コロナ禍に急増！SMSを使ったフィッシング詐欺にどう対抗する？

SMSを悪用してフィッシングサイトに誘導し、個人情報を抜き取るスミッシング（SMSを使ったフィッシング詐欺）。コロナ禍のインターネット需要増加に伴い、その被害も急増しています。通信キャリアになりすましてキャリア決済の不正利用警告を装う、あるいは宅配便の不在通知を装うなど、他にもオンラインバンキングや大手ECサイトになりすました巧妙な手口が蔓延しています。
本記事では、スミッシングに対抗するための対策を、通信キャリア、フィッシングハンターなど業界をまたがった方々の知見をご紹介します。

スミッシングとは？見過ごせない被害の現状

フィッシング詐欺はこの数年間で増えており、中でも「スミッシング」と呼ばれるものが横行しています。「スミッシング」とは、携帯電話のショートメール、SMSを使ったフィッシング詐欺のことです。
「ある日突然フィッシングのSMSが届いて被害者になってしまうこともあれば、自社のサイトが詐欺に利用されて問い合わせが殺到してしまい、慌ててしまったという声をよく聞きます。」（田中氏）

代表的な手口としては①偽サイトによる重要個人情報の抜き取り、②不正アプリのインストール、という2つのものが挙げられます。

特に昨年顕著だったのが不正アプリのインストールです。URLをクリックすると、アプリをインストールするかどうかのポップアップ画面が表示され、ボタンを押してしまうと不正なマルウェアであるアプリがインストールされてしまうのです。「スミッシングは巧妙な仕掛けがされており、SMSの文面だけで見分けることは非常に困難です。万が一SMSでお知らせが届いた場合でも、正式なサービスを提供する公式HPからアクセスする習慣を持つことが重要です。また提供元が不明なアプリは絶対に入れないことが大事なポイントです」（田中氏）。

もしダウンロードしてしまった、もしくはダウンロードしているかどうか不安がある場合は、例えば通信キャリアが提供するウイルスチェックサービスでスキャンを実行し、検出した場合は取り除くことも可能です。

SMSについては、欧米を中心に文字による人同士のコミュニケーション手段として広く使われてきました。昨今では2段階認証やマーケティングの目的など幅広い目的で使われる機会が増え、それに乗じてスミッシングが増えてきたという背景があります。

スミッシング対策で難しいのは、ルートが複雑な点です。日本の企業が契約しているSMS送信代行事業者が海外のルートを利用して送るといった複雑なルートもあり、攻撃者にたどり着きにくい状況があります。「通信事業者をはじめ、ソリューション事業者や官公庁、企業の方々など多くのステークホルダーが協力して対策していく必要があります。どうすれば攻撃側の意欲をそぐことができるのか、攻撃能力をどう奪うか、防御力をどう高めるのかなど、さまざまな観点で連携していくことが求められます」（田中氏）。

予期せぬスミッシング、自社を騙る被害を受けた際の対策とは？

最近のトレンド

従来はネット通販事業者や銀行などのブランド名をそのまま送信者名として送ってくるものが大多数でしたが、最近では送信者名が個人の携帯電話番号で送られてくることもあります。また、「不在のため荷物を持ち帰りました」といった宅配ドライバーを装ったものなど、そのSMSがスミッシングかどうかを判別しにくい巧妙なものが増えています。

このような状況において、今まで対象となっていなかった業界や企業がスミッシングで騙られた場合であっても慌てないように対策できることがあるのでしょうか。

金融業界の取り組み

昨今では、規模の小さな地銀や信用金庫など、これまで被害にあうことのなかった金融機関の名前が悪用されることも増えてきています。金融ISACでは、金融業界向けのガイドを提供し、多くの金融機関に向けて情報提供を進めています。

