多くの人は、メールよりも携帯電話のメッセージングアプリに届くメッセージを信頼する傾向があります。
多くの人にとって、ハッカーに自分の電話番号が知られていることは想像しにくいようです。実際にはメールアドレスよりも電話番号を調べるほうが簡単です。電話番号に選択できる数字は有限であり、日本では電話番号が11桁です。
これに対して、妥当な文字数と予想できるものの、メールアドレスのサイズに制限はありません。メールには、数字、文字、記号(!、#、%など)を含めることができます。電話番号よりもメールアドレスを推測するほうがはるかに膨大な作業になります。
ハッカーは単純に、電話番号と同じ長さの任意の数字の組み合わせに対してメッセージを送信できます。携帯電話ではない番号にメッセージを送信しても、どこにも着信しません。攻撃者は害を被ったり違反を犯したりせずに、数字のありとあらゆる組み合わせを試すことができます。ガートナーの調査によると、テキストメッセージの98%が読まれ、45%に返信があると報告されています。ハッカーがテキストメッセージを使って攻撃するのは非常に理にかなっています。さらにメールでは6%しか返信がないというガートナーの調査を見れば、それはなおさらです。
ハッカーはテキストメッセージを利用してさまざまなことを行うと考えられます。銀行になりすまして個人情報を取得しようとするかもしれません。テキストメッセージ内のリンクをクリックして銀行にアクセスし、最近の疑わしい請求を確認させようとすることもあるでしょう。最近の疑わしい請求や侵害されたアカウントについて報告するように、テキストメッセージに記載されているハッカーのカスタマーサービス番号に電話するように求めるかもしれません。
ハッカーは、クレジットカード番号を取得しようとして、共感を誘うテキストメッセージを送信したこともあります。気象災害の後、飲料水や衣類など、切実に必要とされるものを再建したり補充したりするための慈善寄付を求めてきます。リンクをクリックした後は、クレジットカード情報、住所、社会保障番号を入力するだけです。ハッカーはそのカード番号を買い物に利用したり、自身の懐に入る継続的な寄付をそのカードに毎月請求したりします。
あるいは、宅配業者を装って「お客様の荷物をお届けに伺いましたが、不在のため持ち帰りました。詳細のURLをご確認ください。」という内容のメッセージを送ってくる場合もあります。このURLにアクセスすると、宅配業者を装った不正サイトに接続され、不正なアプリや入力フォームなどを通じて個人情報が窃取されてしまいます。
図:2019年に確認された宅配荷物の不在通知に偽装した不正SMSの例(実際のSMSを元に再構成)
他には、サービスや電話のアップグレードについて信じられないような取引をもちかける、通信会社からのテキストのように見せかけたものがあります。ユーザがすることは、リンクをクリックするか記載されている電話番号に電話して、アップグレードを入手するだけです。次にハッカーは、SSNとクレジットカード番号を確認することを求めてきます。もちろんそのようなアップグレード契約などなく、クレジットカード番号が漏えいするだけです。さらに悪いことに、ハッカーはその個人情報を使用してクレジットカードやローンを利用し始めるようになります。一般的に考えて現実的ではない内容の連絡が来た場合は、大方詐欺であることを忘れないでください。
FacebookのMessengerやSkypeなどのインスタントメッセンジャープログラムを使うフィッシングは、技術的にはスミッシングに該当しませんが、密接に関連しており、まだ独自の呼び名はありません。ハッカーは、インスタントコミュニケーションプログラムを見て、読んで、応答したくなる意欲を悪用します。目標は他のフィッシング詐欺と同じです。つまり、個人データ、クレジットカード番号、またはパスワードを盗むことです。
攻撃者が新しい友達リクエストへの応答、特に取引をもちかけるリクエストへの応答を取得できれば、それは攻撃者にとって詳細情報を盗み出す機会となります。知らない人から自身と繋がろうとするメッセージを受信することは、フィッシング詐欺の可能性であることの兆候の一つです。また、知っている人からのメッセージであっても、攻撃者がその知人のアカウントをハッキングしてフィッシング詐欺を仕掛けてきている場合もあるため、注意が必要です。