スミッシングとは何か?スミッシングの手口や主な被害と具体的な対策方法について

INDEX

    フィッシング詐欺と同じ部類に属する「スミッシング」による被害が急増しています。携帯電話番号宛に、慌てさせたり、焦らせたりするようなSMSが届くことで、判断を誤ってURLをタップしてしまうためです。
    今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話します。


    スミッシングに関する基礎知識

    はじめにスミッシングに関する基礎知識について簡単に説明します。

    スミッシングとは

    スミッシングとはSMS phishing(SMSとフィッシング)の混成語であり、英語ではSmishingと表記されます。一般的なメールアドレスへのフィッシング詐欺がフィッシングメールと呼ばれることに対して、SMSを利用するフィッシング詐欺をスミッシングと呼びます。

    スミッシングの手口・手法

    スミッシングは携帯番号宛にメッセージを届けることが可能なSMS(ショートメッセージサービス)を悪用するフィッシング詐欺であり、フィッシングメールやフィッシングサイトと同様の手口・手法が用いられます。
    ・マルウェアを仕込んだアプリをインストールさせる
    ・アプリによってSMSや電話帳/連絡先を盗まれる
    ・盗まれた電話番号に対してSMSを送る
    上記はスミッシングの手口の一例です。その他にも情報漏えいや盗み出した携帯電話番号のリストを元にうっかり開いてしまいそうな文章とともにURLを送るような手口もあります。
    実際に日本国内においても、配送業者になりすまして、SMSに「不在通知」のようなメッセージとともにURLを送付され、誤ってタップしてしまうことでスマートフォンが乗っ取られるケースが発見されています。

    スミッシングによる被害

    ・スマートフォンの乗っ取り
    ・スマートフォン内のデータの収集や盗み見
    ・悪質なURLへの誘導
    ・URLから何らかの形で課金
    ・他のマルウェアや悪質なアプリのインストール
    上記はスミッシングによる被害の一例です。上記のいずれもスマートフォン上でタップするだけの操作で被害を被る可能性があるため、いつも気軽に利用しているスマートフォンが突然、脅威やリスクになるということです。

    スミッシングによる被害となる理由や原因

    スミッシングの場合は直接的に携帯電話番号にメッセージが届くため、メールやSNSのDMと比べると安易に開いてしまったり、URLをタップしてしまう可能性が高かったりするのが被害となる理由・原因と言えます。
    現実問題として、メールアドレス宛の迷惑メールや詐欺メールには注意している人であっても「携帯電話番号を教えているのは信頼しているサービス(または人)だから大丈夫」と油断をしてタップしてしまう可能性は非常に高いです。
    また、メッセージの文面においても、焦らせたり、すぐに対応しないと被害を受けたりするような文章を用いて、心理的に追い込むことで判断力を失わせるような形でタップを促されてしまうことも被害が拡大する要因と言えます。
    SMSにURLが届いた時点で悪意のある第三者は何らかの形で携帯電話番号を手にしているか、またはランダムに送信できる仕組みを備えている可能性があります。同様に踏み台となる携帯電話番号を複数取得している可能性があり、知っている電話番号、知らない電話番号の両方に警戒しなくてはならないのです。

    av2106020002 (1).png

    スミッシングによる被害を防ぐための具体的な対策方法

    次にスミッシングによる被害を防ぐための具体的な対策方法をご紹介します。

    公式のURLか確認する

    スミッシングは企業や組織、サービス名などを装ってメッセージを作成します。URLも公式のURLに偽装している場合がありますので、まずは安易にURLをタップせず、公式のURLかどうか、または検索エンジンから検索して、正しいURLかどうかを確認しましょう。

    公式の問い合わせ窓口から直接問い合わせる

    URLが正しい場合、または正しくないが心配かつ不安な場合、正しいURLから問い合わせ先を探して、問い合わせ窓口から直接問い合わせることも大切です。注意したいのは、SMSにそのまま返信したり、またはSMSに記載されていたURLにアクセスして、その中の問い合わせ窓口に問い合わせたりしてしまうことです。どちらも悪意のある第三者に返信・問い合わせしてしまうこととなり、公式に偽装したままもっともらしい返信が来てしまうことで、騙されてしまう可能性があります。
    また、届いたSMSが知り合い・友人・家族・同僚の携帯電話番号だったとしても安心してはいけません。明らかに怪しい内容や金銭に関わる事柄であれば、別の連絡手段から本人に確認することで思わぬ被害を避けることができます。