楽天の取り組み

eコマース事業やカード事業も手掛けている楽天では、従来はフィッシングサイトのURLを収集してセーフブラウザの提供元に提供し、サイトへのアクセスを停止するなどアクションが自動化された状態でマニュアル化されています。しかし、スミッシングの場合、その取り組みが効かないケースも増えています。「実際に自社を騙ったスミッシングが発生してしまった場合に備えて、関係するステークホルダー間で連携が取れるような体制が非常に重要だと思います。」（本田氏）

自組織内での連携

SNS等でスミッシングに関する情報を発信するフィッシングハンター、にゃん☆たく氏は組織内での連携の重要性を指摘。「自社を騙られてしまった組織はもちろん、実際にスミッシングを受信したユーザが慌てないためにも、スミッシング・フィッシングが発生した事実を企業がしっかりと発信することがとても大事なポイントです。その際、社外に情報を伝える広報や企画部門と技術部門が円滑に連携することで、スミッシング発生の事実を迅速に伝えることができますし、情報提供が迅速であればユーザ側も対策ができるはずです」。（にゃん☆たく氏）

顧客向けに提供している自社Webサイトに対する直接的なサイバー攻撃は、セキュリティ対策を担う情報システム部門を中心に対策が進んでいる企業がほとんどでしょう。しかし、スミッシングは情報システム部門のスコープに入っていないところで自社のブランドを騙られてしまうリスクがあります。「スミッシングによる被害があるということをセキュリティ担当者の方も頭の中に置いておくことは大事なことです」。（鈴木）

ネットワーク上の各種脅威への対策を検討しているセキュリティ団体JPAAWGの立場でも「セキュリティ団体として会員向けに情報を発信していますが、会員でなくても情報提供や、対策を提供する企業との橋渡しを行うことも可能です。ぜひ遠慮なく問い合わせいただきたい」と北崎氏。

スミッシングにおける企業のリスク

企業の情報資産が狙われるリスク

会社が社員に貸与するスマートフォンも、スミッシング被害を受ける可能性があります。ある端末にマルウェアが侵入し、１つの端末から複数の端末へ、スミッシングをばらまかれてしまうリスクがあります。もちろん、マルウェア感染はスミッシング以外にも企業の重要情報を抜き取られるリスクも存在します。「今のスミッシングは、個人向けの金銭目的が主流ですが、スミッシングと全く同じ手口で学術機関の重要情報を搾取された事案もあります。今後危惧されるのは、ビジネスメール詐欺（BEC）の延長で企業内の貴重な情報資産が狙われる手段になりうるということです」。（鈴木）

クラウドサービスのログイン情報が狙われるリスク

また、攻撃者の立場に立ってみると、昨今のテレワーク環境の広がりに伴ってクラウド型のオフィスツールを利用する機会も増えています。「クラウドサービスのログイン情報をスミッシングで奪われた場合は、情報漏洩はもちろん、ランサムウェアで金銭を要求されるといった被害も容易に想像できます。個人だけでなく企業としてもスミッシング対策の重要性はますます高まっているのは間違いありません」。（遠藤氏）

MDMなどの導入によるガバナンス統制も有効な対策

スマートフォンへの対策については、MDMなどを導入して端末をコントロールすることで、万が一被害を受けた際に端末自体をリセットしたり、ロックしたりすることが基本的な対策と言えるでしょう。「しかし、情報セキュリティガバナンスが効いている大手企業と違い、日本全国では統制がとれていない企業も多いのが現状です。いずれにせよ、MDMなどでマルウェアをインストールできないようにするのは1つの対策だと考えています」。（田中氏）

個人の教育、対策意識向上も重要

MDMのようなツールは有効な対策になり得ますが、個人レベルでも怪しいSMSが届いたらクリックしないように徹底するという教育も重要です。「マルウェアが入らなかったとしても、偽サイト上でID情報などを送ってしまうと攻撃者に重要な情報が知られてしまいます。技術的な対策はもちろんですが、個人の心がけの部分も含め、啓蒙活動を続けて行く必要があります」。（遠藤氏）

