セールスセンター2023.10.25
怪しいSMSには要注意!増えるスミッシングの手口と対策方法について解説
個人・法人を問わずスミッシングによる被害が増えています。フィッシングと類似の手法であるスミッシングは、認知不足や対策の難しさからトラブルが相次いでおり警戒が必要です。先日も大手出版社の役員がスミッシングに遭ったという事件がありました。
スミッシングはSMSを利用する心理的にも技術的にも対策が難しい攻撃方法です。まずは知識を身に着け、自社に合った対策を検討していきましょう。
本記事では、スミッシングについての基本的な情報と手口、対策方法についてご紹介します。
この記事を読むのにかかる時間:5分
安心と安全を提供する Symantec
スミッシングとは?
スミッシングは、SMSからURLリンクをクリックさせて悪意あるサイトに誘導し、個人情報を入力させたりマルウェアをDLさせたりするサイバー攻撃です。
フィッシングの1種(スミッシングはSMS+Phishingからの造語)で、一般的なフィッシング攻撃はEメールにメッセージを送りますが、スミッシングではSMSを使う点が異なります。
SMSを送るにはスマートフォンなどの電話番号が情報として必要ですが、電話番号はメールアドレスよりも外部に公開する機会が少ない機密性の高い情報です。そのため、送られてくるメッセージに対してもEメールほどの警戒心がなく、SMSを送ってくるユーザーは安心という先入観がはたらきやすいです。
通常、docomoやauなどの国内の通信キャリア間のSMSでは、送信元の電話番号(電話帳に登録済みの番号なら送信者名)が表示されるため送信者の特定は容易です。しかし、スミッシングでは海外の事業者を使って一斉送信されているため事情が異なります。海外事業者が送信するSMSでは、11桁以内であれば送信元に数字やアルファベットを自由に設定できるため、送信元からの送信者の特定が難しいのです。
こうしたユーザー心理や送信者の特定の難しさから、攻撃者にとってスミッシングは開封率が高くリスクの低い、効率の良い攻撃方法として考えられています。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
スミッシングの手口
スミッシングから自身や企業の大事な情報を守るためには、その手口をよく知っておくことが肝心です。
2023年現在、スミッシングでは、公的機関や金融機関、カード会社、有名クラウドサービス、宅配業者などになりすましてSMSを送ることが多くなっています。「誰にでも該当し得る」メッセージの内容であるため、つい内容を確認したくなるのが特徴です。
また、賞金や懸賞の当選を伝える内容や、未払いの費用があるという内容など、心理的に関心を引くような内容のメッセージが送られてくる場合もあります。
こうしたメッセージでは、送信者の番号としてアルファベットや数字を駆使して送信者を偽装します。メッセージの内容に合わせて「567(コロナ)」「810(ヤマト)」など、数字でサービスの一部を表したものを番号に含めたり、「s0ftbank」「docono」などの誤字を偽装してくるケースもあったりします。
メッセージ内には、攻撃者の目的である不正サイトへのリンク用のURLがあります。このURLは、短縮URLや正式なものに偽装したURLなどを使用するケースが多いです。リンク先も一見本物のサイトそっくりに偽装したものが利用されているため、うかつに入力操作をしないよう注意しなければなりません。また、特定の番号に電話をかけさせるケースもあります。
電話番号の情報は登録サービスでの情報漏えいやソーシャルエンジニアリングなどから窃取されたり、闇市場でリストが売買されて各種の攻撃に利用されたりしています。普段から情報漏えいに注意することが大切です。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
スミッシングの対策方法①:ユーザーが意識すべきこと
スミッシング対策では、まずは手口を理解し、リスクを避けるように普段から注意することが大切です。
たとえば、「見覚えのない電話番号、身に覚えのない要件には対応しない」ことを徹底します。どうしてもメッセージの内容が気になる場合はSMSからリンクをクリックせず、公式のサイトや問い合わせ窓口に確認するといった対応をしましょう。
また、先述のように海外事業者を利用して送信されたSMSは日本のSMSと送信元の情報に関するルールが異なります。そのため、送信者の名前にアルファベットが使用されている、発信者の電話番号の桁数が少ないなど違和感がある場合は、十分に警戒したほうがよいでしょう。ただし、国内で提供されているSMSの一斉送信サービスでも、海外事業者を経由している場合があります。そのため、海外からのすべてのSMSがスミッシングだとは断定できない点に注意が必要です。
フィッシングと同様に、メッセージの内容や日本語の使い方、漢字の種類などに違和感があるケースも多く見られるため、メッセージをよく確認しましょう。
そして、万が一に備えてスマートフォンを適切に管理するよう心がけましょう。たとえば、インターネットバンクなど金融機関の情報がスマートフォン内にある場合、重要な情報の漏えいリスクが高まりますので注意してください。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
スミッシングの対策方法②:企業で実施できること
SMSはEメールと比較して、企業での技術的な対策が難しい面があります。その中でも可能な、スミッシングに対して効果的な対策を紹介します。
まず、スミッシングはフィッシングと同様の特徴を多く持つため、メール訓練などで、普段から意識を高めるのも効果的な対策です。
企業でスマートフォンを貸与している場合は、通信事業者が提供しているフィッシング対策サービスを活用するのも手です。BYODの場合は社員にサービスを案内し、企業で加入を支援するなど検討してみるとよいでしょう。
また、パソコンと同様に、スマートフォン用のエンドポイントセキュリティ製品には不正なリンクなどを検知し、フィッシングやスミッシングによる不正サイトへのアクセスを防ぐ機能を持った製品があります。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
Symantec Endpoint Securityはモバイルへのフィッシング攻撃にも対応
シマンテックのエンドポイントセキュリティ製品であるSymantec Endpoint Security(SES)は、Enterpriseと上位版のCompleteの2つのラインで展開されていますが、いずれもiPhone/Androidスマートフォンにも対応しています。
SESには高度な保護技術により、端末へのマルウェアの侵入を防いだり端末内にある脆弱性について教えてくれたりと適切に端末を保護する機能が多数実装されています。これらの包括的な働きにより、ビジネスで活用するスマートフォンの安全性を大きく向上させることが可能です。
フィッシング対策では、世界中から収集・分析した脅威情報をもとに、危険なサイト(サーバー)やURLなどを高い精度で検知します。その結果をもとに、受信したSMSを迷惑メッセージに振り分けたり不審なメッセージとして通知したりといった作業を自動的に行ってくれるため、不審なSMSの確認による生産性の低下を防ぐ効果も期待できます。
SESでは、PCやサーバーと同じ管理画面で各端末のセキュリティ情報を管理できるため、運用担当者の負担も大きく削減可能です。
モバイルのセキュリティが気になるという企業様は、ぜひSymantec Endpoint Securityのご利用をご検討ください。ご相談は、取り扱いのあるパートナー企業、またはシマンテックセールスセンターで承っております。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
まとめ
- スミッシングとはSMSを利用し、不正サイトや不正な電話番号に誘導する攻撃
- スミッシングの手口を知り、普段から注意することが大切
- 企業ではメール訓練や通信事業者のフィッシング対策サービスの活用も手
- メールからのフィッシングやその他のサイバー攻撃の可能性を踏まえ、SESのようなモバイル用のエンドポイントセキュリティの導入も検討するとよい