    スミッシングの手口や手法に関する情報を共有する

    個人としてではなく、企業や組織としてもスミッシングに注意しなくてはなりません。スミッシングによってマルウェアを含むアプリをインストールされたり、デバイスを乗っ取られたりしてしまえば、社内や組織内でスミッシングが広まってしまう可能性があるためです。
    スミッシングの被害を避けるためにも、スミッシングの手口や手法に関する情報を共有すること、メールアドレスへのサイバー攻撃だけでなく、SMSにもサイバー攻撃があることを周知徹底しておきましょう。

    個々に判断させず、セキュリティや情報システム部に報告させる流れを構築

    スミッシングに効果的なのは、SMSが届いた本人に判断させないことです。怪しいメッセージが届いたら、まずはセキュリティ担当か情報システム部に報告する流れを構築しておきましょう。
    また、スミッシングは冷静に対処すれば全く怖いものでもありません。URLをタップしないこと、SMSに返信しないことのふたつを守れば良いだけのことだからです。そのため、慌てさせたり、不安にさせたりするようなメッセージが届いた時点で、まずは相談するものだと社内ルールを決めておくと良いでしょう。

    基本的には怪しくなくてもURLをタップしない

    業界や業種による部分はありますが、基本的にはSMSに届いたURLをタップしないことを前提にしておきましょう。同様に社内や組織内の業務連絡でURLを送る必要性がある場合においても、Webフィルタリングが可能なデバイスやメールアドレスにのみ送信するルールにしておけばさらに安心です。

    スミッシングだけでなく、フィッシングにも注意しよう

    スミッシングに限ったことではありませんが、ひとつのサイバー攻撃に対して注力するのではなく、サイバー攻撃全般に注意することを忘れないようにしましょう。スミッシングに注意していたが、フィッシング詐欺に引っ掛かってしまった、などということにならないようにすべきいうことです。
    同じく、セキュリティ対策についても幅広い範囲・対象に対して統合的な管理を行うことをおすすめします。管理する側や雇用する側が強固なセキュリティ基盤を構築して運用すること、そして従業員個人への脅威・リスクとなるサイバー攻撃への知識やナレッジを共有していくことが、企業や組織全般のセキュリティが強化につながるということを忘れないようにしましょう。

    まとめ:スミッシングも含めた外部からの脅威やリスク全般に対応できる体制を配備すべき

    今回はスミッシングに関する基礎知識、そしてスミッシングによる被害を防ぐための具体的な対策方法についてお話しました。
    スミッシングも含めて、人の心理を悪用するような詐欺的サイバー攻撃は姿形を変化させながら、常に近くに存在しているのが現実です。無用な被害やリスクを避けるためにも、システム的なセキュリティ対策とともに各種サイバー攻撃に関する知見やナレッジを共有しておくことをおすすめします。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、統合的なセキュリティ管理が可能となり、外部からの脅威・リスク全般に対応しやすくなります。システム的にセキュリティ性を確保し、従業員個々のセキュリティ意識を向上したいとお考えであれば、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      オンライン配信

      12/9(金)11:00~11:30

      ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      トレンド

    • 不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      アーカイブ配信

      11/22(火)~2023/3/31(金)

      不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      トレンド

    • ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      アーカイブ配信

      10/21(金)~2023/3/31(金)

      ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      トレンド

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      10/6(木)~2023/3/31(金)

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      トレンド

    • 【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      運用支援

    • 【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      運用支援

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『内部不正』が起きる要因と対策が分かるセミナー

      トレンド

    • わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      トレンド

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『IT資産管理の費用対効果』が説明できるようになるセミナー

      トレンド

    • 【初級編】AssetView 使い方レクチャー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 使い方レクチャー~AssetView運用開始編~

      運用支援

    • テレワーク運用における困りごと3つを解決!

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      テレワーク運用における困りごと3つを解決!

      運用支援

    • 【初級編】活用セミナー~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~アプリケーション配布編(D)~

      運用支援

    • 【初級編】活用セミナー~デバイス管理編(G)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~デバイス管理編(G)~

      運用支援

    • 【中級編】機能別ワンポイント~Windows更新管理編(P)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~Windows更新管理編(P)~

      運用支援

    • 【中級編】機能別ワンポイント~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~アプリケーション配布編(D)~

      運用支援

    • 【応用編】運用ワンポイント~AssetViewサーバー監視編~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【応用編】運用ワンポイントセミナー~AssetViewサーバー監視編~

      運用支援

    ハンモックのプロダクト

    • AssetsView
      IT統合管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化

    資料一覧はこちら