また、社内のネットワークを利用している範囲ではある程度防げるとしても、コロナ禍においてVPNを使わずに自宅のネット環境を利用する場合も増えており、自身で意識を高めていくことは非常に大切です。「業務用スマートフォンの感染については、大学や病院のプレスリリースなどでよく見かけるようになりました。ここ数か月、業界を問わず詐欺被害が増えている印象です」（にゃん☆たく氏）

なぜスミッシングはとめられないのか

顧客にスミッシングが届かないことが一番効果的ではあるものの、SMSを止めることができない事情もあります。「技術的には止めることは可能ですが、日本国憲法では通信の秘密を保証しており、通信事業者であってもSMSなどメッセージの中身をお客様の許諾なく確認することができません。本当は止めたいところですが、なかなかそうもいかないのが現状です」。（田中氏）

SMSを止めるためには、損害を与える危険性があることを一人一人に説明し、許諾をいただくことに加え、約款の変更が必要になります。また、法的な壁を乗り越えていくには業界全体で議論をしていくだけでなく、技術面においても精度の高いスミッシング対策を推進していく必要があります。

一方で、SMS自体をなくすという方法や、別の手立てで代用するという考えもあります。「確かに別のツールの普及というアプローチもちろんあると思います。別のツールに置き換わるものとして国内通信事業者が展開する「＋メッセージ（プラスメッセージ）」やGSMA標準のRCS（Rich Communication Services）サービスといった代替え手段があり、これらを普及することも課題解決の1つになり得ると思います」。（遠藤氏）

業界全体として取り組めること

さまざまな業界が議論をしていくことで、相互理解も進み、対策しやすくなる部分はありますが、被害に合われた個人の方も含めて、効率よく対処していくためにはどうすればよいのでしょうか。
「フィッシングハンターとして活動している個人としては、リプライをいただくことで広く発信していけると思っています、ただし、私自身も企業に所属している身で考えると、企業同士や自治体、警察との連携などは難しい部分も。コミュニケーションツールも違えば、立場も組織も違う部分があり、誰にどう話していいのかわからない方も多いのではないでしょうか」。（にゃん☆たく氏）

「業界的な活動については、ケースバイケースで、草の根的に行うボトムアップ、上位団体などを経由して体制を広げていくトップダウンの、両面からアプローチしていくことが必要だと思います」。（遠藤氏）

「マクニカの調査では、犯罪者は個人ではなく組織で動いていることが分かっています。個人が金銭的な被害にあうだけでなく、企業名を悪用されたサービスやブランドなど、企業側もお客さまを失うリスクがあります。スミッシングはさまざまな意味で被害が大きくなる可能性が高いため、受付窓口のようなものを作って、個人や企業問わず、アクセスできるものが欲しいところです」。（鈴木）

「本物かどうか見極めがつかないことが問題になるケースもありますが、事業者側も正式に使っている手法を積極的に発信していくべきです。サイバーセキュリティは難しく捉えがちですが、スミッシングは詐欺手口の1つです。SMSを使っているものの、オレオレ詐欺や特殊詐欺と同じ部類と言えます。オレオレ詐欺なども怪しいと判断できるようになるまでは時間がかかります。こうした情報発信を継続的に行っていくことが大切です」。（にゃん☆たく氏）

これだけスミッシングやフィッシングが発生していても、一般の方には届いていない現実もあります。「オレオレ詐欺はや国際ロマンス詐欺などは知っているが、SMSを使ったスミッシングについてはまだまだ知らないケースが多い。啓蒙活動はさらに続けていく必要があると痛感しています。また、企業側においては、端末にツールを導入しても、結局一番弱いのは人です。一番脆弱な"人"をどう底上げしていくのかを考える必要があります」。（岩本氏）

マクニカではスミッシングを含めたさまざまなセキュリティ対策のコンサルティングを提供しています。小さなことでもぜひご相談ください。

▼DXコンサルティング　お問い合わせ


▼メルマガ登録