スミッシングとは何か?スミッシングの手口や主な被害と具体的な対策方法について

INDEX

    フィッシング詐欺と同じ部類に属する「スミッシング」による被害が急増しています。携帯電話番号宛に、慌てさせたり、焦らせたりするようなSMSが届くことで、判断を誤ってURLをタップしてしまうためです。
    今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話します。


    スミッシングに関する基礎知識

    はじめにスミッシングに関する基礎知識について簡単に説明します。

    スミッシングとは

    スミッシングとはSMS phishing(SMSとフィッシング)の混成語であり、英語ではSmishingと表記されます。一般的なメールアドレスへのフィッシング詐欺がフィッシングメールと呼ばれることに対して、SMSを利用するフィッシング詐欺をスミッシングと呼びます。

    スミッシングの手口・手法

    スミッシングは携帯番号宛にメッセージを届けることが可能なSMS(ショートメッセージサービス)を悪用するフィッシング詐欺であり、フィッシングメールやフィッシングサイトと同様の手口・手法が用いられます。
    ・マルウェアを仕込んだアプリをインストールさせる
    ・アプリによってSMSや電話帳/連絡先を盗まれる
    ・盗まれた電話番号に対してSMSを送る
    上記はスミッシングの手口の一例です。その他にも情報漏えいや盗み出した携帯電話番号のリストを元にうっかり開いてしまいそうな文章とともにURLを送るような手口もあります。
    実際に日本国内においても、配送業者になりすまして、SMSに「不在通知」のようなメッセージとともにURLを送付され、誤ってタップしてしまうことでスマートフォンが乗っ取られるケースが発見されています。

    スミッシングによる被害

    ・スマートフォンの乗っ取り
    ・スマートフォン内のデータの収集や盗み見
    ・悪質なURLへの誘導
    ・URLから何らかの形で課金
    ・他のマルウェアや悪質なアプリのインストール
    上記はスミッシングによる被害の一例です。上記のいずれもスマートフォン上でタップするだけの操作で被害を被る可能性があるため、いつも気軽に利用しているスマートフォンが突然、脅威やリスクになるということです。

    スミッシングによる被害となる理由や原因

    スミッシングの場合は直接的に携帯電話番号にメッセージが届くため、メールやSNSのDMと比べると安易に開いてしまったり、URLをタップしてしまう可能性が高かったりするのが被害となる理由・原因と言えます。
    現実問題として、メールアドレス宛の迷惑メールや詐欺メールには注意している人であっても「携帯電話番号を教えているのは信頼しているサービス(または人)だから大丈夫」と油断をしてタップしてしまう可能性は非常に高いです。
    また、メッセージの文面においても、焦らせたり、すぐに対応しないと被害を受けたりするような文章を用いて、心理的に追い込むことで判断力を失わせるような形でタップを促されてしまうことも被害が拡大する要因と言えます。
    SMSにURLが届いた時点で悪意のある第三者は何らかの形で携帯電話番号を手にしているか、またはランダムに送信できる仕組みを備えている可能性があります。同様に踏み台となる携帯電話番号を複数取得している可能性があり、知っている電話番号、知らない電話番号の両方に警戒しなくてはならないのです。

    av2106020002 (1).png

    スミッシングによる被害を防ぐための具体的な対策方法

    次にスミッシングによる被害を防ぐための具体的な対策方法をご紹介します。

    公式のURLか確認する

    スミッシングは企業や組織、サービス名などを装ってメッセージを作成します。URLも公式のURLに偽装している場合がありますので、まずは安易にURLをタップせず、公式のURLかどうか、または検索エンジンから検索して、正しいURLかどうかを確認しましょう。

