アメリカでは、毎日約4億通のスパムSMSが送信されています。そのほとんどに、銀行口座の詳細や職場のメールアドレス、パスワードなどの機密情報を盗むために作られた、なりすましホームページへの悪質なリンクが含まれています。これがスミッシングの正体で、たった一度でもSMS詐欺にかかると、億単位の損失を被る可能性があります。
そこで本記事では、スミッシングの脅威から自分の身を守るために知っておくべきことを解説します。
TeamPasswordを使えば、お使いのアカウントをサイバー犯罪者から簡単に守ることができます。今すぐ14日間の無料トライアルに登録し、ぜひお試しください。
【目次】
スミッシングとは?
スミッシングの定義を簡単に説明します。
スミッシングの定義:SMS+フィッシングの略で、ショートメールを使って悪質なリンクを送り、個人から機密情報を得ようとするサイバーセキュリティ攻撃のこと。
簡単に言えば、スミッシングはフィッシングの進化版です。以下で、メールから電話、そして現在の SMS に至るサイバー攻撃の手口の変遷をおさらいしてみましょう。
- フィッシングは、データを盗むためにメールを使って偽物のホームページに誘導する。
- ヴィッシングは、音声(Voice)+フィッシングのこと。同様の目的で電話を使い、さらなるサイバー攻撃に使える可能性のある個人情報または企業情報をその人物から引き出す。
- スミッシングは、SMS メッセージのスパム対策が不十分であることを利用した、この手の攻撃の最新版である。
スミッシングの統計
Robokiller によると、2023年12月だけで190億通以上のスパムSMSメッセージがアメリカで送信され、これは一人あたりに換算すると約19通に相当します。このうちのほとんどがスミッシング詐欺で占められています。
それを考慮すると、2023年には1週間あたり約30億通、1日あたり4億通以上、1分あたり約30万通のSMS詐欺メッセージが送信されたことになります。
最も被害の多い州は、カリフォルニア州、テキサス州、ジョージア州、フロリダ州、ニューヨーク州です。
スミッシングの手口
フィッシングやビッシングと同様、スミッシング攻撃は通常、報酬をちらつかせてリンクをクリックさせるか、あるいは多額の金銭的損失が発生するおそれがあると脅してクリックさせようとします。
また、ここ数年で一気に利用者が増え、今では当たり前の存在となったスマホ決済アプリでも被害が増えています。知らず知らずの間に不正送金が行われていたとしても、救済されないことがほとんどなのが現状です。
多くのスミッシング攻撃において受け取るメッセージは、「重要なアカウント(通常は銀行、ストリーミングサービスなど)が侵害されました。今すぐ確認しないと大きな被害を受けることになります。」と恐怖心を煽るような内容です。もちろん皮肉なことに、もしその悪質なリンクをまんまとクリックして、なりすましホームページで自分の口座の詳細を記入すると、口座はすぐに危険にさらされることになります。
スミッシングの事例
上記のスミッシングの統計が決して盛った数字でないことを証明するために、ここ数週間で筆者の iPhone で実際に起こったスミッシングの例をいくつかご紹介します。
以下の実例では、SMS 詐欺の「報酬型」と「警告型」両方のタイプを紹介しています。
報酬型スミッシング
以下の3つの例のうち上の2つでは、「荷物の配送ができない状況になっており、この配送物を受け取るには、この(悪意のある)リンクをクリックして、さらなる情報(例:住所)を提供しないといけない」という内容のメッセージが書かれています。
3つ目の例では、送信者(詐欺師)は CRA (カナダの税務局)を名乗っており、受取人に450ドルの借金があり、INTERAC e-Transfer で送金するよう要求しています。そして、そのお金を受け取るのに、銀行口座の詳細を明かすよう求められています。
警告型スミッシング
