スマートフォンのSMS（ショートメッセージサービス）を悪用した「スミッシング」と呼ばれる攻撃が増えてきています。

金融機関やECサイトなどを装ったメッセージをSMSで受信し、メッセージに記載されているURLをクリックすると、クレジットカード番号や個人情報などの情報を入力するページが表示されます。騙されたメッセージの受信者は、クレジットカード番号や個人情報などの入力してしまい、情報が盗まれてしまうというわけです。

このような攻撃から身を守るためには、どのような心構えと知識が必要なのでしょうか。今回はスミッシングの仕組みと被害実例、そして具体的な対策方法について紹介します。

スミッシングとは

スミッシングとはスマートフォンなどのモバイル機器のメッセージ機能であるSMS（ショートメッセージサービス）を利用して、メッセージの受信者をフィッシングサイトへと誘導する手口のサイバー攻撃のことです。

最近ではSNSなどのオンラインサービスの認証として、SMS認証を使用した二段階認証を導入するケースが増えてきています。TwitterやfacebookなどのSNSにログインする際に、スマートフォンに認証用を確認コードが送信されたことがある人もいるでしょう。

スミッシングを仕掛ける攻撃者は、これらのSNSなどのアカウントに成りすましてメッセージを送信してくることがあります。そのメッセージの中には、正規サイトに良く似せて作られたフィッシングサイトや、不正なスマホアプリをダウンロードさせるページなどに誘導させるURLが記載されています。つまりこれらはフィッシングサイトです。

「SMS」と「フィッシング」この2つを結び付けた言葉が「スミッシング」なのです。

スミッシングの仕組み

スミッシングによる攻撃は、まず攻撃者が送信したメッセージを、SMSを経由して受信するところから始まります。メッセージの中身は例えば「もうすぐ銀行の口座が閉鎖されるため、このメッセージに記載されているURLにアクセスして、手続きをする必要がある」などです。

このメッセージに記載されているURLをクリックすると、実在する正規のサイトにそっくりな偽のサイト（フィッシングサイト）へと誘導されます。

誘導されたフィッシングサイトには、正規のサイトで使われているユーザー名やパスワードを入力するフォームに加え、クレジットカード番号やATMの暗証番号などを入力するフォームが表示されることもあります。

メッセージの受信者が誘導されたサイトが正規のものであると思い込んでいると、何の疑いも持たずにフォームに情報を入力してしまい、攻撃者に情報を送信してしまうのです。

スミッシング被害事例

スミッシングにより様々な被害が発生しています。具体的にどのような被害が発生しているのか紹介します。

大手銀行を装う手口

2015年5月下旬よりSMSを使って銀行のフィッシングサイトへと誘導する手口が確認されるようになりました。6月16日には、三井住友銀行や三菱東京UFJ銀行を騙ったSMSが送信されていることも確認されています。

それぞれの銀行のサイトでは注意喚起のためのWebページが公開されています。

参照金融犯罪にご注意ください/三菱UFJ銀行
参照セキュリティ/三井住友銀行
参照 【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)/フィッシング対策協議会

宅配業者の不在通知を装う手口

佐川急便やクロネコヤマトなどの宅配業者になりすましたスミッシングも確認されています。受信したメッセージには「お客様宛にお荷物をお届けしましたが、不在のため持ち帰りました。配送物は下記よりご確認ください」のようなメッセージが記載されており、URLをクリックすると不正なアプリがインストールされてしまうという手口です。

このような不正なアプリがインストールされてしまうと、電話番号やスマホ内に保存されている電話帳などの情報が盗み取られてしまいます。

IPAより注意喚起のページが公開されているので、詳しくはこちらをご確認ください。
参照宅配便業者をかたる偽ショートメッセージに関する相談が急増中、誘導されるままAndroid端末にアプリをインストールしないように！/IPA

通信事業者のお知らせを装う手口

2019年3月ごろから、NTTドコモが行っているセキュリティ強化サービスを装って、偽のサイトに誘導させ不正なアプリをダウンロードする手口が確認されています。

この不正なアプリをインストールすると、既存の正規のアプリと置き換えられ、ログインに必要なIDやパスワードが盗み取られてしまいます。置き換えられたアプリがネットバンクのアプリだった場合、銀行の口座番号や暗証番号が流出する可能性もあります。