    公式の問い合わせ窓口から直接問い合わせる

    URLが正しい場合、または正しくないが心配かつ不安な場合、正しいURLから問い合わせ先を探して、問い合わせ窓口から直接問い合わせることも大切です。注意したいのは、SMSにそのまま返信したり、またはSMSに記載されていたURLにアクセスして、その中の問い合わせ窓口に問い合わせたりしてしまうことです。どちらも悪意のある第三者に返信・問い合わせしてしまうこととなり、公式に偽装したままもっともらしい返信が来てしまうことで、騙されてしまう可能性があります。
    また、届いたSMSが知り合い・友人・家族・同僚の携帯電話番号だったとしても安心してはいけません。明らかに怪しい内容や金銭に関わる事柄であれば、別の連絡手段から本人に確認することで思わぬ被害を避けることができます。

    スミッシングの手口や手法に関する情報を共有する

    個人としてではなく、企業や組織としてもスミッシングに注意しなくてはなりません。スミッシングによってマルウェアを含むアプリをインストールされたり、デバイスを乗っ取られたりしてしまえば、社内や組織内でスミッシングが広まってしまう可能性があるためです。
    スミッシングの被害を避けるためにも、スミッシングの手口や手法に関する情報を共有すること、メールアドレスへのサイバー攻撃だけでなく、SMSにもサイバー攻撃があることを周知徹底しておきましょう。

    個々に判断させず、セキュリティや情報システム部に報告させる流れを構築

    スミッシングに効果的なのは、SMSが届いた本人に判断させないことです。怪しいメッセージが届いたら、まずはセキュリティ担当か情報システム部に報告する流れを構築しておきましょう。
    また、スミッシングは冷静に対処すれば全く怖いものでもありません。URLをタップしないこと、SMSに返信しないことのふたつを守れば良いだけのことだからです。そのため、慌てさせたり、不安にさせたりするようなメッセージが届いた時点で、まずは相談するものだと社内ルールを決めておくと良いでしょう。

    基本的には怪しくなくてもURLをタップしない

    業界や業種による部分はありますが、基本的にはSMSに届いたURLをタップしないことを前提にしておきましょう。同様に社内や組織内の業務連絡でURLを送る必要性がある場合においても、Webフィルタリングが可能なデバイスやメールアドレスにのみ送信するルールにしておけばさらに安心です。

    スミッシングだけでなく、フィッシングにも注意しよう

    スミッシングに限ったことではありませんが、ひとつのサイバー攻撃に対して注力するのではなく、サイバー攻撃全般に注意することを忘れないようにしましょう。スミッシングに注意していたが、フィッシング詐欺に引っ掛かってしまった、などということにならないようにすべきいうことです。
    同じく、セキュリティ対策についても幅広い範囲・対象に対して統合的な管理を行うことをおすすめします。管理する側や雇用する側が強固なセキュリティ基盤を構築して運用すること、そして従業員個人への脅威・リスクとなるサイバー攻撃への知識やナレッジを共有していくことが、企業や組織全般のセキュリティが強化につながるということを忘れないようにしましょう。

    まとめ:スミッシングも含めた外部からの脅威やリスク全般に対応できる体制を配備すべき

    今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話しました。
    スミッシングも含めて、人の心理を悪用するような詐欺的サイバー攻撃は姿形を変化させながら、常に近くに存在しているのが現実です。無用な被害やリスクを避けるためにも、システム的なセキュリティ対策とともに各種サイバー攻撃に関する知見やナレッジを共有しておくことをおすすめします。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、統合的なセキュリティ管理が可能となり、外部からの脅威・リスク全般に対応しやすくなります。システム的にセキュリティ性を確保し、従業員個々のセキュリティ意識を向上したいとお考えであれば、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 【ハイブリッド開催】企業のセキュリティ強化に必要な「ISMS認証」とは?

      2024/7/23(火)14:00~15:30

      【ハイブリッド開催】企業のセキュリティ強化に必要な「ISMS認証」とは?

    • 【ハイブリッド開催】企業のセキュリティ強化に必要な「ISMS認証」とは?

      2024/7/25(木)14:00~15:30

      【ハイブリッド開催】企業のセキュリティ強化に必要な「ISMS認証」とは?

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら