スミッシングとは何か?スミッシングの手口や主な被害と具体的な対策方法について
- INDEX
-
フィッシング詐欺と同じ部類に属する「スミッシング」による被害が急増しています。携帯電話番号宛に、慌てさせたり、焦らせたりするようなSMSが届くことで、判断を誤ってURLをタップしてしまうためです。
今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話します。
スミッシングに関する基礎知識
はじめにスミッシングに関する基礎知識について簡単に説明します。スミッシングとは
スミッシングとはSMS phishing(SMSとフィッシング)の混成語であり、英語ではSmishingと表記されます。一般的なメールアドレスへのフィッシング詐欺がフィッシングメールと呼ばれることに対して、SMSを利用するフィッシング詐欺をスミッシングと呼びます。スミッシングの手口・手法
スミッシングは携帯番号宛にメッセージを届けることが可能なSMS(ショートメッセージサービス)を悪用するフィッシング詐欺であり、フィッシングメールやフィッシングサイトと同様の手口・手法が用いられます。・マルウェアを仕込んだアプリをインストールさせる
・アプリによってSMSや電話帳/連絡先を盗まれる
・盗まれた電話番号に対してSMSを送る
上記はスミッシングの手口の一例です。その他にも情報漏えいや盗み出した携帯電話番号のリストを元にうっかり開いてしまいそうな文章とともにURLを送るような手口もあります。
実際に日本国内においても、配送業者になりすまして、SMSに「不在通知」のようなメッセージとともにURLを送付され、誤ってタップしてしまうことでスマートフォンが乗っ取られるケースが発見されています。
スミッシングによる被害
・スマートフォンの乗っ取り・スマートフォン内のデータの収集や盗み見
・悪質なURLへの誘導
・URLから何らかの形で課金
・他のマルウェアや悪質なアプリのインストール
上記はスミッシングによる被害の一例です。上記のいずれもスマートフォン上でタップするだけの操作で被害を被る可能性があるため、いつも気軽に利用しているスマートフォンが突然、脅威やリスクになるということです。
スミッシングによる被害となる理由や原因
スミッシングの場合は直接的に携帯電話番号にメッセージが届くため、メールやSNSのDMと比べると安易に開いてしまったり、URLをタップしてしまう可能性が高かったりするのが被害となる理由・原因と言えます。現実問題として、メールアドレス宛の迷惑メールや詐欺メールには注意している人であっても「携帯電話番号を教えているのは信頼しているサービス(または人)だから大丈夫」と油断をしてタップしてしまう可能性は非常に高いです。
また、メッセージの文面においても、焦らせたり、すぐに対応しないと被害を受けたりするような文章を用いて、心理的に追い込むことで判断力を失わせるような形でタップを促されてしまうことも被害が拡大する要因と言えます。
SMSにURLが届いた時点で悪意のある第三者は何らかの形で携帯電話番号を手にしているか、またはランダムに送信できる仕組みを備えている可能性があります。同様に踏み台となる携帯電話番号を複数取得している可能性があり、知っている電話番号、知らない電話番号の両方に警戒しなくてはならないのです。
スミッシングによる被害を防ぐための具体的な対策方法
次にスミッシングによる被害を防ぐための具体的な対策方法をご紹介します。公式のURLか確認する
スミッシングは企業や組織、サービス名などを装ってメッセージを作成します。URLも公式のURLに偽装している場合がありますので、まずは安易にURLをタップせず、公式のURLかどうか、または検索エンジンから検索して、正しいURLかどうかを確認しましょう。公式の問い合わせ窓口から直接問い合わせる
URLが正しい場合、または正しくないが心配かつ不安な場合、正しいURLから問い合わせ先を探して、問い合わせ窓口から直接問い合わせることも大切です。注意したいのは、SMSにそのまま返信したり、またはSMSに記載されていたURLにアクセスして、その中の問い合わせ窓口に問い合わせたりしてしまうことです。どちらも悪意のある第三者に返信・問い合わせしてしまうこととなり、公式に偽装したままもっともらしい返信が来てしまうことで、騙されてしまう可能性があります。また、届いたSMSが知り合い・友人・家族・同僚の携帯電話番号だったとしても安心してはいけません。明らかに怪しい内容や金銭に関わる事柄であれば、別の連絡手段から本人に確認することで思わぬ被害を避けることができます。
スミッシングの手口や手法に関する情報を共有する
個人としてではなく、企業や組織としてもスミッシングに注意しなくてはなりません。スミッシングによってマルウェアを含むアプリをインストールされたり、デバイスを乗っ取られたりしてしまえば、社内や組織内でスミッシングが広まってしまう可能性があるためです。スミッシングの被害を避けるためにも、スミッシングの手口や手法に関する情報を共有すること、メールアドレスへのサイバー攻撃だけでなく、SMSにもサイバー攻撃があることを周知徹底しておきましょう。
個々に判断させず、セキュリティや情報システム部に報告させる流れを構築
スミッシングに効果的なのは、SMSが届いた本人に判断させないことです。怪しいメッセージが届いたら、まずはセキュリティ担当か情報システム部に報告する流れを構築しておきましょう。また、スミッシングは冷静に対処すれば全く怖いものでもありません。URLをタップしないこと、SMSに返信しないことのふたつを守れば良いだけのことだからです。そのため、慌てさせたり、不安にさせたりするようなメッセージが届いた時点で、まずは相談するものだと社内ルールを決めておくと良いでしょう。
基本的には怪しくなくてもURLをタップしない
業界や業種による部分はありますが、基本的にはSMSに届いたURLをタップしないことを前提にしておきましょう。同様に社内や組織内の業務連絡でURLを送る必要性がある場合においても、Webフィルタリングが可能なデバイスやメールアドレスにのみ送信するルールにしておけばさらに安心です。スミッシングだけでなく、フィッシングにも注意しよう
スミッシングに限ったことではありませんが、ひとつのサイバー攻撃に対して注力するのではなく、サイバー攻撃全般に注意することを忘れないようにしましょう。スミッシングに注意していたが、フィッシング詐欺に引っ掛かってしまった、などということにならないようにすべきいうことです。同じく、セキュリティ対策についても幅広い範囲・対象に対して統合的な管理を行うことをおすすめします。管理する側や雇用する側が強固なセキュリティ基盤を構築して運用すること、そして従業員個人への脅威・リスクとなるサイバー攻撃への知識やナレッジを共有していくことが、企業や組織全般のセキュリティが強化につながるということを忘れないようにしましょう。
まとめ:スミッシングも含めた外部からの脅威やリスク全般に対応できる体制を配備すべき
今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話しました。スミッシングも含めて、人の心理を悪用するような詐欺的サイバー攻撃は姿形を変化させながら、常に近くに存在しているのが現実です。無用な被害やリスクを避けるためにも、システム的なセキュリティ対策とともに各種サイバー攻撃に関する知見やナレッジを共有しておくことをおすすめします。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、統合的なセキュリティ管理が可能となり、外部からの脅威・リスク全般に対応しやすくなります。システム的にセキュリティ性を確保し、従業員個々のセキュリティ意識を向上したいとお考えであれば、ぜひともこの機会にご相談、お問い合わせください。