参照偽ＳＭＳで個人情報狙う「スミッシング」が激化　携帯事業者装い新手口も/産経ニュース

架空請求通知を装う手口

大手検索サイトGoogleを装ったスミッシングも確認されています。

犯行グループは「お客さま端末からウイルス確認。無料削除を実行ください」といったメッセージや「アカウント支払方法登録のお願いです。詳細はURLをクリック」といったメッセージ約19万件についてSMSを通じて送信し、誘導した偽サイトでクレジットカード番号を盗み出していました。

押収したパソコンからは約200件のクレジットカード番号情報が見つかり、そのうち100件のクレジットカード情報を使ったと犯行グループは供述しており、被害の実態を調査中です。

参照グーグル装い「スミッシング」で詐欺　ＰＣからカード情報２００件　警視庁/産経ニュース

スミッシングの対策方法

巧妙な手口で被害が拡大していきているスミッシングですが、被害にあわないためのいくつかの対策方法があります。重要なものを紹介します。

リンクのURLを確認する

SMSのメッセージに記載されているURLをチェックしましょう。一般的なSMS認証では、確認コードや認証コードのみが記載されていることが多く、別サイトへ誘導させることはあまり多くありません。

単刀直入に言えば、SMSのメッセージの中にURLが記載されている時は、とにかく疑ってみることが必要です。たとえメッセージの中に有名企業の会社名や、有名なサービスの名称などが記載されていても、リンク先のURLが信用できるものであるかどうかは別の問題です。

よくわからないスマホアプリはダウンロードしない

スミッシングによるメッセージを受信すると、不正な行為をするスマホアプリがダウンロードされることがあります。不正なスマホアプリをインストールしてしまうと、スマートフォン内の情報が不正なアプリを経由して盗み取られてしまいます。

Android端末の場合、不正なアプリは正規のアプリに偽装することでスマートフォンへインストールされてしまうケースが多いようです。またiPhoneの場合でも、不正な設定情報をインストールさせることで、端末内部の情報を盗みだされるという事例が確認されています。

もしスマートフォンにアプリをインストールする場合は、必ず公式のアプリストアからダウンロードすることをルールとしておきましょう。それ以前に不要なアプリをインストールしないことも重要です。

もし不正なアプリケーションをインストールしてしまったら、速やかに削除してスマートフォンで設定しているパスワードを変更することが必要です。

Virus Totalなどでメッセージ中のURLを検証する

SMSのメッセージ中に記載されているURLに対して、「Virus Total」などのサービスでURLを検証することもおすすめです。

サイトVirus Total

Virus Totalでは不正なURLをチェックして、マルウェアが仕込まれているかどうかなどを調査します。またローカルにあるファイルをアップロードすることで、簡易的なマルウェアのチェックもブラウザ上で行うことができます。

SMSメッセージの文面がしっかりとした日本語になっているか注意

受信したSMSのメッセージの文面が、しっかりとした日本語で書かれているかどうかも、スミッシングであるかどうかの判別基準となります。特によくわからない記号の羅列になっている文面や、どことなく日本語の使い方が間違っている文面は、不審なので気づくことができるでしょう。

しかしスミッシングによるメッセージでも、しっかりとした日本語で書かれている「自然な文面」であることも多いです。そのような場合は、日本語の使われ方だけで判断するのではなく、上記で紹介した対策方法を使って検証することが必要です。

まとめ

スマートフォンで使われているSMSを悪用したスミッシングについて概要と対策方法について紹介してきました。SMSは電話番号情報のみで送信できるサービスなので、攻撃者の視点では、ランダムな数字を電話番号として設定して、手あたり次第にスミッシングを試みることもできます。

冷静になって考えれば、突然受信したSMSから、何らかの支払いの要求や、個人情報などを入力するWebサイトへ誘導されること自体がおかしなことであることが、わかっていただけるかと思います。最近ではスマートフォン向けのセキュリティ対策アプリなどもあるのでインストールすることも友好な対策方法です。

何よりも重要なことは、不審なSMSメッセージを受信しても、無視することです。もし自分で判断できなければ、メッセージの文面をインターネットで検索するか、詳しい人に相談しても良いでしょう。