![A smishing SMS message claiming to be Rogers with a warning that a payment could not be processed, which could lead to service interruptions within 24 hours.]](https://lh7-us.googleusercontent.com/othoH8Hmkk-4ayxBPqm8P2_hyRHLh__RdqN1P_w21P80_odu8517hwO7P8qcAd0oH0o4sKaxA7gyNa761pMj2sfL0DiuYdw2FGNeAfUu69s-Ebe-6_BHKGnyOGaduFVeo6LHsbwUjw2efztY_bIWj1ALRFynRMbASC_MCpHNVAb_PA2j9tMv6XCIiPJnOw)
これらは、スミッシングキャンペーンでよく使われる手口の一例です。最初の例では、サイバー犯罪者はカナダの大手インターネット、ケーブルテレビ、携帯電話プロバイダーである Rogers の従業員であると主張しています。論理的に考えれば、支払いが滞って24時間以内にサービスが受けられなくなるなんてありえないことだと誰しもが分かりますが、このようなメッセージはスミッシングのよくある手口です。
不思議なことに、「24時間」などの時間的な要素が加わると、銀行アプリで支払い履歴を再確認して前回の支払いが完了したかどうかを見るために、その悪意のあるリンクを焦ってクリックする可能性が上がるのです。
2つ目のケースでは、ハッカーはカナダの大手銀行である CIBC になりすましています。ご存知ないかもしれませんが、同銀行が発行するデビットカードは最初の4桁が共通しています。このディテールが加わることで、それを知らない人にはSMSメッセージがより合法的に見えるようになります。
スミッシング攻撃を防ぐ方法
残念なことに、政府はスパムメール、電話、ショートメールに対する強力な法律を作るまでは至っておらず、電気通信会社も同様に、フィッシング、ビッシング、スミッシングから顧客を守るための責務を果たそうとしていないのが現状です。これには莫大なお金がかかり、責任を負うと責任を問われる可能性もあるため、どの機関も消極的になっているのです。
つまり、毎月何十件も遭遇する SMS 詐欺から身を守るのは、個人次第ということです。最も重要なのはとにかく「警戒心を持つこと」です。
SMSやメールを受け取って、それが「報酬型」のメッセージであれば、「できすぎた話」だと考えましょう。逆に、恐怖心を煽って行動を起こさせようとしているのであれば、一旦落ち着いて、指示に従わないようにしましょう。
中には、スミッシング攻撃と分かりやすいのもあります。例えば、国税庁はビットコインやアップルストアのギフトカードで借金を払わせるようなことはしません。そして上記の CIBC の例のように、一見合法的に見えるものにも詐欺の兆候はあります。URL を見てください。本物の CIBC のアドレスではありません。
不安な場合は、SMS を閉じて、銀行アプリにアクセスし、何かおかしいと感じたら、電話で銀行に知らせてください。(その際、SMS ではなくアプリに記載されている電話番号を使いましょう。)
疑わしいものに関する一般的なトレーニングとともに、企業はサイバーセキュリティの強化に必要なツールを従業員に与えることができます。そしてその中で最も重要なのは、アカウントごとに一意で強力なランダムなパスワードを生成して保存するパスワードマネージャーです。
TeamPassword 使ってスミッシング攻撃を防ごう!
TeamPassword はユーザー名とパスワードを全て安全に保存します。偽の Web アドレスは、注意散漫な従業員や見分ける訓練を受けていない従業員だと騙される可能性がありますが、パスワードマネージャーだと、保護された詳細情報を入力するよう促されるようなことはありません。
さらに、アカウントごとにユニークでランダム、かつ強力なパスワードを作成し、それを安全に保管することで、一度のミスですべての認証情報をハッカーに知られてしまうようなことはありません。そして、同僚とアカウントを安全かつ簡単に共有する方法があるということは、フィッシングのショートメールへの返信など、安全でない手段でパスワードを共有する必要がなくなるということになります。
TeamPassword は皆さんの大切なアカウントをスミッシングから守ります。こちらから14日間の無料トライアルに登録して、ぜひ一度ご体験ください。
